GhostNet Cyber ​​špijunaža još uvijek je labav kraj

Gotovo tri mjeseca nakon što je izvješće detaljno opširno opsežnu operaciju špijunaže u cijelom svijetu, mnoge zemlje koje su bile hakirane možda još nisu formalno obaviještene.

Pravne prepreke sprječavale su napore za kontakt s mnogim zemljama čija računala u veleposlanstva i ministarstava vanjskih poslova bili su zaraženi zlonamjernim softverom sposobnim za krađu podataka, izjavio je Nart Villeneuve, jedan od autora detaljnog izvještaja od 53 stranica koji je osvjetljavao opseg cyber špijuniranja.

Izvješće je napisao analitičari s Information Warfare Monitorom, istraživački projekt grupe SecDev, think tank i Munk centar za međunarodne studije na Sveučilištu u Torontu.

[Read more

Analitičari su otkrili operaciju nadimkom "GhostNet" koja je zaražena računalima koja pripadaju tibetanskim nevladinim organizacijama i privatnom uredu Dalaj Lame.

Daljnja istraga pokazala je računala 103 zemlje bili su zaraženi, kao i organizacije kao što su ASEAN (Udruga jugoistočne Azije) sekretarijata i Azijska razvojna banka. Podaci su bili otpremljeni na udaljenim poslužiteljima od kojih su mnogi bili locirani u Kini.

Ovo izvješće bilo je jedno od prvih javno otkrivenih istraga koje su pokazale kako je lako hakerima ciljati organizacije putem društvenog inženjeringa i napada zlonamjernih programa. hakeri su koristili zajednički dostupan zlonamjerni softver, alat za daljinski pristup pod nazivom gh0st RAT (Alat za daljinski pristup), ukrasti osjetljive dokumente, upravljaju web kamere i potpuno nadziru zaražena računala. U slučaju tibetanskih nevladinih organizacija, zaposlenici su primili poruku e-pošte koja sadrži dokument Microsoft Word koji je, ako je otvoren, iskorištavao poznatu ranjivost koja nije bila zakrpana u aplikaciji.

Niz pogrešaka hakera dopuštao istražiteljima određivanje poslužitelja za prikupljanje podataka i veličinu sondi, rekao je Villeneuve.

Villeneuve je rekao da su detaljne informacije o ugroženim računalima dane samo kanadskom Cyber ​​Incident Response Centeru (CCIRC), nacionalnom kibernetskom središtu u zemlji. CCIRC je u procesu kontaktiranja nekih od skupina koje su pogođene, rekao je.

Analitičari koji su napisali izvješće smatraju da je to najsigurnija opcija jer nisu željeli otkriti točno koja su računala ugrožena zemljama koje bi mogle "Ako možete zamisliti predaju ovog popisa zaraženih računala kineskom CERT-u (Computer Emergency Response Team), to bi bilo nešto što ne bih bila zadovoljna", rekao je Villeneuve, koji je govorio na marginama Konferencije o cyber ratovima u četvrtak u Tallinnu u Estoniji. "Osjećali smo da smo bili takvi u ovakvom pravnom vakuumu."

Budući da je izvješće imenovalo nacije pogođene, vjerojatno su svjesne onoga što se dogodilo, rekao je Villeneuve. No, činjenica da svi nisu obaviješteni naglašava zabrinutost zbog razmjene informacija o cyber incidentima.

Villeneuve je rekao da je "paranoičan i uplašen" zbog zatvaranja zatvora zbog njegova istraživanja, iako je sve to učinjeno u skladu s etičkim standardima i da je jednostavna Google pretraga pokazala neke od najizbirljivijih informacija o tome kako GhostNet prikuplja podatke.

"Radije ne bih špijunirao vlasti da imaju sve ove informacije o zaraženim osjetljivim domaćinima", rekao je Villeneuve., "Osjećali smo da je potrebno proći kroz odgovarajuće kanale, što je najbolje što možemo reći je Cyber ​​Incident Response Center."

Izvještaj je služio kao poziv na buđenje organizacijama o sigurnosti. Međutim, manje nevladine organizacije često nemaju stručnost za provođenje temeljite računalne sigurnosti, iako je njegov nedostatak prijetnja, rekao je Villeneuve.Budući da je izvješće postalo javno u ožujku, GhostNet je ispario. Poslužitelji prikupljanja podataka otišli su izvan mreže s danom objavljivanja izvješća. Kina je službeno odbila svaku povezanost s operacijom, a odgovorne za njegovo vođenje nikada nisu identificirane, rekao je Villeneuve.