Il report “RSA Research: Terracotta VPN” è stato realizzato a partire da una rete commerciale, utilizzata come piattaforma di lancio per gli attori delle minacce persistenti avanzate.
La rete Terracotta include oltre 1.500 nodi VPN distribuiti in tutto il mondo, ottenuti principalmente con azioni di hacking su server Windows protetti in modo inadeguato all’interno di organizzazioni legittime, senza che la vittima ne sia a conoscenza o ne abbia autorizzato l’accesso. Con l’accrescere delle vittime inconsapevoli, si aggiungono nuovi nodi.
Terracotta viene commercializzato in Cina, su diversi siti web in lingua cinese, tutti con un design simile e tutti registrati ad un’entità comune. Alcune caratteristiche specifiche di Terracotta sembrano fornire un certo grado di anonimato e dissimulazione per i soggetti attori di minacce avanzate: la rete Terracotta non pubblica gli indirizzi IP, i nodi risiedono in organizzazioni imprenditoriali e governative legittime, e include anche il traffico commerciale legittimo. Normalmente infatti le organizzazioni bersaglio delle minacce APT riescono a bloccare, limitare o monitorare indirizzi IP da servizi VPN noti; ma proprio per le peculiarità di Terracotta sopra descritte non sono in grado di farlo.
Massimo Vulpiani, Regional Director Europe South di RSA
RSA ha iniziato a monitorare i nodi di Terracotta a partire da dicembre 2013 e ha segnalato l’attività sospetta alle forze dell’ordine. Le caratteristiche uniche di Terracotta ne fanno un pericolo difficile da fronteggiare e siamo propensi a pensare che ci siano ancora molti aspetti che devono essere analizzati e conosciuti. Sappiamo però che l’attività di Terracotta può essere rilevata utilizzando strumenti di monitoraggio della rete come RSA Security Analytics e gli Indicatori di Compromesso che RSA mette a disposizione. In particolare RSA Security Analytics consente di rilevare e rispondere alle sofisticate campagne di attacchi avanzati prima che queste possano arrecare danni al business.