Abo
  • Services:
Anzeige
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen.
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen. (Bild: Maros Mraz, CC-BY-SA-2.5)

Illegales Netzwerk: Terracotta VPN nutzt gekaperte Server

Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen.
Terracotta VPN wurde ein unbekannter VPN-Dienst in China genannt. Er soll gekaperte Server für illegale Aktivitäten bereitstellen. (Bild: Maros Mraz, CC-BY-SA-2.5)

Das sogenannte Terracotta VPN bietet seinen Kunden ein international verzweigtes Netzwerk. Es leitet den Datenverkehr aber über gehackte Server - und soll so die Aktivitäten von Cyberkriminellen schützen.

Anzeige

Ein VPN (Virtual Private Network) vermeintlich chinesischen Ursprungs soll die von ihm im Ausland genutzten Server einfach gekapert haben. Das IT-Sicherheitsunternehmen RSA will in dem VPN Aktivitäten bekannter chinesischer Hackergruppen entdeckt haben, darunter auch Deep Panda. RSA hat das VPN Terracotta genannt. Den richtigen Namen des wohl offiziellen Anbieters nennt RSA nicht. Er soll aber in China beheimatet sein. Die gekaperten Server befinden sich unter anderem in den USA, Großbritannien und Südkorea.

Benannt nach der Terrakotta-Armee, die der erste chinesische Kaiser Qin Shi Haung in seinem Grabmahl aufstellen ließ, nutzt der unbekannte VPN-Anbieter angreifbare Windows-Server weltweit für seine Infrastruktur. Sie sollen unter anderem zu einer namhaften Hotelkette, zu Unternehmen, die im Auftrag der US-Regierung arbeiten, sowie Universitäten in Taiwan und Singapur gehören. So spart sich Terracotta-VPN nicht nur Geld, sondern bietet den wohl illegalen Aktivitäten seiner Kunden besonderen Schutz. Denn deren Datenverkehr läuft über vermeintlich legitime Server. Allein in den USA soll Terracotta-VPN 572 Server genutzt haben.

Angriffe über das Windows Management Interface

RSA beschreibt den Angriff auf die Windows-Server folgendermaßen: Zunächst starten sie einen Brute-Force-Angriff, um an das Administrator-Passwort des Servers zu kommen. Der Angriff erfolgt auf das Windows Management Interface (WMI) auf TCP-Port 135. Waren sie erfolgreich, loggen sie sich dort ein und deaktivieren die Windows-eigene Firewall. Dann wird der Telnet-Dienst installiert und aktiviert. Es folgt ein direkter Zugriff auf den Server über die Fernwartung Remote Desktop (RDP). Die Verbindung soll stets von Servern aus passieren, dessen IP-Adressen RSA in Dongguan, einem Vorort der chinesischen Stadt Guangzhou, verortet ist.

Per Remote Desktop wird zunächst das Microsoft-eigene Überwachungswerkzeug Windows Defender deinstalliert. Anschließend werden dort Remote Administration Tools (RAT) wie Gh0st oder Mitozhan installiert. Außerdem legen die Hacker einen Backdoor-Daemon auf dem Server ab, der auf Port 3422 lauscht. Zusätzlich werden oftmals weitere Konten angelegt, sie tragen unter anderem die Namen mssql oder krto. Ein paar Tage später loggen sich die Hacker wieder ein und konfigurieren den Server so, dass er Teil ihres VPNs wird.

Dass solche Angriffe unbemerkt bleiben, führen die Experten bei RSA darauf zurück, dass die gekaperten Server selbst Remote-Zugänge oder VPN-Dienste nutzen. Bemängelt wird, dass die von RSA entdeckten Server allesamt nicht durch eine Hardware-Firewall geschützt waren.


eye home zur Startseite
AlexanderSchäfer 06. Aug 2015

Sobald der Angriff erkannt wird, können doch sämtliche Verbindungen dokumentiert werden...

lala1 06. Aug 2015

Ganz ehrlich Respekt für deine Konsequenz. Das ist dann keine Basis der Zusammenarbeit...

Niantic 06. Aug 2015

seit wann hat windows ssh? also zumindest nicht von haus aus... dann als naechste frage...



Anzeige

Stellenmarkt
  1. HOMAG GmbH, Schopfloch
  2. ARRI Media GmbH, München
  3. Robert Bosch GmbH, Abstatt
  4. telekom, Ulm, Gaimersheim, München, Dresden


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. ab 649,90€
  3. auf Kameras und Objektive

Folgen Sie uns
       


  1. Betrugsverdacht

    Amazon Deutschland sperrt willkürlich Marketplace-Händler

  2. Take 2

    GTA 5 bringt weiter Geld in die Kassen

  3. 50 MBit/s

    Bundesland erreicht kompletten Internetausbau ohne Zuschüsse

  4. Microsoft

    Lautloses Surface Pro hält länger durch und bekommt LTE

  5. Matebook X

    Huawei stellt erstes Notebook vor

  6. Smart Home

    Nest bringt Thermostat Ende 2017 nach Deutschland

  7. Biometrie

    Iris-Scanner des Galaxy S8 kann einfach manipuliert werden

  8. Bundesnetzagentur

    Drillisch bekommt eigene Vorwahl zugeteilt

  9. Neuland erforschen

    Deutsches Internet-Institut entsteht in Berlin

  10. Squad

    Valve heuert Entwickler des Kerbal Space Program an



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Quantencomputer: Was sind diese Qubits?
Quantencomputer
Was sind diese Qubits?
  1. IBM Q Mehr Qubits von IBM
  2. Verschlüsselung Kryptographie im Quantenzeitalter
  3. Quantencomputer Bosonen statt Qubits

HTC U11 im Hands on: HTCs neues Smartphone will gedrückt werden
HTC U11 im Hands on
HTCs neues Smartphone will gedrückt werden
  1. HTC Vive Virtual Reality im Monatsabo
  2. Sense Companion HTCs digitaler Assistent ist verfügbar
  3. HTC U Ultra im Test Neues Gehäuse, kleines Display, bekannte Kamera

  1. Re: OffTopic: Konto löschen?

    Cok3.Zer0 | 00:20

  2. Re: Warum gibts Heimautomation immer nur als...

    Lyve | 00:17

  3. Re: Wundert mich nicht, die löschen auch...

    Eheran | 00:09

  4. Re: Kommt mir auch auf Kundenseite bekannt vor.

    My1 | 00:01

  5. Re: Mafia 3

    Umaru | 23.05. 23:58


  1. 16:58

  2. 16:10

  3. 15:22

  4. 14:59

  5. 14:30

  6. 14:20

  7. 13:36

  8. 13:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel