Résumé
SoftEther VPN est un client VPN libre et gratuit créé par des chercheurs japonais et utilisé à des fins commerciales et non commerciales. Les États-Unis, le Japon et la Chine sont les trois pays où Censys a observé le plus grand nombre d'hôtes SoftEther. Censys a également constaté que quatre des dix premiers systèmes autonomes où SoftEther a été trouvé sont des organisations basées en Chine.
De 2019 à février 2023, plusieurs groupes de menaces, dont APT 41, Gallium, Venomous Bear et Hydrochasma, ont utilisé le logiciel SoftEther VPN pour maintenir un accès persistant dans les environnements de leurs victimes. Ces acteurs de la menace installent SoftEther VPN sur l'hôte d'une victime et le configurent pour qu'il se connecte à l'infrastructure de l'acteur de la menace. Cela leur permet de créer et de maintenir un point d'ancrage dans le réseau de la victime et de faciliter les actions de suivi (1,2,3,4).
En outre, le FBI a déclaré qu'APT 41, un groupe de menace basé en Chine, a spécifiquement exploité les vulnérabilités du logiciel VPN SoftEther pour déployer le logiciel malveillant "Skeleton Key" afin de créer un mot de passe principal qui leur permet d'accéder à n'importe quel compte sur le domaine de la victime (5).
Résultats
Entre le 20 et le 21 mars 2023, Censys a découvert plus de 148 000 serveurs VPN SoftEther dans le monde ; parmi ceux-ci, environ 32 000 exécutent également IKE (Internet Exchange Key), un protocole VPN couramment observé, et plus de 36 000 exécutent le protocole SSH, qui peut être utilisé et exploité par les attaquants pour l'administration à distance.
Censys a constaté que près de 13 % des serveurs VPN SoftEther Censys identifiés dans le monde (via les titres HTTP HTML et les empreintes Jarm spécifiques à SoftEther) étaient situés aux États-Unis, suivis de près par le Japon (8 %) et la Chine (7 %).
Carte thermique de tous les serveurs VPN SoftEther
Au moment de la rédaction de cet article, voici les dix principaux pays où Censys a pu observer les hôtes du VPN SoftEther, ainsi qu'une brève ventilation détaillée de ces serveurs aux États-Unis.
Les statistiques suivantes décrivent les dix premiers systèmes autonomes (sur la base du routage BGP) qui annoncent des adresses IP hébergeant des serveurs VPN SoftEther. Quatre des systèmes autonomes Censys figurant parmi les dix premiers sont des organisations basées en Chine.
Censys a également examiné les trois systèmes autonomes chinois de la liste ci-dessus (TENCENT-NET-AP-CN, CHINANET-BACKBONE, TENCENT-NET-AP, et ALIBABA-CN-NET) et a ventilé les adresses IP annoncées à l'intérieur des États-Unis et a trouvé 1 154 hôtes exécutant des serveurs VPN SoftEther. La Californie compte le plus grand nombre d'hôtes américains annoncés par la Chine, avec 1 143 (99,05 % du total), tandis que la Virginie ne compte que 11 hôtes (0,95 %).
Les statistiques suivantes portent sur le nombre d'hôtes dans les dix premiers pays, sur la base des recherches syntaxiques suivantes : Censys :
En plus des données ci-dessus, Censys a identifié "SoftEther" dans un certain nombre de certificats présentés sur un total de 606 hôtes dans le monde.
