Deep Computer-Spying Network Touched 103 Lande

Den 53-siders rapport, der blev offentliggjort søndag, giver nogle af de mest overbevisende beviser og detaljer i indsatsen af ​​politisk motiverede hackere, mens de rejser spørgsmål om deres bånd med statsstøttede cyberspying-operationer.

Det beskriver et netværk, som forskere har kaldt GhostNet, der primært bruger et ondsindet softwareprogram kaldet gh0st RAT (Remote Access Tool) til at stjæle følsomme dokumenter, kontrollere webkameraer og kontrollere inficerede computere helt.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

"GhostNet repræsenterer et netværk af kompromitterede computere, der er bosiddende i politiske, økonomiske og medieplaceringer med høj værdi, spredt over mange lande verden over", siger rapporten, skrevet af analytikere med Information Warfare Monitor, en undersøgelse projekt af SecDev-gruppen, en tænketank og Munk Center for Internationale Studier ved University of Toronto. "På tidspunktet for skrivningen er disse organisationer næsten helt sikkert uvidende om den kompromitterede situation, hvor de befandt sig."

Analytikerne sagde imidlertid, at de ikke har nogen bekræftelse, hvis de opnåede oplysninger er blevet værdifulde for hackerne eller om det har været kommercielt solgt eller videregivet som intelligens.

Spionering siden 2004

Operationen startede sandsynligvis omkring 2004, de tidssikkerhedsforskere bemærkede, at mange af disse institutioner blev sendt falske e-mail-meddelelser med eksekverbare filer knyttet til dem, ifølge Mikko Hypponen, direktør for antivirusforskning hos F-Secure. Hypponen, som har sporet angrebene i årevis, siger, at GhostNets taktik har udviklet sig betydeligt fra de tidlige dage. "I de sidste tre og et halvt år har det været ret avanceret og ret teknisk."

"Det er rigtig godt at se et spotlight på dette, mens det lige nu, fordi det har foregået så længe og ingen har været opmærksomme, "tilføjede han.

Selv om bevis viser, at servere i Kina samler nogle af de følsomme data, var analytikerne forsigtige med at forbinde spioneren med den kinesiske regering. I stedet har Kina en femtedel af verdens internetbrugere, som kan omfatte hackere, der har mål rettet mod officielle kinesiske politiske holdninger.

"At tildele alle kinesiske malware til bevidst eller målrettet efterretningsindsamling af den kinesiske stat er forkert og vildledende, "Meningen har Kina siden 1990'erne gjort en samordnet indsats for at bruge cyberspace til militær fordel." Det kinesiske fokus på cyberkapacitet som led i sin strategi for national asymmetrisk krigføring indebærer bevidst udvikling af kapaciteter, der omgår USAs overlegenhed i command-and-control warfare ", sagde det.

Tibet's Computers Breached

En anden rapport, skrevet af University of Cambridge forskere og offentliggjort i forbindelse med University of Toronto-papiret, var mindre omhyggelig og sagde, at angrebene mod Hans Hellighedskontor Dalai Lama (OHHDL) blev lanceret af "agenter fra den kinesiske regering." Cambridge-teamet hedder deres rapport, "The Snooping Dragon." Analytikernes forskning startede efter at have fået adgang til computere tilhørende Tibets regering i eksil, tibetanske ikke-statslige organisationer og Dalai Lama's private kontor, der var bekymret om udslip af fortrolige oplysninger, ifølge rapporten.

De fandt computere inficeret med ondsindet software, der gjorde det muligt for fjernhackere at stjæle oplysninger. Computerne blev inficeret, efter at brugere har åbnet skadelige vedhæftede filer eller klikket på linket, der fører til skadelige websteder.

Websiderne eller ondsindede vedhæftede filer vil derefter forsøge at udnytte software sårbarheder for at tage kontrol over maskinen. I et eksempel blev en ondsindet e-mail sendt til en Tibet-tilknyttet organisation med en returadresse på "[email protected]" med en inficeret Microsoft Word-vedhæftning.

Da analytikerne undersøgte netværket, fandt de, at servere, der indsamlede dataene, blev ikke sikret. De fik adgang til kontrolpaneler til overvågning af de hackede computere på fire servere.

Disse kontrolpaneler afslørede lister over inficerede computere, der gik langt ud over Tibet-regeringen og ngo'erne. Tre af de fire kontrolservere var placeret i Kina, herunder Hainan, Guangdong og Sichuan. Den ene var i USA, sagde rapporten. Fem af de seks kommandoservere var i Kina, med de resterende i Hong Kong.

Universitetet i Toronto rapporterede, at næsten 30 procent af de inficerede computere klassificeres som "højtværdige" mål. Disse maskiner tilhører udenrigsministeriet i Bangladesh, Barbados, Bhutan, Brunei, Indonesien, Iran, Letland og Filippinerne. Også inficerede var computere, der tilhører ambassaderne i Cypern, Tyskland, Indien, Indonesien, Malta, Pakistan, Portugal, Rumænien, Sydkorea, Taiwan og Thailand.

Internationale smittede grupper omfattede ASEAN-sekretariatet (Association of South East Asian Nations) SAARC (Sydasiatiske Sammenslutning for Regionalt Samarbejde) og Den Asiatiske Udviklingsbank; nogle nyhedsorganisationer som f.eks. den associerede presses U.K. og en uklassificeret NATO-computer.

Spotlight på sikkerhedsbehov

GhostNet's eksistens fremhæver behovet for hurtig opmærksomhed på informationssikkerhed, som analytikerne skrev. "Vi kan sikkert forestille os, at det [GhostNet] er hverken den første eller den eneste i sin art."

Cambridge forskerne forudser, at disse højt målrettede angreb bundtet med sofistikeret malware - de kalder dem "social malware" vil blive mere udbredt i fremtiden. "Social malware er usandsynligt, at forblive et redskab for regeringer," skriver de. "Hvilke kinesiske ryster gjorde i 2008, vil russiske skurke gøre i 2010."

Mens F-Secure kun har set et par tusinde af disse angreb, er de allerede et problem for virksomhedens brugere i forsvarssektoren, siger Hypponen.. "Vi ser kun dette lige nu i en lille skala," sagde han. "Hvis du kunne tage teknikker som dette og gøre det i massiv skala, ville det naturligvis ændre spillet."

(Robert McMillan i San Francisco bidrog til denne rapport)