Abo
  • Services:
Anzeige
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen.
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen. (Bild: Maros Mraz, CC-BY-SA-2.5)

Illegales Netzwerk: Terracotta VPN nutzt gekaperte Server

Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen.
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen. (Bild: Maros Mraz, CC-BY-SA-2.5)

Das sogenannte Terracotta VPN bietet seinen Kunden ein international verzweigtes Netzwerk. Es leitet den Datenverkehr aber über gehackte Server - und soll so die Aktivitäten von Cyberkriminellen schützen.

Anzeige

Ein VPN (Virtual Private Network) vermeintlich chinesischen Ursprungs soll die von ihm im Ausland genutzten Server einfach gekapert haben. Das IT-Sicherheitsunternehmen RSA will in dem VPN Aktivitäten bekannter chinesischer Hackergruppen entdeckt haben, darunter auch Deep Panda. RSA hat das VPN Terracotta genannt. Den richtigen Namen des wohl offiziellen Anbieters nennt RSA nicht. Er soll aber in China beheimatet sein. Die gekaperten Server befinden sich unter anderem in den USA, Großbritannien und Südkorea.

Benannt nach der Terrakotta-Armee, die der erste chinesische Kaiser Qin Shi Haung in seinem Grabmahl aufstellen ließ, nutzt der unbekannte VPN-Anbieter angreifbare Windows-Server weltweit für seine Infrastruktur. Sie sollen unter anderem zu einer namhaften Hotelkette, zu Unternehmen, die im Auftrag der US-Regierung arbeiten, sowie Universitäten in Taiwan und Singapur gehören. So spart sich Terracotta-VPN nicht nur Geld, sondern bietet den wohl illegalen Aktivitäten seiner Kunden besonderen Schutz. Denn deren Datenverkehr läuft über vermeintlich legitime Server. Allein in den USA soll Terracotta-VPN 572 Server genutzt haben.

Angriffe über das Windows Management Interface

RSA beschreibt den Angriff auf die Windows-Server folgendermaßen: Zunächst starten sie einen Brute-Force-Angriff, um an das Administrator-Passwort des Servers zu kommen. Der Angriff erfolgt auf das Windows Management Interface (WMI) auf TCP-Port 135. Waren sie erfolgreich, loggen sie sich dort ein und deaktivieren die Windows-eigene Firewall. Dann wird der Telnet-Dienst installiert und aktiviert. Es folgt ein direkter Zugriff auf den Server über die Fernwartung Remote Desktop (RDP). Die Verbindung soll stets von Servern aus passieren, dessen IP-Adressen RSA in Dongguan, einem Vorort der chinesischen Stadt Guangzhou, verortet ist.

Per Remote Desktop wird zunächst das Microsoft-eigene Überwachungswerkzeug Windows Defender deinstalliert. Anschließend werden dort Remote Administration Tools (RAT) wie Gh0st oder Mitozhan installiert. Außerdem legen die Hacker einen Backdoor-Daemon auf dem Server ab, der auf Port 3422 lauscht. Zusätzlich werden oftmals weitere Konten angelegt, sie tragen unter anderem die Namen mssql oder krto. Ein paar Tage später loggen sich die Hacker wieder ein und konfigurieren den Server so, dass er Teil ihres VPNs wird.

Dass solche Angriffe unbemerkt bleiben, führen die Experten bei RSA darauf zurück, dass die gekaperten Server selbst Remote-Zugänge oder VPN-Dienste nutzen. Bemängelt wird, dass die von RSA entdeckten Server allesamt nicht durch eine Hardware-Firewall geschützt waren.


eye home zur Startseite
AlexanderSchäfer 06. Aug 2015

Sobald der Angriff erkannt wird, können doch sämtliche Verbindungen dokumentiert werden...

lala1 06. Aug 2015

Ganz ehrlich Respekt für deine Konsequenz. Das ist dann keine Basis der Zusammenarbeit...

Niantic 06. Aug 2015

seit wann hat windows ssh? also zumindest nicht von haus aus... dann als naechste frage...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München
  2. Die Deutsche Immobilien Gruppe, Düren
  3. Bundesamt für Verfassungsschutz, Köln
  4. SysTec Systemtechnik und Industrieautomation GmbH, Bergheim-Glessen


Anzeige
Top-Angebote
  1. 4,44€
  2. 99€ für Prime-Mitglieder
  3. 99€ (nur bis Montag 9 Uhr)

Folgen Sie uns
       


  1. Mass Effect

    Bioware erklärt Arbeit an Kampagne von Andromeda für beendet

  2. Kitkat-Werbespot

    Atari verklagt Nestlé wegen angeblichem Breakout-Imitat

  3. Smarter Lautsprecher

    Google Home erhält Bluetooth-Zuspielung und Spotify Free

  4. Reverb

    Smartphone-App aktiviert Alexa auf Zuruf

  5. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  6. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  7. Raspberry Pi

    Raspbian auf Stretch upgedated

  8. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  9. Nvidia

    Keine Volta-basierten Geforces in 2017

  10. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

  1. Re: Es gibt einen grundsätzlichen Denkfehler bei...

    superdachs | 15:11

  2. Viele Hersteller würden sich freuen,

    ibecf | 15:08

  3. Re: Ach Bioware....

    Cok3.Zer0 | 15:07

  4. Re: 10-50MW

    anybody | 15:07

  5. Re: Finde ich gut

    Érdna Ldierk | 15:04


  1. 13:33

  2. 13:01

  3. 12:32

  4. 11:50

  5. 14:38

  6. 12:42

  7. 11:59

  8. 11:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel