Głęboka sieć komputerów szpiegujących dotknęła 103 krajów

10-miesięczne dochodzenie w sprawie cyberprzestępczości odkryło, że szpiegowano 1295 komputerów w 103 krajach i należących do instytucji międzynarodowych, a niektóre poszlaki sugerują, że Chiny mogą być winne.

Opublikowany w niedzielę 53-stronicowy raport niektóre z najbardziej przekonujących dowodów i szczegółów wysiłków hakerów o politycznej motywacji, podczas gdy rodzą się pytania o ich powiązania z operacjami cyberprzestępczymi objętymi sankcjami rządu.

Opisuje sieć, którą naukowcy nazwali GhostNet, która wykorzystuje przede wszystkim złośliwy program o nazwie gh0st RAT (Remote Access Tool) kradnie poufne dokumenty, kontroluje kamery internetowe i całkowicie kontroluje zainfekowane komputery.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

"GhostNet reprezentuje sieć skompromitowanych komputerów znajdujących się w wysoko cenionych lokalizacjach politycznych, gospodarczych i medialnych w wielu krajach na całym świecie" - czytamy w raporcie napisanym przez analityków za pomocą Information Warfare Monitor, badania projekt grupy SecDev, think tanku i Munk Centre for International Studies na Uniwersytecie w Toronto. "W chwili pisania tych informacji organizacje te niemal na pewno nie zwracają uwagi na zhakowaną sytuację, w której się znajdują."

Analitycy powiedzieli jednak, że nie mają potwierdzenia, czy uzyskane informacje okazały się cenne dla hakerów lub czy został sprzedany lub przekazany jako wywiad.

Szpiegostwo od 2004

Operacja prawdopodobnie rozpoczęła się około 2004 roku, badacze czasu bezpieczeństwa zauważyli, że wiele z tych instytucji otrzymywało fałszywe wiadomości e-mail z plikami wykonywalnymi przywiązuje się do nich, według Mikko Hypponena, dyrektora ds. badań antywirusowych w firmie F-Secure. Hypponen, który od lat śledzi ataki, twierdzi, że taktyka GhostNet znacznie się rozwinęła od tamtego czasu. "Przez ostatnie trzy i pół roku było dość zaawansowane i dość techniczne."

"Naprawdę dobrze jest zobaczyć to w tej chwili, ponieważ to trwa tak długo i nikt nie zwraca na to uwagi "- dodał.

Chociaż dowody pokazują, że serwery w Chinach zbierały niektóre wrażliwe dane, analitycy byli ostrożni w łączeniu szpiegowania z chińskim rządem. Chiny mają raczej jedną piątą użytkowników Internetu na świecie, wśród których mogą być hakerzy, których cele są zgodne z oficjalnymi chińskimi pozycjami politycznymi.

"Przypisywanie chińskiemu złośliwemu oprogramowaniu celowych lub ukierunkowanych operacji gromadzenia informacji przez chińskie państwo jest błędne i wprowadzające w błąd, "raport mówi.

Jednakże Chiny podjęły wspólny wysiłek od lat 90. XX wieku, aby wykorzystać cyberprzestrzeń dla uzyskania przewagi militarnej." Chiński nacisk na zdolności cybernetyczne jako część strategii narodowej asymetrycznej wojny polega na rozmyślnym rozwijaniu zdolności, które obchodzą amerykańską wyższość w dowodzenia i kontroli nad wojną ", napisano.

Tybetańskie komputery zerwane

Drugi raport, napisany przez badaczy z University of Cambridge i opublikowany we współpracy z gazetami Uniwersytetu w Toronto, był mniej ostrożny, mówiąc, że ataki przeciwko Biuro Jego Świątobliwości Dalajlamy (OHHDL) zostało uruchomione przez "agentów chińskiego rządu". Zespół z Cambridge zatytułował swój raport "The Snooping Dragon."

