GhostNet Cyber ​​špionážní sonda stále má volné konce

Téměř tři měsíce poté, co zpráva podala podrobnou zprávu o rozsáhlé celosvětové operaci proti počítačovému špionáži, nemělo mnoho zemí, které byly napadnuty, formálně oznámeno.

Právní překážky brání snahám kontaktovat mnoho zemí, jejichž počítače velvyslanectví a ministerstva zahraničních věcí byly nakaženy škodlivým softwarem schopným krást data, řekl Nart Villeneuve, jeden z autorů podrobného 53tistránkové zprávy, která vrhla nové světlo o rozsahu kybernetického špehování

Zpráva byla napsána analytici s Monitorováním informační války, výzkumným projektem Skupiny SecDev, think-tank a Munk Center for International Studies na Torontské univerzitě.

[Další informace g: Jak odstranit malware z počítače se systémem Windows]

Analytici odhalili operaci přezdívanou "GhostNet", která infikovala počítače patřící tibetským nevládním organizacím a soukromé kanceláři dalajlamy.

Další šetření ukázalo, že počítače 103 zemí byli infikováni, stejně jako organizace, jako je sekretariát ASEAN (Asociace jihovýchodní Asie) a Asijská rozvojová banka. Data byla odeslána na vzdálené servery, z nichž mnohé byly umístěny v Číně.

Zpráva byla jedním z prvních veřejně odhalených vyšetřování, které ukázalo, jak snadné je hackerům zaměřit se na organizace prostřednictvím sociálního inženýrství a malware útoků. hackeři používali běžně dostupný malware, nástroj pro vzdálený přístup s názvem gh0st RAT (Vzdálený přístupový nástroj), k ukrácení citlivých dokumentů, provozování webových kamer a úplné řízení infikovaných počítačů. V případě tibetských nevládních organizací zaměstnanci obdrželi e-mail s dokumentem Microsoft Word, který v případě otevření zneužil známou zranitelnost, která nebyla v aplikaci zapsána.

Řada chyb hackerů umožnila vyšetřovatelům určit správné servery že Villeneuve uvedl, že podrobné informace o kompromitovaných počítačích byly poskytnuty pouze Canadian Cyber ​​Incident Response Center (CCIRC), což je národní počítačové zpravodajské středisko země. CCIRC je v procesu kontaktování některých z postižených skupin, uvedl.

Analytici, kteří napsali zprávu, se domnívali, že to byla nejbezpečnější volba, protože nechtěli odhalit přesně to, co počítače byly ohroženy do zemí, které by mohly potenciální zneužití citlivých informací.

"Pokud si dokážete představit předání tohoto seznamu infikovaných počítačů čínskému CERT (Computer Emergency Response Team), bylo by to něco, s čím bych se necítil," řekl Villeneuve, který ve čtvrtek promluvil v Tallinu v Estonsku na konferenci o kybernetickém boji. "Cítili jsme se, že jsme v takovém právním vakuu."

Vzhledem k tomu, že zpráva označila dotčené národy, pravděpodobně si uvědomují, co se stalo, řekl Villeneuve. Ale skutečnost, že všechny nebyly oznámeny, podtrhuje obavy o sdílení informací o kybernetických incidentech.

Villeneuve řekl, že byl "paranoidní a vyděšený", že by se mohl přesvědčit o svém výzkumu, ačkoli to všechno bylo provedeno v souladu s etickými standardy a že jednoduché vyhledávání Google objevilo některé z nejznechtivnějších informací o tom, jak GhostNet shromažďovala data.

"Radši bych se nemusel zbavit orgánů tím, že by měl všechny tyto informace o infikovaných, citlivých hostitelích," řekl Villeneuve. "Cítili jsme, že je třeba projít správnými kanály, které bychom mohli nejlépe říct, že je Cyber ​​Incident Response Center."

Zpráva sloužila jako výzva organizacím o zabezpečení. Nicméně, menší nevládní organizace často nemají odborné znalosti k provádění důkladnější počítačové bezpečnosti, i když nedostatek je hrozbou, uvedl Villeneuve.

Od té doby, co byla zpráva zveřejněna v březnu, se GhostNet odpařil. Servery shromažďující data skončily offline s datem vydání zprávy. Čína oficiálně odmítla jakoukoli souvislost s touto operací a osoby odpovědné za její provoz nebyly nikdy identifikovány, řekl Villeneuve.