Rețeaua profundă de spionaj a computerului Touched 103 Țări

Raportul de 53 de pagini, lansat duminică, prevede unele dintre cele mai convingătoare dovezi și detalii ale eforturilor hackerilor motivate politic ridicandu-și în același timp întrebări legate de legăturile lor cu operațiunile cyberspying sancționate de guvern.

Descrie o rețea pe care cercetătorii o numesc GhostNet, care utilizează în primul rând un program software rău intenționat numit gh0st RAT (Remote Access Tool) pentru a fura documentele sensibile, controla camere web și controla complet computerele infectate.

[Citirea în continuare: Cum se elimină malware de pe PC-ul dvs. de Windows]

"GhostNet reprezintă o rețea de computere compromise care locuiesc în locații politice, economice și media de mare valoare, răspândite în numeroase țări din întreaga lume", a declarat raportul, scris de analiști cu Monitorul de Informații Warfare proiect al grupului SecDev, un think-tank, și Centrul Munk pentru Studii Internaționale de la Universitatea din Toronto. "La momentul scrierii, aceste organizații sunt aproape sigur de a ignora situația compromisă în care se află."

Analiștii au spus însă că nu au nici o confirmare dacă informațiile obținute au ajuns să fie valoroase pentru hackeri sau dacă a fost vândut sau transmis comercial ca inteligență.

Spionarea din 2004

Operațiunea a început probabil în jurul anului 2004, cercetătorii în domeniul securității timpului au observat că multe dintre aceste instituții au primit mesaje false de e-mail cu fișiere executabile atașat acestora, potrivit lui Mikko Hypponen, director de cercetare antivirus la F-Secure. Hypponen, care a urmărit atacurile de ani de zile, declară că tactica lui GhostNet a evoluat considerabil de la acele zile. "În ultimii trei ani și jumătate a fost destul de avansată și destul de tehnică." "Este foarte bine să vedem un punct de reflecție în acest sens în timp ce lucrurile chiar acum, pentru că se întâmplă atât de mult și nimeni nu a acordat atenție ", a adăugat el.

Deși dovezile arată că serverele din China colecționau unele date sensibile, analiștii erau precauți în legătura dintre spioni și guvernul chinez. Mai degrabă, China are o cincime din utilizatorii de Internet din lume, printre care se numără hackerii care au obiective care se aliniază cu pozițiile politice oficiale chineze. "Atribuirea tuturor malware-urilor chineze la operațiunile de culegere de informații intenționate sau intenționate de către statul chinez este greșită și înșelătoare, "China a făcut eforturi concertate începând cu anii 1990 pentru a folosi spațiul cibernetic pentru avantajul militar" Orientarea chineză asupra capabilităților cibernetice, ca parte a strategiei sale de luptă asimetrică națională, implică dezvoltarea în mod deliberat a capacităților care ocolește superioritatea SUA în "

Computerele din Tibet au fost incalcate

Un al doilea raport, scris de cercetatorii de la Universitatea din Cambridge si publicat in legatura cu hartia de la Universitatea din Toronto, a fost mai putin circumspect, spunand ca atacurile impotriva Oficiul Sfinției Sale Dalai Lama (OHHDL) a fost lansat de "agenți ai guvernului chinez". Echipa Cambridge și-a intitulat raportul "The Dragon Snooping".

Cercetarea analiștilor a început după ce li sa permis accesul la computerele aparținând guvernului tibet în exil, organizațiilor neguvernamentale tibetane și biroului privat al Dalai Lama despre scurgerea informațiilor confidențiale, potrivit raportului.

Au descoperit computerele infectate cu software rău intenționat care i-au permis hackerilor de la distanță să fure informații. Computerele s-au infectat după ce utilizatorii au deschis atașamente rău intenționate sau au dat clic pe link-uri care duc la pagini Web dăunătoare.

Site-urile web sau atașamentele dăunătoare ar încerca apoi să exploateze vulnerabilitățile software pentru a prelua controlul asupra mașinii. Într-un exemplu, un e-mail rău intenționat a fost trimis la o organizație afiliată Tibet cu o adresă de returnare a campaniei "[email protected]" cu un atașament infectat cu Microsoft Word.

În timp ce analiștii au analizat rețeaua, au descoperit că serverele care colectează datele nu au fost asigurate. Au obținut acces la panourile de control folosite pentru a monitoriza computerele hackate de pe patru servere.

Aceste panouri de control au dezvăluit liste de computere infectate, care au depășit cu mult guvernul Tibet și ONG-urile. Trei din cele patru servere de control au fost amplasate în China, inclusiv Hainan, Guangdong și Sichuan. Unul a fost în S.U.A., a spus raportul. Cinci din cele șase servere de comenzi au fost în China, iar restul în Hong Kong.

Raportul Universității din Toronto a clasificat aproape 30% din computerele infectate ca ținte "de valoare ridicată". Aceste mașini aparțin ministrului afacerilor externe din Bangladesh, Barbados, Bhutan, Brunei, Indonezia, Iran, Letonia și Filipine. De asemenea, au fost infectate computerele aparținând ambasadelor Ciprului, Germaniei, Indiei, Indoneziei, Maltei, Pakistanului, Portugaliei, României, Coreei de Sud, Taiwanului și Thailandei.

Grupurile internaționale infectate au inclus secretariatul ASEAN (Asociația Națiunilor din Asia de Sud-Est) SAARC (Asociația Asiei de Sud pentru Cooperare Regională) și Banca Asiatică de Dezvoltare; unele organizații de știri, cum ar fi afiliatul din Regatul Unit al Associated Press; și un calculator NATO neclasificat.

Punctul de vedere al nevoilor de securitate

Existența GhostNet evidențiază necesitatea de a acorda o atenție urgentă securității informațiilor, au scris analiștii. "Putem presupune in siguranta ca aceasta [GhostNet] nu este nici prima, nici singura de acest fel". Cercetatorii de la Cambridge estimeaza ca aceste atacuri foarte bine directionate, combinate cu malware sofisticat - ii numesc "malware social" va deveni mai răspândită în viitor. "Malware-ul social este puțin probabil să rămână un instrument al guvernelor", scriu ei. "Ceea ce speriile chinezești au făcut în 2008, frații ruși vor face în 2010". În timp ce F-Secure a văzut doar câteva mii de atacuri până acum, acestea sunt deja o problemă pentru utilizatorii corporativi din sectorul apărării, a spus Hypponen. "Vedem acest lucru chiar acum la o scară minusculă", a spus el. "Dacă ai putea să faci astfel de tehnici și să o faci la scară mare, bineînțeles asta ar schimba jocul."

(Robert McMillan din San Francisco a contribuit la acest raport)