Một dịch vụ VPN (mạng riêng ảo) Trung Quốc có những hành vi bất thường

Chuyên xâm nhập, tấn công máy chủ Windows thế giới, vượt tường lửa địa phương, công ty ẩn mình dưới nhiều tên gọi khác nhau, Terracotta - một dịch vụ máy riêng ảo VPN ở Trung Quốc - vừa bị phát hiện có phương thức hoạt động tương tự như nhóm tin tặc APT.

Các chuyên gia bảm mật RSA Security đã phát hiện và nghiên cứu các hành vi bất thường tương tự như cách hoạt động của tin tặc núp bóng một công ty cung cấp dịch vụ mạng riêng ảo Terracotta ở Trung Quốc.

Cụ thể, dịch vụ mạng VPN do Terracotta cung cấp bao gồm dịch vụ mạng ẩn danh, chia sẻ P2P (ngang hàng giữa các máy tính với nhau), tăng tốc và vượt qua hệ thống tường lửa kiểm duyệt của các cơ quan chức năng Trung Quốc.

Dịch vụ VPN của Terracotta đã xâm nhập và tấn công máy chủ Windows trên khắp thế giới từ chính mạng VPN của mình. Được biết mục tiêu tấn công của  dịch vụ này thường là các công ty nhỏ không có chuyên viên IT, chuyên viên bảo mật hoặc các máy chủ có lỗ hổng của các tổ chức lớn, bao gồm gồm các công ty luật, một vài công ty kỹ thuật công nghệ cao, trường học và tổ chức chính phủ.  Các “nạn nhân” có máy chủ bị tấn công chủ yếu đặt tại Trung Quốc, Triều Tiên, Mỹ và một vài quốc gia Đông Âu.

Được biết, phương thức hoạt động của dịch vụ này không khác gì cách thức tấn công của nhóm tin tặc khét tiếng APT. Trong một chiến dịch tấn công, tin tặc sẽ truy tìm các máy chủ Windows, bẻ khoá mật khẩu quản trị viên để truy cập vào hệ thống và vô hiệu hoá tường lửa, các phần mềm diệt virus đang chạy trên máy chủ và dĩ nhiên, cài đặt các trojan độc hại để tiếp tục chiếm quyền điều khiển từ xa. Vừa tấn công vừa xoá dấu vết là một trong những đặc trưng của phương thức tấn công dựa trên mạng riêng ảo VPN này.

Xuân Dung

(*) Vui lòng trích dẫn nguồn Kaspersky Shop khi sao chép bài viết