Zusammenfassung
SoftEther VPN ist ein kostenloser, quelloffener VPN-Client, der von Forschern in Japan entwickelt wurde und für kommerzielle und nichtkommerzielle Zwecke genutzt wird. Die Vereinigten Staaten, Japan und China sind die drei Länder, in denen Censys die meisten SoftEther-Hosts beobachtet hat. Censys fand außerdem heraus, dass vier der zehn wichtigsten autonomen Systeme, in denen SoftEther gefunden wurde, in China ansässige Organisationen sind.
Von 2019 bis Februar 2023 haben mehrere Bedrohungsgruppen, darunter APT 41, Gallium, Venomous Bear und Hydrochasma, SoftEther VPN-Software verwendet, um dauerhaften Zugriff auf die Umgebungen ihrer Opfer zu erhalten. Diese Bedrohungsakteure installieren SoftEther VPN auf dem Host eines Opfers und konfigurieren ihn so, dass er sich mit der Infrastruktur des Bedrohungsakteurs verbindet. Auf diese Weise können sie im Netzwerk des Opfers Fuß fassen und Folgeaktionen erleichtern (1,2,3,4).
Darüber hinaus hat das FBI festgestellt, dass APT 41, eine in China ansässige Bedrohungsgruppe, speziell Schwachstellen in der SoftEther VPN-Software ausgenutzt hat, um die "Skeleton Key"-Malware einzusetzen und ein Master-Passwort zu erstellen, das ihnen Zugang zu jedem Konto in der Domäne des Opfers ermöglicht (5).
Fundstücke
Zwischen dem 20. und 21. März 2023 entdeckte Censys weltweit über 148.000 SoftEther-VPN-Server; davon laufen etwa 32.000 auch mit IKE (Internet Exchange Key), einem häufig beobachteten VPN-Protokoll, und über 36.000 mit dem SSH-Protokoll, das von Angreifern zur Fernadministration genutzt und missbraucht werden kann.
Censys fand heraus, dass fast 13% der SoftEther-VPN-Server, die Censys weltweit identifiziert hat (über HTTP-HTML-Titel und SoftEther-spezifische Jarm-Fingerprints), in den Vereinigten Staaten angesiedelt waren, dicht gefolgt von Japan mit 8% und China direkt danach mit 7%.
Heatmap aller SoftEther VPN-Server
Zum Zeitpunkt der Erstellung dieses Artikels sind die folgenden zehn Länder, in denen Censys SoftEther VPN-Hosts beobachten konnte, zusammen mit einer kurzen detaillierten Aufschlüsselung dieser Server in den Vereinigten Staaten.
Die folgende Statistik zeigt die zehn wichtigsten autonomen Systeme (basierend auf BGP-Routing), die IP-Adressen ankündigen, die SoftEther VPN-Server hosten. Vier der autonomen Systeme Censys unter den Top Ten sind in China ansässige Organisationen.
Censys hat sich auch die drei in chinesischem Besitz befindlichen Autonomen Systeme aus der obigen Auflistung angesehen (TENCENT-NET-AP-CN, CHINANET-BACKBONE, TENCENT-NET-AP und ALIBABA-CN-NET) und die IP-Adressen herausgefiltert, die innerhalb der Vereinigten Staaten bekannt gegeben wurden und 1.154 Hosts gefunden, die SoftEther VPN-Server betreiben. Kalifornien hat mit 1.143 (99,05% der Gesamtzahl) die meisten in China angemeldeten US-Hosts, während Virginia nur 11 Hosts (0,95%) aufweist.
Die folgende Statistik zeigt die Anzahl der Hosts in den zehn wichtigsten Ländern auf der Grundlage der folgenden Censys Syntax-Suche:
Zusätzlich zu den oben genannten Daten identifizierte Censys "SoftEther" in einer Reihe von Zertifikaten, die auf insgesamt 606 Hosts weltweit ausgestellt wurden.