Badania analityków rozpoczęły się po uzyskaniu dostępu do komputerów należących do rządu tybetańskiego na uchodźstwie, tybetańskich organizacji pozarządowych i prywatnego biura Dalaj Lamy, które dotyczyło o wycieku poufnych informacji, zgodnie z raportem.

Znaleźli komputery zainfekowane złośliwym oprogramowaniem, które zezwalało zdalnym hakerom na kradzież informacji. Komputery zostały zainfekowane po tym, jak użytkownicy otworzyli złośliwe załączniki lub kliknęli link prowadzący do szkodliwych witryn sieci Web.

Witryny internetowe lub złośliwe załączniki będą próbowały wykorzystać luki w oprogramowaniu w celu przejęcia kontroli nad urządzeniem. W jednym z przykładów szkodliwa wiadomość e-mail została wysłana do organizacji stowarzyszonej w Tybecie z adresem zwrotnym "[email protected]" z zainfekowanym załącznikiem Microsoft Word.

Kiedy analitycy zbadali sieć, stwierdzili, że serwery zbierające dane nie były zabezpieczone. Uzyskali dostęp do paneli kontrolnych używanych do monitorowania zaatakowanych komputerów na czterech serwerach.

Te panele kontrolne ujawniły listy zainfekowanych komputerów, które wykroczyły daleko poza rząd Tybetu i organizacje pozarządowe. Trzy z czterech serwerów sterujących znajdowały się w Chinach, w tym w Hainan, Guangdong i Syczuan. Jedna z nich była w Stanach Zjednoczonych, jak głosi raport. Pięć z sześciu serwerów dowodzenia znajdowało się w Chinach, a pozostałe w Hongkongu.

Raport Uniwersytetu w Toronto sklasyfikował blisko 30 procent zainfekowanych komputerów jako cele o "wysokiej wartości". Maszyny te należą do Ministerstwa Spraw Zagranicznych Bangladeszu, Barbadosu, Bhutanu, Brunei, Indonezji, Iranu, Łotwy i Filipin. Zarażono również komputery należące do ambasad Cypru, Niemiec, Indii, Indonezji, Malty, Pakistanu, Portugalii, Rumunii, Korei Południowej, Tajwanu i Tajlandii.

Zakażone grupy międzynarodowe objęły sekretariat ASEAN (Stowarzyszenie Narodów Azji Południowo-Wschodniej), SAARC (Południowoazjatyckie Stowarzyszenie Współpracy Regionalnej) i Azjatycki Bank Rozwoju; niektóre organizacje informacyjne, takie jak brytyjski oddział Associated Press; i niesklasyfikowany komputer NATO.

Uwagę na potrzeby bezpieczeństwa

Obecność GhostNet podkreśla potrzebę pilnego zwrócenia uwagi na bezpieczeństwo informacji, napisali analitycy. "Możemy spokojnie wysnuć hipotezę, że [GhostNet] nie jest ani pierwszym, ani jedynym tego rodzaju".

Naukowcy z Cambridge przewidują, że te ściśle ukierunkowane ataki są powiązane z zaawansowanym szkodliwym oprogramowaniem - nazywają je "szkodliwym oprogramowaniem społecznościowym" - stanie się bardziej rozpowszechniony w przyszłości. "Społeczne złośliwe oprogramowanie raczej nie pozostanie narzędziem rządów", piszą. "Co zrobili chińscy szpiedzy w 2008 roku, rosyjscy oszuści zrobią w 2010 roku."

Podczas gdy F-Secure do tej pory widział tylko kilka tysięcy takich ataków, są one już problemem dla użytkowników korporacyjnych w sektorze obronnym, powiedział Hypponen. "Widzimy to teraz tylko na niewielką skalę", powiedział. "Jeśli mógłbyś zastosować takie techniki i zrobić to na masową skalę, to oczywiście zmieniłoby grę."

(Robert McMillan z San Francisco przyczynił się do tego raportu)