Síť hlubokých počítačových špionů Touched 103 zemí

53-stránková zpráva, zveřejněná v neděli, poskytuje některé z nejpřesvědčivějších důkazů a detailů úsilí politicky motivovaných hackerů a zároveň vyvolávají otázky o svých vazbách na cyberspyingové operace schválené vládou.

Popisuje síť, kterou vědci označili jako GhostNet, který používá především škodlivý softwarový program nazvaný gh0st RAT (Vzdálený přístupový nástroj) k ukradnutí citlivých dokumentů, kontrole webových kamer a úplné kontrole infikovaných počítačů.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

"GhostNet představuje síť ohrožených počítačů s vysokou politickou, ekonomickou a mediální polohou, která je rozmístěna v mnoha zemích po celém světě," uvedla zpráva, napsaná analytiky s Monitorováním informačních válek, projekt skupiny SecDev, think tank, a Centrum pro mezinárodní studia Munk na Torontské univerzitě. "V době psaní se tyto organizace téměř jistě nedívají do ohrožené situace, ve které se nacházejí."

Analytici však tvrdili, že nemají potvrzení, zda získané informace skončily pro hackery nebo byla komerčně prodána nebo předána jako zpravodajská služba.

Špehování od roku 2004

Operace pravděpodobně začala kolem roku 2004, vědci v oblasti bezpečnosti času si všimli, že mnohé z těchto institucí byly zasílány falešné e-mailové zprávy s spustitelnými soubory k nimž patří, řekl Mikko Hypponen, ředitel antivirového výzkumu společnosti F-Secure. Hypponen, který léta sledoval útoky, říká, že taktika GhostNetu se od těch raných dnů podstatně vyvíjela. "Za poslední tři a půl roku to bylo poměrně pokročilé a poměrně technické."

"Je skutečně dobré vidět na tomto místě pozornost, zatímco právě teď, protože to trvá tak dlouho a "Ačkoli důkazy ukazují, že servery v Číně shromažďovaly některé z citlivých údajů, analytici si byli opatrní, když spojili špehování s čínskou vládou. Čína má spíše pět internetových uživatelů světa, které mohou zahrnovat hackery, které mají cíle s oficiálními čínskými politickými pozicemi. "" Přidělování čínského malwaru k záměrným nebo cíleným operacím shromažďování informací čínským státem je špatné a zavádějící, "Čína se od 90. let 20. století snažila využít kyberprostoru pro vojenskou výhodu." Čínské zaměření na kybernetické schopnosti v rámci strategie národní asymetrické války zahrnuje záměrné rozvíjení schopností, které obcházejí americkou nadřazenost "

Tibetské počítače byly porušeny

Druhá zpráva napsaná výzkumnými pracovníky Univerzity Cambridge a publikovaná ve spojení s papírem na univerzitě v Torontu byla méně obezřetná a říkala, že útoky proti Úřad Jeho Svatosti dalajlamy (OHHDL) zahájili "agenti čínské vlády". Tým Cambridge nazval jejich zprávu "The Snooping Dragon."

Výzkum analytiků začal poté, co jim byl poskytnut přístup k počítačům tibetské exilové vlády, tibetským nevládním organizacím a soukromému úřadu Dalajlamy podle zprávy.

Našli se počítače infikované škodlivým softwarem, které umožnily vzdáleným hackerům ukrást informace. Počítače se staly infikovanými poté, co uživatelé otevřeli škodlivé přílohy nebo klikli na odkazy, které vedly k škodlivým webům.

Webové stránky nebo škodlivé přílohy by se pak pokusily využít zranitelnosti softwaru, aby převzali kontrolu nad zařízením. V jednom příkladu byl odeslán škodlivý e-mail organizaci sdružené v Tibetu s návratovou adresou "[email protected]" s infikovanou přílohou aplikace Microsoft Word.

Když analytici prozkoumali síť, zjistili, že servery shromažďující údaje nebyly zajištěny. Získali přístup k ovládacím panelem používaným ke sledování napadených počítačů na čtyřech serverech.

Tyto ovládací panely odhalily seznam infikovaných počítačů, které šly daleko za tibetskou vládu a nevládní organizace. Tři ze čtyř kontrolních serverů byly umístěny v Číně, včetně Hainan, Guangdong a Sichuan. Jeden byl v USA, uvedla zpráva. Pět ze šesti řídících serverů bylo v Číně a zbývající v Hongkongu.

Zpráva University of Toronto označuje téměř 30 procent infikovaných počítačů za cíle "vysoké hodnoty". Tyto stroje patří ministerstvu zahraničních věcí Bangladéše, Barbadosu, Bhútánu, Bruneje, Indonésie, Íránu, Lotyšska a Filipín. Infikované infikované skupiny zahrnovaly i sekretariát ASEAN (Asociace států jihovýchodní Asie), který byl rovněž infikován počítačem patřeným velvyslanectvím Kypru, Německa, Indie, Indonésie, Malty, Pákistánu, SAARC (Asijské asociace pro regionální spolupráci) a Asijská rozvojová banka; některé zpravodajské organizace, jako je affiliate Spojených států Spojených států; a neklasifikovaný počítač NATO.

Spotlight na bezpečnostní potřeby

Existence GhostNetu poukazuje na potřebu naléhavé péče o bezpečnost informací, napsali analytici. "Můžeme bezpečně předpokládat, že [GhostNet] není ani první ani jediný svého druhu."

Vědci z Cambridge předpovídají, že tyto vysoce cílené útoky spojené se sofistikovaným malwarem - říkají jim "sociální malware" budou v budoucnu více rozšířeny. "Je pravděpodobné, že sociální malware zůstane nástrojem vlád," píší. "Zatímco F-Secure zaznamenal zatím jen několik tisíc těchto útoků, jsou již problémem pro firemní uživatele v obranném sektoru," uvedl Hypponen. "Teď to vidíme jen v nepatrné míře," řekl. "Pokud byste mohli použít takové techniky a dělat to v masovém měřítku, samozřejmě to by změnilo hru."

(Robert McMillan v San Francisku přispěl k této zprávě)