EMC旗下的資安服務部門RSA發表一篇研究報告指出,中國有一虛擬私有網路(VPN)業者盜用其他網站的伺服器與頻寬,並藉由不同的品牌提供服務,成為駭客執行進階持續性滲透攻擊(Advanced Persistent Threat, APT)的重要管道,RSA並將該業者命名為「兵馬俑」(Terracotta)。
中國的VPN服務頗為發達,主要是當地民眾用來閃避中國政府的網路控管行為,突破中國網路防火牆的限制,同時也可用來遮掩駭客的行蹤。
根據RSA的調查,Terracotta在全球提供超過1500個傳輸節點,這些節點隸屬於300個不同的組織,估計有超過500個節點是透過合法的租賃關係取得。然而,有些組織應該是遭到Terracotta挾持,使其伺服器與頻寬在不知情的狀況下遭到Terracotta利用。
RSA指出,遭到Terracotta挾持的多半是未設置安全團隊的小型組織,但也有多家大型組織的Windows伺服器被危害而成為Terracotta的節點。RSA列出23家被Terracotta利用的組織,其中包括位居財富全球五百強的連鎖飯店與工程公司,還有多個美國的政府單位,以及美國、台灣與日本的大學。VPN服務最大的成本支出為頻寬,Terracotta盜用他人的伺服器與頻寬顯然是為了增加獲利空間。
在RSA對外分享了Terracotta的行徑之後,開始收到合作夥伴所回饋的攻擊報告,指稱有許多由中國贊助的攻擊行動源自於Terracotta網路,且至少利用了Terracotta的52個節點並針對西方國家的政府與商業組織進行APT攻擊,這些攻擊流量摻雜在其他合法的VPN流量中因而更難辨識。
另有報告指出,有27個Terracotta節點被用來傳送網釣郵件。不過,RSA並未公布Terracotta在中國境內所使用的各種品牌名稱。(編譯/陳曉莉)