GhostNet Cyber ​​Spionage Probe har fortsatt løst slutter

Nesten tre måneder etter at en rapport har utarbeidet en omfattende, verdensomspennende nettbasert spionageoperasjon, har mange land som ble hacket, ikke blitt formelt meldt ennå.

Juridiske barrierer har hindret innsatsen for å kontakte mange land hvis datamaskiner i ambassader og utenriksdepartementer ble smittet med ondsinnet programvare som kunne stjå data, sier Nart Villeneuve, en av forfatterne til en detaljert 53-siders rapport som skaffet nytt lys på omfanget av cyberspionering.

Rapporten ble skrevet av analytikere med Information Warfare Monitor, et forskningsprosjekt av SecDev-konsernet, en tenktank og Munk senter for internasjonale studier ved University of Toronto.

[Les videre g: Slik fjerner du skadelig programvare fra din Windows-PC]

Analytikerne avdekket en operasjon med kallenavnet "GhostNet" som infiserte datamaskiner tilhører tibetanske ikke-statlige organisasjoner og Dalai Lama's private kontor.

Videre undersøkelse viste datamaskinene til 103 land ble smittet så vel som organisasjoner som ASEAN (Association of South East Asian Nations) sekretariat og Asian Development Bank. Data ble sendt til eksterne servere, hvorav mange var lokalisert i Kina.

Rapporten var en av de første offentliggjorte undersøkelsene som viste hvor lett det var for hackere å målrette organisasjoner gjennom sosialteknikk og malwareangrep. hackere brukte vanlige malware, et fjerntilgang verktøy kalt gh0st RAT (Remote Access Tool), for å stjele sensitive dokumenter, operere webkameraer og fullstendig kontrollere infiserte datamaskiner. For tibetanske frivillige organisasjoner mottok medarbeiderne e-post som inneholder et Microsoft Word-dokument som, hvis åpnet, utnyttet et kjent sårbarhet som ikke ble oppdatert i applikasjonen.

En rekke feil ved hackerne tillot etterforskere å identifisere servere som ble brukt for å samle inn data og omfanget av probene, sa Villeneuve.

Villeneuve sa at detaljert informasjon om kompromitterte datamaskiner bare har blitt gitt til det kanadiske Cyber ​​Incident Response Center (CCIRC), landets nasjonale cyberrapporteringssentrum. CCIRC er i ferd med å kontakte noen av de berørte gruppene, sa han.

Analytikerne som skrev rapporten følte det var det sikreste alternativet, siden de ikke ville avsløre nøyaktig hvilke datamaskiner som hadde blitt kompromittert til land som kunne potensielt misbruker sensitiv informasjon.

"Hvis du kan forestille deg å overføre denne listen over infiserte datamaskiner til det kinesiske CERT (Computer Emergency Response Team), [det] ville bare være noe jeg ikke ville være komfortabel med," sa Villeneuve, som snakket på sidelinjen av konferansen om cyberkrig på torsdag i Tallinn, Estland. "Vi følte at vi var snille i denne typen lovlig vakuum." Siden rapporten heter nasjonene berørt, er de sannsynligvis klar over hva som skjedde, sa Villeneuve. Men det faktum at alle ikke har blitt varslet understreker bekymringene over deling av informasjon om cyber hendelser.

Villeneuve sa han var "paranoid og redd" om å gå i fengsel over sin forskning, selv om alt var gjort i kø med etiske standarder, og at et enkelt Google-søk viste noen av de mest skadelige opplysningene om hvordan GhostNet samler data.

"Jeg vil helst ikke spekke myndighetene med å ha all denne informasjonen om infiserte, følsomme verter," sa Villeneuve.. "Vi følte at det var nødvendig å gå gjennom de riktige kanalene, som vi best kunne fortelle var Cyber ​​Incident Response Center."

Rapporten har tjent som våkne til organisasjoner om sikkerhet. Men mindre frivillige organisasjoner har ofte ikke kompetansen til å gjennomføre mer grundig datasikkerhet, selv om mangel på det er en trussel, sa Villeneuve.

Siden rapporten ble offentlig i mars, har GhostNet fordampet. Serverne som samler data gikk offline med en dag i rapportens utgivelse. Kina nektet offisielt enhver forbindelse til operasjonen, og de som er ansvarlige for å kjøre den, har aldri blitt identifisert, sa Villeneuve.