Компания RSA, входящая в состав альянса EMC Federation, опубликовала подробный отчет о действующем в Китае коммерческом VPN-сервисе под условным названием «Terracotta». Этот сервис используется как прикрытие для APT-групп, включая хорошо известную сейчас группировку Shell_Crew / Panda (о работе которой аналитики RSA рассказали в своем отчете в январе 2014: http://www. emc. com/collateral/white-papers/h12756-wp-shell-crew. pdf ).

На данный момент в сеть «Terracotta» входят более 1500 VPN-узлов по всему миру. Большинство из них представляют собой недостаточно защищенные серверы Windows, которые были взломаны без ведома легитимных организаций, которым они принадлежат. Сеть постоянно пополняется новыми узлами, информация о которых не выходит за пределы базы пользователей сети «Terracotta».

Сервис «Terracotta» отличается от других аналогичных VPN-сетей тем, что был создан в Китае и (помимо переноса легитимного и потенциально нелегитимного трафика в основном для обхода «Великого китайского файрвола», отделяющего Китай от многих интернет-ресурсов) используется для анонимизации и маскировки деятельности групп злоумышленников (включая группировку Shell_Crew / Deep Panda). Он предлагается на нескольких китайских веб-сайтах, которые имеют похожий дизайн и зарегистрированы на одно юридическое лицо.

Часто в крупных организациях (которые часто являются мишенями APT-атак) специалисты по кибербезопасности ограничивают или блокируют известные IP-адреса коммерческих VPN-сетей. Инициаторы APT-атак, использующие сеть «Terracotta», успешно обходят эту линию защиты, так как используемые в сети «Terracotta» механизмы радикально отличаются от механизмов, используемых в легитимных коммерческих VPN-сетях.

Для потенциальной жертвы APT-атаки трафик, идущий от узла сети «Terracotta» может предоставляться как легитимный трафик от легитимной организации, которая на самом деле представляет собой жертву сети «Terracotta» с инфицированным сервером.

Важно отметить, что нет подтверждений тому, что сеть «Terracotta» и ее операторы каким-либо образом связаны с инициаторами APT-атак. Аналогичные сервисы широко предлагаются в китайском Интернете по подписке по очень невысоким ценам (цена подписки на сервис «Terracotta» составляет примерно $3 USD в месяц). Практикуемый сетью «Terracotta»

незаконный захват VPN-узлов представляет собой, видимо, экономичный способ функционирования. Однако подобные способы потенциально предоставляют преимущества инициаторам APT-атак.

Судя по имеющимся данным, сервис «Terracotta» пользуется коммерческим успехом (в определенной степени). Данные показывают, что эта сеть имеет легитимных пользователей и переносит легитимный трафик. Смешивание с легитимным трафиком может также содействовать маскировке APT-трафика.