GhostNet

GhostNet (“Red Fantasma“ en inglés; “幽灵网“ en chino simplificado, o YōuLíngWǎng en Pinyin) es el nombre dado en 2009 a una gran operación de espionaje electrónico,[1][2]​ cuyo origen mayoritario se centraba en la República Popular China. Era una red que había logrado infiltrarse en al menos 1.295 computadoras en 103 países alrededor del mundo. Se descubrió que fueron comprometidos sistemas de computadoras pertenecientes a embajadas y otras oficinas gubernamentales, así como también centros de exilio del tibetano Dalái Lama en la India y en las ciudades de Bruselas, Londres y Nueva York. Aunque la actividad está basada mayormente en China, no hay evidencia concluyente de que el gobierno chino esté involucrado en la operación.[3]

Descubrimiento

[editar]

Esta red fue descubierta y nombrada como resultado de 10 meses de investigación por especialistas del Centro Munk para Estudios Internacionales en la Universidad de Toronto, en Canadá. Otros investigadores del Laboratorio de Computación de la Universidad de Cambridge también contribuyeron a las investigaciones sobre la GhostNet en centros gubernamentales tibetanos. El descubrimiento de esta red de espionaje y los detalles de sus operaciones fueron publicadas por The New York Times el 29 de marzo de 2009. Los investigadores concentraron sus esfuerzos en acusaciones del ciberespionaje chino en contra de la comunidad exiliada del Tíbet, que aludían a dónde fue robada la correspondencia electrónica y otros datos de importancia.[4]​ Esto permitió el descubrimiento de una red más grande de computadoras infiltradas.

Los sistemas comprometidos fueron descubiertos en embajadas de la India, Corea del Sur, Indonesia, Rumanía, Chipre, Malta, Tailandia, Taiwán, Portugal, Alemania y Pakistán. Sistemas en Ministerios de Asuntos Exteriores de Irán, Bangladés, Letonia, Indonesia, Filipinas, Brunéi, Barbados y Bután también fueron de alguna manera infiltrados.[1][5]​ Sin embargo, no hay evidencia de que sistemas informáticos de oficinas del gobierno de Estados Unidos o del Reino Unido hayan sido comprometidos; a pesar de que una computadora perteneciente a la OTAN fue monitoreada durante medio día, y otras pertenecientes a la embajada de India en Washington sí fueron infiltradas.[6][5][7]

Origen

[editar]

Los investigadores creen que han encontrado lo que sería una evidencia de acciones tomadas por oficiales del Gobierno de la República Popular China como respuesta a los resultados obtenidos vía ‘GhostNet’. Después de que un diplomático recibiera una invitación vía correo electrónico a una visita de sus representantes junto al Dalai Lama, oficiales del gobierno de Pekín hicieron una llamada a dicho diplomático cancelando la visita.[cita requerida] Una mujer fue detenida por oficiales de la Inteligencia China cuando iba camino al Tíbet, los cuales le mostraron copias de sus conversaciones en Internet.[cita requerida]

Mientras que un informe de investigadores de la Universidad de Cambridge informa que creen que el gobierno chino está detrás de las intrusiones en los equipos de la oficina del Dalai Lama,[8]​ los investigadores de Toronto declararon que no pueden concluir que el gobierno chino es responsable por esta red de espionaje,[9]​ y notaron la posibilidad de que fuera una operación llevada a cabo por ciudadanos comunes en China con ánimo de lucro o por meras razones nacionalistas; o como la de agencias de inteligencia de otros países como Rusia o Estados Unidos.[3]​ El gobierno chino ha negado cualquier tipo de involucramiento, declarando que China “prohíbe estrictamente cualquier crimen informático”.[1][4]

El "Informe GhostNet" documenta muchas infecciones no relacionadas en organizaciones relacionadas con el Tíbet además de las infecciones de GhostNet. Al utilizar las direcciones de correo electrónico provistas por el informe IWM, Scott J. Henderson logró rastrear a uno de los operadores de las infecciones (No GhostNet) a Chengdu. El identifica al hacker como un hombre de 27 años que asistió a la Universidad de Ciencia Electrónica y Tecnología de China, y que estaba conectado con la subcultura hacker china.[10]

A pesar de la falta de evidencia para apuntar al gobierno chino como el responsable por las intrusiones contra objetivos relacionados con el Tíbet, los investigadores de Cambridge encontraron acciones tomadas oficiales del gobierno chino que correspondían con la información obtenida a través de intrusiones en los computadores. Uno de esos incidentes involucró un diplomático que fue presionado por Pekín después de recibir una invitación por correo electrónico para visitar al Dalai Lama de sus representantes.[8]

Otro incidente involucraba a una mujer tibetana que fue interrogada por oficiales de inteligencia china y a quien le mostraron transcripciones de sus conversaciones en línea.[9][11]​ Sin embargo, hay otras explicaciones posibles para este evento. Drelva usa QQ y otros sistemas de mensajería instantánea para comunicarse con usuarios de Internet chinos. En 2008, IWM encontró que TOM-Skype, la versión china de Skype, estaba registrando y almacenando mensajes de texto intercambiados entre los usuarios. Es posible que las autoridades chinas consiguieran las transcripciones del chat a través de estos medios.[12]

Los investigadores de IWM también encontraron que cuando fue detectada, GhostNet era consistentemente controlada por direcciones IP localizadas en la isla de Hainan, China, y han señalado que Hainan es la base de inteligencia de señales del Tercer Departamento Técnico del Ejército de Liberación Popular.[6]​ Aún más, se ha revalado que uno de los cuatro servidores de control es un servidor del gobierno.[13]

Funcionalidad técnica

[editar]

El sistema disemina malware a destinatarios previamente seleccionados desde la misma lista de contactos del usuario, a través de un troyano adjunto a los correos electrónicos enviados. Este procedimiento permite ampliar la red infectada, puesto que más y más contactos reciben los correos con el código malicioso. El troyano se comunica hacia un servidor central, usualmente ubicado en China, para recibir órdenes. Ocasionalmente, el comando especificado por el servidor de control hará que el computador descargue e instale un troyano conocido como Gh0st Rat que permite a los atacantes obtener control completo del equipo, en tiempo real si es que están corriendo Microsoft Windows.[6]​ Una vez que esto pasa, una computadora puede ser controlada a distancia por los hackers. El malware también tiene la capacidad de iniciar la cámara o el micrófono de la computadora involucrada, permitiendo también a los hackers monitorear la actividad de las habitaciones donde se encuentran las computadoras mediante canales visuales y auditivos.[3]

Véase también

[editar]

Referencias

[editar]
  1. a b c «Major cyber spy network uncovered». BBC News. 29 de marzo de 2009. Consultado el 29 de marzo de 2009. 
  2. Glaister, Dan (30 de marzo de 2009). «China Accused of Global Cyberspying». The Guardian Weekly 180 (16) (London). p. 5. Consultado el 7 de abril de 2009. 
  3. a b c Markoff, John (28 de marzo de 2009). «Vast Spy System Loots Computers in 103 Countries». New York Times. Consultado el 29 de marzo de 2009. 
  4. a b China-based spies target Thailand. Bangkok Post, 30 de marzo de 2009. Consultado el 30 de marzo de 2009.
  5. a b «Los canadienses descubren una vasta red de espionaje de computadoras». Reuters. 28 de marzo de 2009. Consultado el 29 de marzo de 2009. 
  6. a b c Harvey, Mike (29 de marzo de 2009). «Chinese hackers ‘using ghost network to control embassy computers’». The Times (London). Consultado el 29 de marzo de 2009. 
  7. «Spying operation by China infiltrated computers: Report». The Hindu. 29 de marzo de 2009. Archivado desde el original el 1 de abril de 2009. Consultado el 29 de marzo de 2009. 
  8. a b Nagaraja, Shishir; Anderson, Ross (Marzo de 2009). «The snooping dragon: social-malware surveillance of the Tibetan movement» (PDF). Computer Laboratory, Universidad de Cambridge. 
  9. a b Tracking GhostNet: Investigating a Cyber Espionage Network. Munk Centre for International Studies. 29 de Marzo, 2009(en inglés)
  10. Henderson, Scott (2 de abril de 2009). «Hunting the GhostNet Hacker». The Dark Visitor. Archivado desde el original el 6 de abril de 2009. Consultado el 2 de abril de 2009. (en inglés)
  11. U of T team tracks China-based cyber spies Toronto Star March 29, 2009 Archivado el 31 de marzo de 2009 en Wayback Machine.(en inglés)
  12. BREACHING TRUST: An analysis of surveillance and security practices on China’s TOM-Skype platform (en inglés)
  13. Meet the Canadians who busted Ghostnet Globe and Mail 29 de Marzo de 2009 (en inglés)

Enlaces externos

[editar]