Een commerciële Chinese dienst die klanten VPN-verbindingen aanbiedt blijkt tientallen gehackte Windows-servers van organisaties en bedrijven in het buitenland te gebruiken, zo claimt het Amerikaanse beveiligingsbedrijf RSA in een vandaag gepubliceerd rapport (pdf).

De VPN-dienst, die door RSA alleen bij de codenaam "Terracotta" wordt genoemd, bestaat uit meer dan 1500 nodes wereldwijd. Bij een Virtual Private Network (VPN) maken gebruikers via een beveiligde tunnel verbinding met een andere server, om bijvoorbeeld daar vandaan te internetten. Op deze manier kan de internetprovider de inhoud van het verkeer niet bekijken en is het mogelijk om bijvoorbeeld gecensureerde websites toch te bezoeken. De Chinese VPN-dienst wordt dan ook aangeboden als een manier om de Chinese firewall te omzeilen en als manier voor gebruikers om hun anonimiteit te beschermen.

VPN-diensten gebruiken over het algemeen hun eigen servers waar klanten verbinding mee kunnen maken. In het geval van Terracotta gaat het volgens RSA onder andere om gehackte Windows-servers van allerlei organisaties. Onderzoekers van RSA stellen dat het aantal nieuwe servers van de VPN-dienst continu wordt uitgebreid. Daarbij kiezen de aanvallers bewust voor Windows-servers, omdat het platform VPN-diensten bevat die snel zijn te configureren. In totaal werden 31 gehackte Windows-servers ontdekt die onderdeel van de VPN-dienst waren. Alle gehackte servers bleken aan het internet te zijn gekoppeld en gebruikten geen hardwarematige firewall.

Aanval

Om de servers over te nemen worden brute force-aanvallen op het administrator-account uitgevoerd. In het geval een werkende combinatie van gebruikersnaam en wachtwoord wordt gevonden schakelen de aanvallers een paar uur later de Windows Firewall uit en installeren de Telnet-service. Hierna loggen de aanvallers in via Remote Desktop en verwijderen hierna Windows Defender. De volgende stap bestaat uit de installatie van een remote administration tool en het aanmaken van een nieuw Windows-account.

Als laatste wordt de gehackte server geconfigureerd voor de VPN-dienst. Volgens RSA maken zowel eindgebruikers als cyberspionnen van de VPN-dienst gebruik, die in China onder verschillende namen wordt aangeboden. Daarbij zouden gebruikers niet weten dat ze van gehackte servers gebruik maken. De reden dat de dienst servers van buitenlandse organisaties hackt zou vooral met kostenbesparingen samenhangen.