Abo
  • Services:
Anzeige
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen.
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen. (Bild: Maros Mraz, CC-BY-SA-2.5)

Illegales Netzwerk: Terracotta VPN nutzt gekaperte Server

Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen.
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen. (Bild: Maros Mraz, CC-BY-SA-2.5)

Das sogenannte Terracotta VPN bietet seinen Kunden ein international verzweigtes Netzwerk. Es leitet den Datenverkehr aber über gehackte Server - und soll so die Aktivitäten von Cyberkriminellen schützen.

Anzeige

Ein VPN (Virtual Private Network) vermeintlich chinesischen Ursprungs soll die von ihm im Ausland genutzten Server einfach gekapert haben. Das IT-Sicherheitsunternehmen RSA will in dem VPN Aktivitäten bekannter chinesischer Hackergruppen entdeckt haben, darunter auch Deep Panda. RSA hat das VPN Terracotta genannt. Den richtigen Namen des wohl offiziellen Anbieters nennt RSA nicht. Er soll aber in China beheimatet sein. Die gekaperten Server befinden sich unter anderem in den USA, Großbritannien und Südkorea.

Benannt nach der Terrakotta-Armee, die der erste chinesische Kaiser Qin Shi Haung in seinem Grabmahl aufstellen ließ, nutzt der unbekannte VPN-Anbieter angreifbare Windows-Server weltweit für seine Infrastruktur. Sie sollen unter anderem zu einer namhaften Hotelkette, zu Unternehmen, die im Auftrag der US-Regierung arbeiten, sowie Universitäten in Taiwan und Singapur gehören. So spart sich Terracotta-VPN nicht nur Geld, sondern bietet den wohl illegalen Aktivitäten seiner Kunden besonderen Schutz. Denn deren Datenverkehr läuft über vermeintlich legitime Server. Allein in den USA soll Terracotta-VPN 572 Server genutzt haben.

Angriffe über das Windows Management Interface

RSA beschreibt den Angriff auf die Windows-Server folgendermaßen: Zunächst starten sie einen Brute-Force-Angriff, um an das Administrator-Passwort des Servers zu kommen. Der Angriff erfolgt auf das Windows Management Interface (WMI) auf TCP-Port 135. Waren sie erfolgreich, loggen sie sich dort ein und deaktivieren die Windows-eigene Firewall. Dann wird der Telnet-Dienst installiert und aktiviert. Es folgt ein direkter Zugriff auf den Server über die Fernwartung Remote Desktop (RDP). Die Verbindung soll stets von Servern aus passieren, dessen IP-Adressen RSA in Dongguan, einem Vorort der chinesischen Stadt Guangzhou, verortet ist.

Per Remote Desktop wird zunächst das Microsoft-eigene Überwachungswerkzeug Windows Defender deinstalliert. Anschließend werden dort Remote Administration Tools (RAT) wie Gh0st oder Mitozhan installiert. Außerdem legen die Hacker einen Backdoor-Daemon auf dem Server ab, der auf Port 3422 lauscht. Zusätzlich werden oftmals weitere Konten angelegt, sie tragen unter anderem die Namen mssql oder krto. Ein paar Tage später loggen sich die Hacker wieder ein und konfigurieren den Server so, dass er Teil ihres VPNs wird.

Dass solche Angriffe unbemerkt bleiben, führen die Experten bei RSA darauf zurück, dass die gekaperten Server selbst Remote-Zugänge oder VPN-Dienste nutzen. Bemängelt wird, dass die von RSA entdeckten Server allesamt nicht durch eine Hardware-Firewall geschützt waren.


eye home zur Startseite
AlexanderSchäfer 06. Aug 2015

Sobald der Angriff erkannt wird, können doch sämtliche Verbindungen dokumentiert werden...

lala1 06. Aug 2015

Ganz ehrlich Respekt für deine Konsequenz. Das ist dann keine Basis der Zusammenarbeit...

Niantic 06. Aug 2015

seit wann hat windows ssh? also zumindest nicht von haus aus... dann als naechste frage...



Anzeige

Stellenmarkt
  1. telekom, Leinfelden-Echterdingen
  2. IHK für München und Oberbayern, München
  3. Zentrum für Kunst und Medientechnologie Karlsruhe, Karlsruhe
  4. Nash Direct GmbH / Harvey Nash Group, Essen, Köln, Frankfurt oder Hannover


Anzeige
Spiele-Angebote
  1. (-78%) 8,99€
  2. (-24%) 12,99€
  3. (-10%) 53,99€

Folgen Sie uns
       


  1. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  2. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  3. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  4. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  5. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  6. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  7. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  8. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  9. SteamVR

    Valve zeigt Knuckles-Controller

  10. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Assassin's Creed Origins angespielt: Ubisoft verschafft den Auftragskillern Ruhepausen
Assassin's Creed Origins angespielt
Ubisoft verschafft den Auftragskillern Ruhepausen
  1. Xbox One X Probefahrt mit der X-Klasse
  2. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  3. Xbox One Supersampling im Zeichen des X

Indiegames-Rundschau: Weltraumabenteuer und Strandurlaub
Indiegames-Rundschau
Weltraumabenteuer und Strandurlaub
  1. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie
  2. Indiegames-Rundschau Söldner, Roboter und das ganze Universum
  3. All Walls Must Fall Strategie und Zeitreisen in Berlin

Github: Wer Entwickler hat, braucht keine PR
Github
Wer Entwickler hat, braucht keine PR
  1. Entwicklerplattform Github bekommt Marktplatz für Werkzeuge
  2. Entwicklungswerkzeuge Gnome erwägt Umzug auf Gitlab
  3. Windows 7 und 8 Github-Nutzer schafft Freischaltung von neuen CPUs

  1. Buy real Passports(designerdesigner@yahoo.com...

    wirdzoestone | 06:18

  2. Buy Real Driver& License, Passports,ID Cards...

    wirdzoestone | 06:17

  3. Buy High Quality Real/Fake(mazzini865docs@gmail...

    wirdzoestone | 06:17

  4. Buy real Passports(designerdesigner@yahoo.com...

    wirdzoestone | 06:15

  5. Re: Illegale Nachfrage nimmt ab

    jonoj | 05:14


  1. 13:30

  2. 12:14

  3. 11:43

  4. 10:51

  5. 09:01

  6. 17:40

  7. 16:22

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel