Un pericolo difficile da fronteggiare la cui attività può, però, essere rivelata utilizzando strumenti avanzati di monitoraggio della rete, prima che sofisticate campagne di attacchi possano arrecare danni al business.
Questa, in soldoni, la sintesi della relazione resa nota già lo scorso agosto da Rsa Research sulle basi di un’analisi condotta, a livello mondiale, da dicembre 2013 a oggi, sui nodi di una rete Vpn commerciale, nata in Cina e ribattezzata Terracotta, utilizzata come piattaforma di lancio per gli attori delle minacce persistenti avanzate, tra cui il noto gruppo Shell_Crew/Deep Panda, descritto dalla divisione sicurezza di Emc nel report “Rsa Incident Response: Emerging Threat Profile”, datato gennaio 2014.
Scopo della relazione, come riportato all’interno di quest’ultimo: condividere le informazioni sulle minacce fruibili per mitigarne l’impatto all’interno dell’organizzazione riducendo il tempo di esposizione e minimizzando le potenziali perdite di dati.
La rete Terracotta include, infatti, oltre 1.500 nodi Vpn distribuiti in tutto il mondo, ottenuti principalmente con azioni di hacking su server Windows protetti in modo inadeguato all’interno di organizzazioni legittime, senza che la vittima ne sia a conoscenza o ne abbia autorizzato l’accesso. Con l’accrescere delle vittime inconsapevoli, si aggiungono nuovi nodi, anche perché Terracotta viene commercializzato su diversi siti Web in lingua cinese, tutti con un design simile e tutti registrati a un’entità comune.
Si tratta, infatti, di un servizio Vpn commerciale venduto in Cina con marchi diversi, soprattutto per l’attraversamento del Great Firewall e l’anonimizzazione degli utenti con tariffe per servizio che, nel caso di Terracotta, sono di circa tre dollari al mese.
Come se non bastasse, non pubblicando gli indirizzi Ip, ma facendo risiedere i nodi in organizzazioni imprenditoriali e governative legittime e includendo anche il traffico commerciale legittimo, Terracotta ostacola, di fatto, le organizzazioni bersaglio delle minacce Apt, o Advanced persistent threat, che normalmente riescono a bloccare, limitare o monitorare indirizzi Ip da servizi Vpn noti.
Il risultato, come notato dai ricercatori Rsa, è che gli hacker che utilizzano la rete Terracotta hanno efficacemente superato questa linea di difesa perché le prassi di Terracotta sono sostanzialmente diverse da quelle delle Virtual private network commerciali legittime.
