image

Chinese VPN-dienst gebruikt gehackte Windows-servers

dinsdag 4 augustus 2015, 17:10 door Redactie, 4 reacties

Een commerciële Chinese dienst die klanten VPN-verbindingen aanbiedt blijkt tientallen gehackte Windows-servers van organisaties en bedrijven in het buitenland te gebruiken, zo claimt het Amerikaanse beveiligingsbedrijf RSA in een vandaag gepubliceerd rapport (pdf).

De VPN-dienst, die door RSA alleen bij de codenaam "Terracotta" wordt genoemd, bestaat uit meer dan 1500 nodes wereldwijd. Bij een Virtual Private Network (VPN) maken gebruikers via een beveiligde tunnel verbinding met een andere server, om bijvoorbeeld daar vandaan te internetten. Op deze manier kan de internetprovider de inhoud van het verkeer niet bekijken en is het mogelijk om bijvoorbeeld gecensureerde websites toch te bezoeken. De Chinese VPN-dienst wordt dan ook aangeboden als een manier om de Chinese firewall te omzeilen en als manier voor gebruikers om hun anonimiteit te beschermen.

VPN-diensten gebruiken over het algemeen hun eigen servers waar klanten verbinding mee kunnen maken. In het geval van Terracotta gaat het volgens RSA onder andere om gehackte Windows-servers van allerlei organisaties. Onderzoekers van RSA stellen dat het aantal nieuwe servers van de VPN-dienst continu wordt uitgebreid. Daarbij kiezen de aanvallers bewust voor Windows-servers, omdat het platform VPN-diensten bevat die snel zijn te configureren. In totaal werden 31 gehackte Windows-servers ontdekt die onderdeel van de VPN-dienst waren. Alle gehackte servers bleken aan het internet te zijn gekoppeld en gebruikten geen hardwarematige firewall.

Aanval

Om de servers over te nemen worden brute force-aanvallen op het administrator-account uitgevoerd. In het geval een werkende combinatie van gebruikersnaam en wachtwoord wordt gevonden schakelen de aanvallers een paar uur later de Windows Firewall uit en installeren de Telnet-service. Hierna loggen de aanvallers in via Remote Desktop en verwijderen hierna Windows Defender. De volgende stap bestaat uit de installatie van een remote administration tool en het aanmaken van een nieuw Windows-account.

Als laatste wordt de gehackte server geconfigureerd voor de VPN-dienst. Volgens RSA maken zowel eindgebruikers als cyberspionnen van de VPN-dienst gebruik, die in China onder verschillende namen wordt aangeboden. Daarbij zouden gebruikers niet weten dat ze van gehackte servers gebruik maken. De reden dat de dienst servers van buitenlandse organisaties hackt zou vooral met kostenbesparingen samenhangen.

Image

Reacties (4)
05-08-2015, 09:33 door johanw
Tja, als je mensen beperkt in hun gebruik worden het vanzelf hackers want problemen oplossen is nu eenmaal natuurlijk gedrag voor mensen. Als je veel mensen beperkt in hun gebruik zie je vanzelf een cukltuur ontstaan waarin zoiets normaal wordt. Iets dat de muziek en filmindustrie ook aan het leren is met hun kunstmatige beperkingen.
05-08-2015, 10:01 door Anoniem
Sorry maar volgens mij leg je nadruk op iets wat juist niet probleem is.
Probleem is volgens mij dat een betaaldienst, servers hackt. Eigen software op zet en vervolgens via die weg VPN aanbiedt.
Hiermee is 1. geen zekerheid over het afluisteren van je verkeer, 2. gaat bedrijf van legaal naar illigaal
05-08-2015, 11:29 door Anoniem
Helemaal gehaxx0red man. Als jullie nou eens zouden vertellen wat er werkelijk aan de hand is, dan hadden we mischien nog wat aan deze lap tekst. Nu is het gewoon de gebruikelijke oninformerende bangmaakrommel.
05-08-2015, 12:11 door johanw
Door Anoniem: Sorry maar volgens mij leg je nadruk op iets wat juist niet probleem is.
Probleem is volgens mij dat een betaaldienst, servers hackt. Eigen software op zet en vervolgens via die weg VPN aanbiedt.
Hiermee is 1. geen zekerheid over het afluisteren van je verkeer, 2. gaat bedrijf van legaal naar illigaal
Je vergeet dat het over China gaat. De meeste gebruikers daar (en niet alleen daar) kan het alleen schelen of iets illegaal is indien ze er zelf last mee kunnen krijgen, en dat zal in dit geval wel niet. De landen waarin die gehackte servers staan zullen wel niet om uitlevering van de gebruikers van de dienst vragen. En Chinese VPN gebruikers willen vooral de Chinese overheids firewall omzeilen, of de NSA ze vervolgens afluistert zal ze waarschijnlijk worst wezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.