Abo
  • Services:
Anzeige
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen.
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen. (Bild: Maros Mraz, CC-BY-SA-2.5)

Illegales Netzwerk: Terracotta VPN nutzt gekaperte Server

Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen.
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen. (Bild: Maros Mraz, CC-BY-SA-2.5)

Das sogenannte Terracotta VPN bietet seinen Kunden ein international verzweigtes Netzwerk. Es leitet den Datenverkehr aber über gehackte Server - und soll so die Aktivitäten von Cyberkriminellen schützen.

Anzeige

Ein VPN (Virtual Private Network) vermeintlich chinesischen Ursprungs soll die von ihm im Ausland genutzten Server einfach gekapert haben. Das IT-Sicherheitsunternehmen RSA will in dem VPN Aktivitäten bekannter chinesischer Hackergruppen entdeckt haben, darunter auch Deep Panda. RSA hat das VPN Terracotta genannt. Den richtigen Namen des wohl offiziellen Anbieters nennt RSA nicht. Er soll aber in China beheimatet sein. Die gekaperten Server befinden sich unter anderem in den USA, Großbritannien und Südkorea.

Benannt nach der Terrakotta-Armee, die der erste chinesische Kaiser Qin Shi Haung in seinem Grabmahl aufstellen ließ, nutzt der unbekannte VPN-Anbieter angreifbare Windows-Server weltweit für seine Infrastruktur. Sie sollen unter anderem zu einer namhaften Hotelkette, zu Unternehmen, die im Auftrag der US-Regierung arbeiten, sowie Universitäten in Taiwan und Singapur gehören. So spart sich Terracotta-VPN nicht nur Geld, sondern bietet den wohl illegalen Aktivitäten seiner Kunden besonderen Schutz. Denn deren Datenverkehr läuft über vermeintlich legitime Server. Allein in den USA soll Terracotta-VPN 572 Server genutzt haben.

Angriffe über das Windows Management Interface

RSA beschreibt den Angriff auf die Windows-Server folgendermaßen: Zunächst starten sie einen Brute-Force-Angriff, um an das Administrator-Passwort des Servers zu kommen. Der Angriff erfolgt auf das Windows Management Interface (WMI) auf TCP-Port 135. Waren sie erfolgreich, loggen sie sich dort ein und deaktivieren die Windows-eigene Firewall. Dann wird der Telnet-Dienst installiert und aktiviert. Es folgt ein direkter Zugriff auf den Server über die Fernwartung Remote Desktop (RDP). Die Verbindung soll stets von Servern aus passieren, dessen IP-Adressen RSA in Dongguan, einem Vorort der chinesischen Stadt Guangzhou, verortet ist.

Per Remote Desktop wird zunächst das Microsoft-eigene Überwachungswerkzeug Windows Defender deinstalliert. Anschließend werden dort Remote Administration Tools (RAT) wie Gh0st oder Mitozhan installiert. Außerdem legen die Hacker einen Backdoor-Daemon auf dem Server ab, der auf Port 3422 lauscht. Zusätzlich werden oftmals weitere Konten angelegt, sie tragen unter anderem die Namen mssql oder krto. Ein paar Tage später loggen sich die Hacker wieder ein und konfigurieren den Server so, dass er Teil ihres VPNs wird.

Dass solche Angriffe unbemerkt bleiben, führen die Experten bei RSA darauf zurück, dass die gekaperten Server selbst Remote-Zugänge oder VPN-Dienste nutzen. Bemängelt wird, dass die von RSA entdeckten Server allesamt nicht durch eine Hardware-Firewall geschützt waren.


eye home zur Startseite
AlexanderSchäfer 06. Aug 2015

Sobald der Angriff erkannt wird, können doch sämtliche Verbindungen dokumentiert werden...

lala1 06. Aug 2015

Ganz ehrlich Respekt für deine Konsequenz. Das ist dann keine Basis der Zusammenarbeit...

Niantic 06. Aug 2015

seit wann hat windows ssh? also zumindest nicht von haus aus... dann als naechste frage...



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Raum Frankfurt am Main
  2. über Duerenhoff GmbH, Berlin
  3. Birkenstock GmbH & Co. KG Services, Neustadt (Wied)
  4. BG-Phoenics GmbH, Hannover


Anzeige
Top-Angebote
  1. (heute u. a. PC-Zubehör reduziert, z. B. Logitech MK520 für 28,99€)
  2. 54,90€
  3. 79€

Folgen Sie uns
       


  1. Smartphones

    Huawei installiert ungefragt Zusatz-App

  2. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  3. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  4. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  5. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  6. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  7. Elektroauto

    Walmart will den Tesla-Truck

  8. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  9. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  10. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
iPhone X im Test: Es braucht schon Zwillinge, um Face ID zu überlisten
iPhone X im Test
Es braucht schon Zwillinge, um Face ID zu überlisten
  1. Homebutton ade 2018 sollen nur noch rahmenlose iPhones erscheinen
  2. Apple-Smartphone iPhone X knackt und summt - manchmal
  3. iPhone X Sicherheitsunternehmen will Face ID ausgetrickst haben

Smartphone-Speicherkapazität: Wie groß der Speicher eines iPhones sein sollte
Smartphone-Speicherkapazität
Wie groß der Speicher eines iPhones sein sollte
  1. iPhone Apple soll auf Qualcomm-Modems verzichten
  2. iPhone iOS 11 bekommt Schutz gegen unerwünschte Memory-Dumps
  3. Handy am Steuer Gericht bestätigt Apples Unschuld an tödlichem Autounfall

Rubberdome-Tastaturen im Test: Das Gummi ist nicht dein Feind
Rubberdome-Tastaturen im Test
Das Gummi ist nicht dein Feind
  1. Surbook Mini Chuwi mischt Netbook mit dem Surface Pro
  2. Asus Rog GL503 und GL703 Auf 15 und 17 Zoll für vergleichsweise wenig Geld spielen
  3. Xbox One Spielentwickler sollen über Maus und Tastatur entscheiden

  1. Re: Wer bezahlt die 750,00 ¤ Anschlussgebühr

    eddia | 15:26

  2. Re: 500¤ ohne MwSt. und Zubehör reine Abzocke

    FreiGeistler | 15:25

  3. Re: warum wischt ihr nicht einfach alles weg?

    rsaddey | 15:23

  4. Re: Teure Grundanschlüsse

    eddia | 15:21

  5. Re: Sind sie ja auch

    Geistesgegenwart | 15:20


  1. 11:55

  2. 11:21

  3. 10:43

  4. 17:14

  5. 13:36

  6. 12:22

  7. 10:48

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel