Sonda cyberprzestępstw GhostNet nadal ma luźne końcówki

Prawie trzy miesiące po tym, jak raport opisał rozległą, ogólnoświatową operację cyber szpiegostwa, wiele krajów, które zostały zaatakowane przez hakerów, mogło nie zostać jeszcze formalnie powiadomionych.

Bariery prawne utrudniły wysiłki w celu skontaktowania się z wieloma krajami, których komputery Ambasady i ministerstwa spraw zagranicznych zostały zainfekowane złośliwym oprogramowaniem zdolnym do kradzieży danych, powiedział Nart Villeneuve, jeden z autorów szczegółowego 53-stronicowego raportu, który rzuca nowe światło na zakres cyber szpiegowania.

Raport został napisany przez analitycy z Information Warfare Monitor, projektem badawczym grupy SecDev, think tankiem i Munk Centre for International Studies na Uniwersytecie w Toronto.

[Czytaj dalej g: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Analitycy odkryli operację o nazwie "GhostNet", która zainfekowała komputery należące do tybetańskich organizacji pozarządowych i prywatnego biura Dalaj Lamy.

Dalsze dochodzenie pokazało komputery w 103 krajach zostały zarażone, a także organizacje takie jak ASEAN (Stowarzyszenie Narodów Azji Południowo-Wschodniej) i Azjatycki Bank Rozwoju. Dane zostały wysłane do zdalnych serwerów, z których wiele znajdowało się w Chinach.

Raport był jednym z pierwszych publicznie ujawnionych śledztw, które pokazały, jak łatwo było hakerów zaatakować organizacje za pomocą inżynierii społecznej i ataków złośliwego oprogramowania.

hakerzy używali powszechnie dostępnego złośliwego oprogramowania, narzędzia zdalnego dostępu o nazwie gh0st RAT (Remote Access Tool), aby kraść poufne dokumenty, obsługiwać kamery internetowe i całkowicie kontrolować zainfekowane komputery. W przypadku tybetańskich organizacji pozarządowych pracownicy otrzymali e-mail zawierający dokument Microsoft Word, który po otwarciu wykorzystał znaną lukę w zabezpieczeniach, która nie została załatana w aplikacji.

Szereg błędów popełnionych przez hakerów umożliwił badaczom wskazanie używanych serwerów aby zebrać dane i zasięg sond, powiedział Villeneuve.

Villeneuve powiedział, że szczegółowe informacje o zaatakowanych komputerach zostały przekazane tylko w Canadian Cyber ​​Incident Response Center (CCIRC), krajowym centrum cyberprzestępczości. CCIRC jest w trakcie kontaktowania się z niektórymi zainteresowanymi grupami, powiedział.

Analitycy, którzy napisali raport, uważali, że jest to najbezpieczniejsza opcja, ponieważ nie chcieli ujawnić dokładnie, jakie komputery zostały przejęte do krajów, które potencjalnie nadużywają poufne informacje.

"Jeśli możesz sobie wyobrazić przekazanie tej listy zainfekowanych komputerów chińskiemu zespołowi CERT (Computer Emergency Response Team), [to] byłoby po prostu czymś, z czym nie byłbym zadowolony", powiedział Villeneuve, który wypowiadał się na marginesie Konferencji nt. Cyberprzestępczości w czwartek w Tallinie w Estonii. "Czuliśmy, że byliśmy w rodzaju próżni prawnej."

Od czasu raportu, który opisywał narody dotknięte chorobą, prawdopodobnie wiedzą o tym, co się stało, powiedział Villeneuve. Jednak fakt, że wszyscy nie zostali powiadomieni, podkreśla obawy związane z udostępnianiem informacji o incydentach cybernetycznych.

Villeneuve powiedział, że był "paranoidalny i przestraszony", gdy chodziło o więzienie w sprawie swoich badań, mimo że wszystko to zostało zrobione w linii zgodnie ze standardami etycznymi i prostym wyszukiwaniem w Google znalazły się niektóre z najbardziej przekręcających informacji o tym, jak GhostNet zbiera dane.

"Wolałbym nie wystraszyć władz, mając wszystkie te informacje o zainfekowanych, wrażliwych hostach," powiedział Villeneuve. "Czuliśmy, że trzeba przejść przez właściwe kanały, które najlepiej, jak możemy się zorientować, stanowiły Centrum Reagowania na Incydenty Cybernetyczne."

Raport posłużył jako sygnał alarmowy do organizacji na temat bezpieczeństwa. Jednak mniejsze organizacje pozarządowe często nie mają specjalistycznej wiedzy, aby wdrożyć dokładniejsze zabezpieczenia komputera, mimo że jego brak jest zagrożeniem, powiedział Villeneuve.

Od kiedy raport opublikowano w marcu, GhostNet wyparował. Serwery zbierające dane przełączyły się w tryb offline z dniem opublikowania raportu. Chiny oficjalnie zaprzeczyły jakiemukolwiek połączeniu z operacją, a osoby odpowiedzialne za jego prowadzenie nigdy nie zostały zidentyfikowane, powiedział Villeneuve.