RSA安全研究人员最新发现，中国一个名为“兵马俑”的VPN服务商入侵了世界各地的Windows服务器，然后将其改造为VPN节点用于APT攻击组织Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)的网络间谍活动。

兵马俑VPN

“兵马俑”是中国的一个VPN服务商，在全球有1500多个节点，绝大部分位于中国、韩国、美国和东欧。有意思的是，这些VPN节点大多是由被黑客入侵的Windows服务器搭建而成。这些服务器的主人大多是小型公司和机构，因为小公司没有专门的安全人员进行维护，因而惨为“肉鸡”。

“兵马俑”VPN以不同的名义将这些节点出售给中国用户，同时RSA研究员还惊奇的发现，某些中国APT攻击组织如Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)也曾利用“兵马俑”VPN网络发动网络间谍活动。

我们已经在“兵马俑”网络上检测到了相当一部分流量。他们用VPN的目的是对其网络匿名，模糊地理位置。

2013年美国劳工部入侵事件就和深渊熊猫有关。

技术分析

调查研究发现，攻击者发现目标windows服务器后，会使用暴力破解的方式获得管理员的账号密码并登陆服务器，关闭windows防火墙。接下来攻击者会关闭服务器上所有的反恶意程序软件，安装一个远程访问木马(远控程序)。部署好上述几步之后，攻击者会创建一个新的账户，安装VPN服务。

此时被黑的“肉鸡”服务器会成为“兵马俑”VPN网络的一部分，这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。

“所有这些被入侵的系统使用的都是windows服务器。RSA研究员怀疑“兵马俑”之所以会选择windows服务器，是因为该平台很容易配置。并且受害者往往都是一些小型的公司或者机构，因为大公司会配有专门的安全人员，不容易入侵成功。”

(责任编辑：腰编辑)