Глубокая компьютерная шпионящая сеть, затронутая 103 стран

10-месячное исследование по киберазвитию показало, что было проверено 1295 компьютеров в 103 странах и принадлежащих к международным учреждениям, с некоторыми косвенными доказательствами, свидетельствующими о том, что Китай может быть виноват.

53-страничный отчет, выпущенный в воскресенье, предусматривает некоторые из самых убедительных доказательств и подробностей усилий политически мотивированных хакеров, в то же время поднимая вопросы об их связях с санкционированными правительством операциями киберпинга.

В нем описывается сеть, которую исследователи назвали GhostNet, которая в основном использует вредоносную программу, называемую gh0st RAT (инструмент удаленного доступа) для кражи конфиденциальных документов, управления веб-камерами и полного управления зараженными компьютерами.

[Читать далее: Как удалить вредоносное ПО с вашего ПК с Windows »

« GhostNet представляет собой сеть скомпрометированных компьютеров, находящихся в высокоценных политических, экономических и медиа-местах, распространенных во многих странах мира », - говорится в докладе, написанном аналитиками Информационного Warfare Monitor, исследования проект группы SecDev, аналитического центра и Центра международных исследований Munk в Университете Торонто. «На момент написания этой статьи эти организации почти наверняка не обращают внимания на скомпрометированную ситуацию, в которой они оказываются».

Аналитики, однако, сказали, что у них нет подтверждения, что полученная информация оказалась ценной для хакеров или был ли он коммерчески продан или передан в качестве интеллекта.

Шпионаж с 2004 года

Операция, вероятно, началась примерно в 2004 году, исследователи по безопасности времени заметили, что многие из этих учреждений отправляли фальшивые сообщения электронной почты с исполняемыми файлами прикрепленный к ним, согласно Микко Гиппонену, директору антивирусных исследований в F-Secure. Hypponen, который отслеживает атаки в течение многих лет, говорит, что тактика GhostNet значительно изменилась с тех ранних дней. «За последние три с половиной года или около того он был достаточно продвинутым и довольно техническим».

«Очень приятно видеть, что сейчас это происходит, потому что это продолжается так долго и никто не обращал на это внимания », - добавил он.

Хотя данные показывают, что серверы в Китае собирали некоторые конфиденциальные данные, аналитики были осторожны в отношении увязки шпионажа с китайским правительством. Скорее всего, в Китае есть пятая часть интернет-пользователей в мире, которая может включать в себя хакеров, которые имеют цели, согласованные с официальными политическими позициями Китая.

«Приписывание всех китайских вредоносных программ для преднамеренных или целенаправленных операций по сбору информации китайским государством ошибочно и вводит в заблуждение, - говорится в докладе.

Однако с 1990-х годов Китай прилагает согласованные усилия для использования киберпространства для военных целей ». Китайский акцент на кибер-способности в рамках своей стратегии национальной асимметричной войны предполагает сознательное развитие возможностей, которые оборачивают превосходство США в командная и контрольная война », - сказано в сообщении.

Компьютеры Тибета нарушены

Второй отчет, написанный учеными Университета Кембриджа и опубликованный совместно с документом Университета Торонто, был менее осмотрительным, заявив, что нападения на Управление Его Святейшества Далай-ламы (OHHDL) было начато «агентами китайского правительства». Кембриджская команда назвала свой доклад «Драконом Snooping».

Исследование аналитиков началось после того, как им был предоставлен доступ к компьютерам, принадлежащим тибетскому правительству в изгнании, тибетским неправительственным организациям и частному офису Далай-ламы, который был обеспокоен об утечке конфиденциальной информации, согласно отчету.

Они обнаружили, что компьютеры, зараженные вредоносным программным обеспечением, позволяли удаленным хакерам красть информацию. Компьютеры заразились после того, как пользователи открыли вредоносные вложения или нажали на ссылку, ведущую к вредным веб-сайтам.

Затем веб-сайты или вредоносные вложения попытаются использовать уязвимости программного обеспечения для управления машиной. В одном примере вредоносное электронное письмо было отправлено в ассоциированную с Тиблетом организацию с обратным адресом «[email protected]» с зараженным вложением Microsoft Word.

Как аналитики исследовали сеть, они обнаружили, что серверы, собирающие данные, не были защищены. Они получили доступ к панелям управления, используемым для мониторинга взломанных компьютеров на четырех серверах.

Эти панели управления выявили списки зараженных компьютеров, которые вышли далеко за пределы правительства Тибета и НПО. Три из четырех серверов управления были расположены в Китае, включая Хайнань, Гуандун и Сычуань. Один из них был в США, говорится в докладе. Пять из шести командных серверов были в Китае, а остальные - в Гонконге.

В докладе Университета Торонто классифицировано около 30 процентов зараженных компьютеров как «высокоценные» цели. Эти машины принадлежат министерству иностранных дел Бангладеш, Барбадоса, Бутана, Брунея, Индонезии, Ирана, Латвии и Филиппин. Также инфицированными были компьютеры, принадлежащие посольствам Кипра, Германии, Индии, Индонезии, Мальты, Пакистана, Португалии, Румынии, Южной Кореи, Тайваня и Таиланда.

Международные группы, инфицированные, включали секретариат АСЕАН (Ассоциация государств Юго-Восточной Азии) СААРК (Ассоциация регионального сотрудничества Южной Азии) и Азиатский банк развития; некоторые новостные организации, такие как филиал U.K. Associated Press; и неклассифицированный компьютер НАТО.

Обзор проблем безопасности

Существование GhostNet подчеркивает необходимость неотложного внимания к информационной безопасности, пишет аналитик. «Мы можем смело предположить, что он [GhostNet] не является ни первым, ни единственным в своем роде».

Исследователи из Кембриджа прогнозируют, что эти высоконаправленные атаки в комплекте со сложной вредоносной программой - они называют их «социальными вредоносными программами» - станет более распространенным в будущем. «Социальное вредоносное ПО вряд ли останется инструментом правительств», - пишут они. «Что китайские призраки сделали в 2008 году, российские мошенники будут делать в 2010 году».

Пока F-Secure видел только несколько тысяч этих атак, они уже являются проблемой для корпоративных пользователей в оборонном секторе, сказал Гиппонен, «Мы видим это прямо сейчас в незначительном масштабе», - сказал он. «Если бы вы могли использовать такие методы и делать это в массовом масштабе, конечно, это изменило бы игру».

(Роберт Макмиллан в Сан-Франциско внес свой вклад в этот отчет)