儲存設備大廠EMC旗下的資安服務部門RSA,於8/4發表一篇名為「Terracotta VPN: Enabler of Advanced Threat Anonymity」的研究報告指出,中國有一虛擬私有網路(Virtual Private Network, VPN)業者盜用其他網站的伺服器與頻寬,並以數個不同的品牌提供服務,成為駭客執行進階持續性滲透攻擊(Advanced Persistent Threat, APT)的重要管道,RSA並將該業者命名為「兵馬俑」(Terracotta)。中國的VPN服務頗為發達,主要是當地民眾用來閃避中國政府的網路控管行為,突破中國網路防火牆的限制,同時也可用來遮掩駭客的行蹤。
根據RSA的調查,Terracotta在全球提供超過1500個傳輸節點,這些節點隸屬於300個不同的組織,估計約500個節點是透過合法的租賃關係取得。然而,有些組織的節點應該是遭到Terracotta挾持,使其伺服器與頻寬在不知情的狀況下遭到Terracotta利用。RSA指出,遭到Terracotta挾持的多半是未設置安全團隊的小型組織,但也有多家大型組織的Windows伺服器被危害而成為Terracotta的節點。RSA列出被Terracotta利用的組織屬性,其中包括位居財富全球五百強的連鎖飯店與工程公司,還有多個美國的政府單位,以及美國、台灣與日本的大學,但報告並未揭露這些受害者的名稱。VPN服務最大的成本支出為頻寬,Terracotta盜用他人的伺服器與頻寬顯然是為了增加獲利空間。
在RSA對外分享了Terracotta的行徑之後,開始收到合作夥伴所回饋的攻擊報告,指稱有許多由中國贊助的攻擊行動源自於Terracotta網路,且至少利用了Terracotta的52個節點並針對西方國家的政府與商業組織進行APT攻擊,這些攻擊流量摻雜在其他合法的VPN流量中因而更難辨識。不過RSA並未在報告內公布Terracotta在中國境內所使用的品牌名稱。