Terracota: la VPN que encubre acciones maliciosas

4:27 0 Comments A+ a-


Terracota: Una red VPN que está comercialmente disponible en China está siendo utilizada por atacantes para enmascarar sus ataques a organizaciones alrededor del mundo, de acuerdo a un nuevo reporte de RSA.
El estudio, titulado  “Terracotta PVN: Enable of Advanced Threat Anonymity“, presenta cómo el servicio VPN es utilizado por varios actores que están llevando adelante diferentes ataques del tipo APT (Advanced Persistent Threats), incluyendo Shell_Crew y Deep Panda, para ingresar a servidores y lograr nodos.
RSA afirma que la red VPN “de soporte de malware”, que ha sido llamada Terracotta, ha adquirido hasta el momento 1.5000 nodos, principalmente de servidores Windows. Esto se alcanza subrepticiamente, mediante organizaciones comprometidas y que no están al tanto que sus sistemas han sido penetrados por atacantes que son capaces de ocultar sus actividades a través de la red VPN.
Lo que es notable de Terracotta, a diferencia de redes VPN similares, es que se origina en China y, además de conducir tráfico legítimo y potencialmente ilegítimo, ha sido utilizada para anonimizar y ofuscar actividad de APTs pertenecientes a grupos de atacantes,” explicó Peter Beardmore, Senior Consultant de RSA.
A menudo, los profesionales de ciberseguridad de grandes organizaciones (que tienen más chances de ser blanco de APTs) restringen o bloquean direcciones IP redes VPN conocidas. Los atacantes que utilizan la red Terracotta han sobrepasado efectivamente esa línea de defensa, ya que las prácticas de Terracotta son fundamentalmente diferentes de las redes VPN comerciales.
En su exhaustivo paper, cuyos hallazgos fueron presentados en la conferencia BlackHat que se desarrolla en Las Vegas, RSA describió que entre los blancos se encuentran algunos gobiernos occidentales y empresas.
Terracotta además es de gran atractivo para los atacantes ya que les permite enmascarar efectivamente sus actividades ilegaleshaciéndolos parecer como provenientes de fuentes auténticas. Incluso, cualquier intento de bloquear, restringir o detectar las direcciones IP son obstaculizados por el hecho de que se agregan nuevos nodos, que están alojados en servidores de organizaciones genuinas.
RSA afirma que es la primera vez que han observado actividades maliciosas de este tipo en una red VPN.
Fuente: welivesecurity.com
............................................................................................................................................................................
El tema de las VPN, y más allá de los distintos tipos, implica  el uso de túneles cifrados (en la mayoría de los casos)  resultando atractivas como alternativa de protección a nuestra privacidad o preservar el  anonimato cuando navegamos por Internet, siempre y cuando la montemos nosotros y utilicemos nuestro propio server; ya que los servicios de VPN (y más que nada los gratuitos) resultan poco confiables.
Alcanza con recordar: cuando el servicio es gratuito el producto eres tú.
Entre otras cosas, no solo podemos ser objeto de ataques MitM, sino que volviendo a ejercitar la memoria hagamos acuerdo del  caso de “Hola VPN” [la extensión para Google Chrome y Mozilla Firefox que permitía anonimizar nuestras incursiones por la red, con la particularidad que  en vez de salir a Internet a través de un Server Central utilizaba las conexiones a Internet de los usuarios] que terminó siendo una especie de gigantesca “botnet”. Ni que decir si el proveedor del servicio guarda registros de tráfico.
Quedáis avisados, sobre Terracota.