Una red VPN que está comercialmente disponible en China está siendo utilizada por atacantes para enmascarar sus ataques a organizaciones alrededor del mundo, de acuerdo a un nuevo reporte de RSA.
El estudio, titulado "Terracotta PVN: Enable of Advanced Threat Anonymity", presenta cómo el servicio VPN es utilizado por varios actores que están llevando adelante diferentes ataques del tipo APT (Advanced Persistent Threats), incluyendo Shell_Crew y Deep Panda, para ingresar a servidores y lograr nodos.
RSA afirma que la red VPN "de soporte de malware", que ha sido llamada Terracotta, ha adquirido hasta el momento 1.5000 nodos, principalmente de servidores Windows. Esto se alcanza subrepticiamente, mediante organizaciones comprometidas y que no están al tanto que sus sistemas han sido penetrados por atacantes que son capaces de ocultar sus actividades a través de la red VPN.
"Lo que es notable de Terracotta, a diferencia de redes VPN similares, es que se origina en China y, además de conducir tráfico legítimo y potencialmente ilegítimo, ha sido utilizada para anonimizar y ofuscar actividad de APTs pertenecientes a grupos de atacantes," explicó Peter Beardmore, Senior Consultant de RSA.
"A menudo, los profesionales de ciberseguridad de grandes organizaciones (que tienen más chances de ser blanco de APTs) restringen o bloquean direcciones IP redes VPN conocidas. Los atacantes que utilizan la red Terracotta han sobrepasado efectivamente esa línea de defensa, ya que las prácticas de Terracotta son fundamentalmente diferentes de las redes VPN comerciales."
En su exhaustivo paper, cuyos hallazgos fueron presentados en la conferencia BlackHat que se desarrolla en Las Vegas, RSA describió que entre los blancos se encuentran algunos gobiernos occidentales y empresas.
Terracotta además es de gran atractivo para los atacantes ya que les permite enmascarar efectivamente sus actividades ilegales, haciéndolos parecer como provenientes de fuentes auténticas. Incluso, cualquier intento de bloquear, restringir o detectar las direcciones IP son obstaculizados por el hecho de que se agregan nuevos nodos, que están alojados en servidores de organizaciones genuinas.
RSA afirma que es la primera vez que han observado actividades maliciosas de este tipo en una red VPN.