GhostNet

GhostNet este numele dat unei operațiuni de spionaj electronic, descoperită în martie 2009, efectuată din Republica Populară Chineză, operațiune care a afectat 1295 de calculatoare din 103 țări. Au fost compromise sisteme de calcul care în mod normal ar fi de așteptat să aibă un nivel înalt de protecție, inclusiv multe care aparțin unor bănci, ambasade, ministere de externe și alte instituții guvernamentale din toată lumea, precum și centrele de exil tibetane ale celui de-al 14-lea Dalai Lama din India, Bruxelles, Londra, și New York.^[1]^[2]

Descoperirea

GhostNet a fost descoperit și botezat de cercetătorii de la Information Warfare Monitor, o grupare din cadrul Centrului pentru Studii Internaționale al Universității Toronto, în colaborare cu Laboratorul de informatică de la Universitatea Cambridge, după 10 luni de investigații, declanșate la cererea guvernului Tibetan din exil. Descoperirea lui Ghostnet și detaliile privind operațiunile acestuia au fost descrise în ziarul The New York Times la 29 martie 2009.^[1]^[3] Investigația s-a concentrat la început pe acuzațiile de spionaj electronic îndreptate împotriva Chinei și lansate de comunitatea tibetană din exil, cum ar fi cazurile în care s-au furat mesaje de poștă electronică sau alte date.^[4] Aceasta a condus la descoperirea unei rețele mult mai extinse de mașini compromise.

S-au descoperit sisteme compromise în ambasadele Indiei, Coreei de Sud, Indoneziei, României, Ciprului, Maltei, Thailandei, Taiwanului, Portugaliei, Germaniei și Pakistanului. Ministerele de externe ale Iranului, Bangladeshului, Indoneziei, Letoniei, Filipinelor, Bruneiului, Barbadosului și Bhutanului au fost și ele atacate.^[5]^[6] Nu s-au găsit dovezi că ar fi fost atacate instituții guvernamentale americane sau britanice, deși un calculator NATO a fost monitorizat timp de jumătate de zi, și au fost urmărite calculatoarele ambasadei Indiei de la Washington, D.C..^[6]^[7]^[8]

Mod de atac și efecte

Rețeaua a răspândit malware prin poșta electronică către unii destinatari selectați de pe liste de adrese furate. Odată infectat, un sistem poate fi controlat sau inspectat de către autorii atacului. Malware-ul poate chiar porni o cameră web sau un microfon atașat la calculatorul infectat, permițând atacatorilor să vadă și să audă ce se întâmplă în camera în care se află acesta.^[1]

Originea

Un raport al cercetătorilor de la Universitatea Cambridge arată că aceștia cred că guvernul chinez este în spatele atacurilor,^[9] dar cei de la Universitatea Toronto nu au putut afirma în mod cert acest lucru, și au arătat posibilități alternative, cum ar fi o operațiune orchestrată de cetățeni chinezi independenți, pentru obținerea de profituri sau din motive patriotice, precum și posibilitatea unei operațiuni a unor agenții de informații din alte țări, cum ar fi Rusia sau CIA din SUA.^[1] Guvernul chinez a negat orice implicare, afirmând că China „interzice strict orice formă de criminalitate cibernetică”.^[5]^[4] Liu Weimin, purtătorul de cuvânt al ambasadei RPC la Londra, a negat implicarea guvernului chinez, spunând despre acuzații că sunt „doar niște imagini filmate strânse din diferite surse cu scopul de a ataca China”.^[10]

Pe de altă parte, investigatorii au observat acțiuni ale oficialilor guvernului Republicii Populare Chineze care aveau legătură cu informațiile obținute prin GhostNet. Un astfel de incident îl reprezintă presiunile venite din partea Beijingului asupra unui diplomat care a primit prin e-mail o invitație din partea reprezentanților lui Dalai Lama de a-l vizita pe acesta.^[11] Un alt incident a fost cel în care unei femei tibetane interogate de ofițerii serviciilor secrete chineze i s-au arătat extrase din conversațiile sale online.^[12]

IWM a declarat că mașinile infectate erau controlate în mod constant de la adrese IP aflate pe insula Hainan, China, și că Hainan este sediul organizației de informații Lingshui și al celui de-al treilea departament al Armatei Populare de Eliberare.^[8]

