Dup Computer-Spioning Network Touched 103 Lande

En undersøkelse på 10 måneder for cyberspionage har funnet ut at 1295 datamaskiner i 103 land og tilhørende internasjonale institusjoner har blitt spionert, med noen bevismateriale som tyder på at Kina kan være skyld.

53-siders rapport, utgitt på søndag, gir noen av de mest overbevisende bevisene og detaljene i innsatsen til politisk motiverte hackere, samtidig som de hevder spørsmål om deres bånd med statlig sanksjonerte cyberspying-operasjoner.

Det beskriver et nettverk som forskere har kalt GhostNet, som primært bruker et ondsinnet program som heter gh0st RAT (Remote Access Tool) for å stjele sensitive dokumenter, kontrollere webkameraer og fullstendig kontrollere infiserte datamaskiner.

[Videre lesing: Hvordan fjerne skadelig programvare fra din Windows-PC]

"GhostNet representerer et nettverk av kompromitterte datamaskiner som er bosatt i høyverdige politiske, økonomiske og media steder spredt over mange land over hele verden," sa rapporten, skrevet av analytikere med Information Warfare Monitor, en forskning prosjekt av SecDev-konsernet, en tenktank, og Munk senter for internasjonale studier ved University of Toronto. "I skrivende stund er disse organisasjonene nesten helt uvitende om den kompromitterte situasjonen de befinner seg i."

Analytikerne sa imidlertid at de ikke har noen bekreftelse dersom informasjonen som er innhentet, har vært verdifull for hackerne eller om det har blitt kommersielt solgt eller sendt videre som intelligens.

Spionering siden 2004

Operasjonen startet sannsynligvis rundt 2004, registrerte tidssikkerhetsforskerne at mange av disse institusjonene ble sendt falske e-postmeldinger med kjørbare filer festet til dem, ifølge Mikko Hypponen, direktør for antivirusforskning på F-Secure. Hypponen, som har sporet angrepene i årevis, sier at GhostNets taktikk har utviklet seg betydelig fra de tidlige dagene. "I de siste tre og et halvt år har det vært ganske avansert og ganske teknisk."

"Det er veldig bra å se en spotlight på dette mens ting akkurat nå, fordi det har foregått så lenge og Ingen har vært oppmerksom, sier han.

Selv om bevis viser at servere i Kina samler noen av de sensitive dataene, var analytikerne forsiktige med å knytte spioner til den kinesiske regjeringen. I stedet har Kina en femtedel av verdens Internett-brukere, som kan inkludere hackere som har mål som retter seg mot offisielle kinesiske politiske stillinger.

"Det er feil og villedende å tildele all kinesisk malware til bevisst eller målrettet intelligenssamlingsoperasjoner fra den kinesiske staten, Kina har imidlertid gjort en samordnet innsats siden 1990-tallet for å bruke cyberspace for militær fordel. Det kinesiske fokuset på cyberfunksjoner som en del av strategien for nasjonal asymmetrisk krigføring innebærer bevisst utvikling av evner som omgår USAs overlegenhet i

En annen rapport, skrevet av University of Cambridge-forskere og publisert i forbindelse med University of Toronto-papiret, var mindre forsiktig og sa at angrepene mot Helligdomens kontor Dalai Lama (OHHDL) ble lansert av "agenter fra den kinesiske regjeringen." Cambridge-teamet heter rapporten, "The Snooping Dragon." Analytikernes forskning startet etter at de fikk tilgang til datamaskiner som tilhører Tibets regjering i eksil, tibetanske ikke-statslige organisasjoner og Dalai Lama-kontoret, som var bekymret om lekkasje av konfidensiell informasjon, ifølge rapporten.

De fant datamaskiner infisert med skadelig programvare som tillot ekstern hackere å stjele informasjon. Datamaskinene ble smittet etter at brukere har åpnet skadelige vedlegg eller klikket på koblet som fører til skadelige nettsteder.

Nettstedene eller ondsinnede vedlegg vil da prøve å utnytte programvareproblemer for å ta kontroll over maskinen. I et eksempel ble en skadelig e-post sendt til en tibet-tilknyttet organisasjon med en returadresse for "[email protected]" med et infisert Microsoft Word-vedlegg.

Da analytikerne undersøkte nettverket, fant de at servere som samler dataene, ble ikke sikret. De fikk tilgang til kontrollpaneler som ble brukt til å overvåke hackede datamaskiner på fire servere.

Disse kontrollpanelene avslørte lister over infiserte datamaskiner, som gikk langt utover Tibet-regjeringen og frivillige organisasjoner. Tre av de fire kontrollserverne var lokalisert i Kina, inkludert Hainan, Guangdong og Sichuan. Den ene var i USA, sa rapporten. Fem av de seks kommandoserverne var i Kina, med den gjenværende i Hong Kong.

Universitetet i Toronto rapporterte at nesten 30 prosent av de infiserte datamaskinene var "høyverdige" mål. Disse maskinene tilhører utenriksdepartementet i Bangladesh, Barbados, Bhutan, Brunei, Indonesia, Iran, Latvia og Filippinene. Også infiserte var datamaskiner som tilhører ambassader i Kypros, Tyskland, India, Indonesia, Malta, Pakistan, Portugal, Romania, Sør-Korea, Taiwan og Thailand.

Internasjonalt grupperte smittede blant annet ASEAN-sekretariatet, SAARC (South Asian Association for Regional Cooperation) og Den asiatiske utviklingsbanken; Noen nyhetsorganisasjoner som U.K.-tilknyttet Associated Press; og en uklassifisert NATO-datamaskin.

Spotlight på sikkerhetsbehov

GhostNets eksistens fremhever behovet for umiddelbar oppmerksomhet på informasjonssikkerhet, skriver analytikerne. "Vi kan trygt hypotesisere at det [GhostNet] er verken den første eller den eneste i sitt slag."

Cambridge-forskerne forutsier at disse høyt målrettede angrepene er kombinert med sofistikert malware - de kaller dem "sosiale malware" vil bli mer utbredt i fremtiden. "Sosial malware er usannsynlig å forbli et verktøy for regjeringer," skriver de. "Hva kinesiske spøkelser gjorde i 2008, vil russiske skurke gjøre i 2010."

Mens F-Secure kun har sett noen få tusen av disse angrepene, er de allerede et problem for bedriftsbrukere i forsvarssektoren, sier Hypponen.. "Vi ser bare dette på en liten skala," sa han. "Hvis du kunne ta teknikker som dette og gjøre det på en stor skala, ville det selvfølgelig endre spillet."

(Robert McMillan i San Francisco bidro til denne rapporten)