GhostNet høydepunkter Evolusjonerende trusselmiljø

Den profesjonelle avsløringen i helgen av GhostNet cyberespionage-ring som målrettet 1295 datamaskiner i mer enn 100 land understreker hvordan høyt målrettede og sofistikerte angrep, ofte drevet av kriminelle, forandrer sikkerhetslandskapet, ifølge en sikkerhetsforsker ved Symantec.

"Hvor mye endrer landskapet? Det endrer seg drastisk, sier Joe Pasqua, visepresident for forskning ved Symantec Research Labs.

Illustrasjon: Jeffrey PeloGhostNet, dokumentert i en rapport utgitt på søndag av SecDev-gruppens informasjonskrigsmonitor og Munk senter for internasjonale studier ved universitetet av Toronto, brukte malware og sosialteknikk for å gi angriperne full tilgang til kompromitterte datamaskiner. Det lar også angriperne kontrollere videokameraene og mikrofonene til disse datamaskinene, slik at de eksternt overvåker aktivitet i rommet der datamaskinen befinner seg.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Det er en annen Eksempel på sofistikering av typer angrep som blir satt sammen, sier Pasqua.

GhostNets høymålrettede karakter og lignende angrep gjør det vanskelig for antivirusleverandører å reagere raskt.

"I gamle dager, Du hadde en trussel som rettet mot hundretusener av mennesker. Det var ekstremt sannsynlig at Symantec skulle få en kopi av det tidlig, og de aller fleste av de hundretusenvisene skulle beskyttes, sier Pasqua. "Nå har du disse målrettede angrepene som bare kan målrette mot en håndfull mennesker."

"Når vi får et utvalg, kan det være for sent. De har allerede gått og morphed til en annen variant," sa han. "Det er ingen ende i sikte." Selv om det har vært mye spekulasjoner om at GhostNet ble utviklet og kontrollert av den kinesiske regjeringen, er kriminelle grupper like sannsynlig å være ansvarlige for disse typer angrep.

"The Profilen til angriperne har fullstendig endret seg de siste årene, og har gått fra vandaler, barna ser ut til å ha det gøy og gjøre et rykte for seg selv, til en veldig økonomisk motivert angriper, "sa Pasqua. "De blir mer sofistikerte i det de gjør, og i tillegg får de større ressurser."

For å motvirke den endrede sikkerhetsrisikoen utvikler Symantec Research Labs sikkerhetsteknologier som er basert på virtualisering eller bruker rykte til separate betroede nettsteder og servere fra maskiner som kan utgjøre en trussel.

"Teamet mitt gjør også avansert forskning i atferdsanalyse og automatisk signaturgenerering," sa Pasqua.

Symantecs mål er å matche den automatiserte generasjonen av nye malwarevarianter av angripere. "I stedet for fingeravtrykksspesifikke stykker malware, i hovedsak fingeravtrykk vi disse oppføringene," sa han.

Tekniske tiltak alene kan ikke stoppe bestemte angripere. I tilfelle av GhostNet var sosialteknikk en nøkkelkomponent i angrepet, som pleide å lure brukere til å laste ned skadelig programvare uten deres kunnskap. Dette er et område hvor bedrifter og enkeltpersoner må ta skritt for å beskytte seg selv.

"Utdanning er viktig, å få ordet ut på god hygiene og god oppførsel for brukere på Internett er viktig for alle," sa Pasqua.