Într-o conferință de la World Association of Newspapers în aprilie 2009, analistul Gregory Walton a arătat că în afara guvernului chinez, gruparea Honker din această țară ar putea fi și ea răspunzătoare pentru crearea malware-ului. Deși Gregory a descris gruparea Honker ca fiind „o confederație independentă de tineri chinezi patrioți care doresc să-și apere țara de ceea ce ei percep a fi amenințări la adresa mândriei naționale” și care „au capabilități de a lansa atacuri sofisticate”, el a declarat și că gruparea a avut relații de colaborare cu agenții guvernamentale și cu armata chineză.^[13]

Note

^ ^a ^b ^c ^d „Vast Spy System Loots Computers in 103 Countries”. New York Times. 28 martie 2009. Accesat în 29 martie 2009.
^ „CTV.ca: News Video”. Arhivat din original la 30 martie 2009. Accesat în 30 martie 2009.
^ „Researchers: Cyber spies break into govt computers”. Associated Press. 29 martie 2009. Accesat în 29 martie 2009.
^ ^a ^b China-based spies target Thailand. Bangkok Post, 30 martie 2009.
^ ^a ^b „Major cyber spy network uncovered”. BBC News. 29 martie 2009. Accesat în 29 martie 2009.
^ ^a ^b „Canadians find vast computer spy network: report”. Reuters. 28 martie 2009. Accesat în 29 martie 2009.
^ „Spying operation by China infiltrated computers: Report”. The Hindu. 29 martie 2009. Accesat în 29 martie 2009.
^ ^a ^b „'World's biggest cyber spy network' snoops on classified documents in 103 countries”. The Times. 29 martie 2009. Arhivat din original la 30 martie 2009. Accesat în 29 martie 2009.
^ Nagaraja, Shishir (martie 2009). „The snooping dragon: social-malware surveillance of the Tibetan movement” (PDF). Computer Laboratory, University of Cambridge.
^ China denies spying allegations BBC 30 martie 2009
^ Nagaraja, Shishir (martie 2009). „The snooping dragon: social-malware surveillance of the Tibetan movement” (PDF). Computer Laboratory, University of Cambridge.
^ Tracking GhostNet: Investigating a Cyber Espionage Network. Centrul pentru Studii Internaționale Munk. 29 martie 2009
^ „Panel 4: Trading with China: What risks, responsibilities, opportunities?”. Arhivat din original la 11 august 2009. Accesat în 1 aprilie 2009.

Legături externe

Citizen Lab de la Universitatea Toronto
Tracking GhostNet: Investigating a Cyber Espionage Network (Raportul Universității Toronto despre GhostNet, 29 martie 2009)

[NY-TIMES-1] „Vast Spy System Loots Computers in 103 Countries”. New York Times. 28 martie 2009. Accesat în 29 martie 2009.

[2] „CTV.ca: News Video”. Arhivat din original la 30 martie 2009. Accesat în 30 martie 2009.

[3] „Researchers: Cyber spies break into govt computers”. Associated Press. 29 martie 2009. Accesat în 29 martie 2009.

[bp-4] China-based spies target Thailand. Bangkok Post, 30 martie 2009.

[bbc-5] „Major cyber spy network uncovered”. BBC News. 29 martie 2009. Accesat în 29 martie 2009.

[Reuters-6] „Canadians find vast computer spy network: report”. Reuters. 28 martie 2009. Accesat în 29 martie 2009.

[7] „Spying operation by China infiltrated computers: Report”. The Hindu. 29 martie 2009. Accesat în 29 martie 2009.

[nato-8] „'World's biggest cyber spy network' snoops on classified documents in 103 countries”. The Times. 29 martie 2009. Arhivat din original la 30 martie 2009. Accesat în 29 martie 2009.

[9] Nagaraja, Shishir (martie 2009). „The snooping dragon: social-malware surveillance of the Tibetan movement” (PDF). Computer Laboratory, University of Cambridge.

[10] China denies spying allegations BBC 30 martie 2009

[snoop-11] Nagaraja, Shishir (martie 2009). „The snooping dragon: social-malware surveillance of the Tibetan movement” (PDF). Computer Laboratory, University of Cambridge.

[uoft-12] Tracking GhostNet: Investigating a Cyber Espionage Network. Centrul pentru Studii Internaționale Munk. 29 martie 2009

[13] „Panel 4: Trading with China: What risks, responsibilities, opportunities?”. Arhivat din original la 11 august 2009. Accesat în 1 aprilie 2009.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]