Технологии: | VPN - Виртуальные частные сети |
Компания RSA, входящая в состав альянса EMC Federation, опубликовала в сентябре 2015 года отчет о действующем в Китае коммерческом VPN-сервисе под условным названием Terracotta. Этот сервис используется как прикрытие для APT-групп, включая группировку Shell_Crew / Panda.
В сеть Terracotta входят более 1500 VPN-узлов по всему миру. Большинство из них представляют собой недостаточно защищенные серверы Windows, которые были взломаны без ведома легитимных организаций, которым они принадлежат. Сеть постоянно пополняется новыми узлами, информация о которых не выходит за пределы базы пользователей сети Terracotta.
Сервис Terracotta отличается от других аналогичных VPN-сетей тем, что был создан в Китае и (помимо переноса легитимного и потенциально нелегитимного трафика в основном для обхода «Великого китайского файрвола», отделяющего Китай от многих интернет-ресурсов) используется для анонимизации и маскировки деятельности групп злоумышленников (включая группировку Shell_Crew / Deep Panda). Он предлагается на нескольких китайских веб-сайтах, которые имеют похожий дизайн и зарегистрированы на одно юридическое лицо.
Часто в крупных организациях (которые часто являются мишенями APT-атак) специалисты по кибербезопасности ограничивают или блокируют известные IP-адреса коммерческих VPN-сетей. Инициаторы APT-атак, использующие сеть «Terracotta», успешно обходят эту линию защиты, так как используемые в сети «Terracotta» механизмы радикально отличаются от механизмов, используемых в легитимных коммерческих VPN-сетях.
Для потенциальной жертвы APT-атаки трафик, идущий от узла сети «Terracotta» может предоставляться как легитимный трафик от легитимной организации, которая на самом деле представляет собой жертву сети Terracotta с инфицированным сервером. Российский рынок ERP-систем сократился, но приготовился к росту. Обзор и рейтинг TAdviser
Важно отметить, что нет подтверждений тому, что сеть Terracotta и ее операторы каким-либо образом связаны с инициаторами APT-атак. Аналогичные сервисы широко предлагаются в китайском Интернете по подписке по очень невысоким ценам (цена подписки на сервис Terracotta составляет примерно $3 USD в месяц). Практикуемый сетью «Terracotta» незаконный захват VPN-узлов представляет собой, видимо, экономичный способ функционирования. Однако подобные способы потенциально предоставляют преимущества инициаторам APT-атак.
Судя по имеющимся данным, сервис «Terracotta» пользуется коммерческим успехом (в определенной степени). Данные показывают, что эта сеть имеет легитимных пользователей и переносит легитимный трафик. Смешивание с легитимным трафиком может также содействовать маскировке APT-трафика.
Подрядчики-лидеры по количеству проектов
Ростелеком (59)
МегаФон (31)
Orange Business Services (Оранж Бизнес Сервисез, Эквант) (13)
Softline (Софтлайн) (12)
Энфорта (Престиж-интернет) (10)
Другие (154)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
ИнфоТеКС (Infotecs) (13, 20)
Код Безопасности (5, 11)
Ideco (Айдеко) (2, 9)
Cisco Systems (10, 5)
С-Терра СиЭсПи (S-Terra CSP) (6, 3)
Другие (61, 16)
Данные не найдены
Распределение систем по количеству проектов, не включая партнерские решения
Континент NGFW (ранее АПКШ Континент) - 11
Ideco UTM - 9
ViPNet CSP - 8
ViPNet IDS - 4
ViPNet VPN (ранее ViPNet Custom) - 4
Другие 30