Nieuws

Chinese VPN-dienst gebruikt gehackte Windows-servers

dinsdag 4 augustus 2015, 17:10 door Redactie, 4 reacties

Een commerciële Chinese dienst die klanten VPN-verbindingen aanbiedt blijkt tientallen gehackte Windows-servers van organisaties en bedrijven in het buitenland te gebruiken, zo claimt het Amerikaanse beveiligingsbedrijf RSA in een vandaag gepubliceerd rapport (pdf).

De VPN-dienst, die door RSA alleen bij de codenaam "Terracotta" wordt genoemd, bestaat uit meer dan 1500 nodes wereldwijd. Bij een Virtual Private Network (VPN) maken gebruikers via een beveiligde tunnel verbinding met een andere server, om bijvoorbeeld daar vandaan te internetten. Op deze manier kan de internetprovider de inhoud van het verkeer niet bekijken en is het mogelijk om bijvoorbeeld gecensureerde websites toch te bezoeken. De Chinese VPN-dienst wordt dan ook aangeboden als een manier om de Chinese firewall te omzeilen en als manier voor gebruikers om hun anonimiteit te beschermen.

VPN-diensten gebruiken over het algemeen hun eigen servers waar klanten verbinding mee kunnen maken. In het geval van Terracotta gaat het volgens RSA onder andere om gehackte Windows-servers van allerlei organisaties. Onderzoekers van RSA stellen dat het aantal nieuwe servers van de VPN-dienst continu wordt uitgebreid. Daarbij kiezen de aanvallers bewust voor Windows-servers, omdat het platform VPN-diensten bevat die snel zijn te configureren. In totaal werden 31 gehackte Windows-servers ontdekt die onderdeel van de VPN-dienst waren. Alle gehackte servers bleken aan het internet te zijn gekoppeld en gebruikten geen hardwarematige firewall.

Aanval

Om de servers over te nemen worden brute force-aanvallen op het administrator-account uitgevoerd. In het geval een werkende combinatie van gebruikersnaam en wachtwoord wordt gevonden schakelen de aanvallers een paar uur later de Windows Firewall uit en installeren de Telnet-service. Hierna loggen de aanvallers in via Remote Desktop en verwijderen hierna Windows Defender. De volgende stap bestaat uit de installatie van een remote administration tool en het aanmaken van een nieuw Windows-account.

Als laatste wordt de gehackte server geconfigureerd voor de VPN-dienst. Volgens RSA maken zowel eindgebruikers als cyberspionnen van de VPN-dienst gebruik, die in China onder verschillende namen wordt aangeboden. Daarbij zouden gebruikers niet weten dat ze van gehackte servers gebruik maken. De reden dat de dienst servers van buitenlandse organisaties hackt zou vooral met kostenbesparingen samenhangen.

Trojaans paard kaapt Linux-routers via ShellShock-lek

Nieuw Android-lek laat toestellen eindeloos herstarten

Reacties (4)

05-08-2015, 09:33 door johanw

Tja, als je mensen beperkt in hun gebruik worden het vanzelf hackers want problemen oplossen is nu eenmaal natuurlijk gedrag voor mensen. Als je veel mensen beperkt in hun gebruik zie je vanzelf een cukltuur ontstaan waarin zoiets normaal wordt. Iets dat de muziek en filmindustrie ook aan het leren is met hun kunstmatige beperkingen.

05-08-2015, 10:01 door Anoniem

Sorry maar volgens mij leg je nadruk op iets wat juist niet probleem is.
Probleem is volgens mij dat een betaaldienst, servers hackt. Eigen software op zet en vervolgens via die weg VPN aanbiedt.
Hiermee is 1. geen zekerheid over het afluisteren van je verkeer, 2. gaat bedrijf van legaal naar illigaal

05-08-2015, 11:29 door Anoniem

Helemaal gehaxx0red man. Als jullie nou eens zouden vertellen wat er werkelijk aan de hand is, dan hadden we mischien nog wat aan deze lap tekst. Nu is het gewoon de gebruikelijke oninformerende bangmaakrommel.

05-08-2015, 12:11 door johanw

Door Anoniem: Sorry maar volgens mij leg je nadruk op iets wat juist niet probleem is.
Probleem is volgens mij dat een betaaldienst, servers hackt. Eigen software op zet en vervolgens via die weg VPN aanbiedt.
Hiermee is 1. geen zekerheid over het afluisteren van je verkeer, 2. gaat bedrijf van legaal naar illigaal

Je vergeet dat het over China gaat. De meeste gebruikers daar (en niet alleen daar) kan het alleen schelen of iets illegaal is indien ze er zelf last mee kunnen krijgen, en dat zal in dit geval wel niet. De landen waarin die gehackte servers staan zullen wel niet om uitlevering van de gebruikers van de dienst vragen. En Chinese VPN gebruikers willen vooral de Chinese overheids firewall omzeilen, of de NSA ze vervolgens afluistert zal ze waarschijnlijk worst wezen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Chinese VPN-dienst gebruikt gehackte Windows-servers

Aanval

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren