У GhostNet Cyber ​​Espionage Probe все еще есть свободные концы

). Почти через три месяца после того, как в отчете подробно описана обширная всемирная операция по кибер-шпионажу, многие страны, которые были взломаны, возможно, официально не были уведомлены.

Правовые барьеры мешали усилиям по контактам со многими странами, компьютеры в которых посольства и министерства иностранных дел были заражены вредоносным программным обеспечением, способным украсть данные, сказал Нарт Вильнев, один из авторов подробного 53-страничного отчета, который пролил новый свет на степень кибер-шпионажа.

Отчет был написан аналитики Информационного Warfare Monitor, исследовательский проект SecDev Group, аналитический центр и Центр международных исследований Munk в Университете Торонто.

[Далее g: Как удалить вредоносное ПО с вашего ПК с Windows]

Аналитики обнаружили операцию под названием «GhostNet», которая заразила компьютеры, принадлежащие тибетским неправительственным организациям и частному офису Далай-ламы.

Дальнейшее расследование показало компьютеры 103 стран были инфицированы, а также такие организации, как секретариат АСЕАН (Ассоциация государств Юго-Восточной Азии) и Азиатский банк развития. Данные были отправлены на удаленные серверы, многие из которых были расположены в Китае.

Отчет был одним из первых публично выявленных расследований, которые показали, насколько легко хакеры могли нацеливать организации посредством социальной инженерии и вредоносных атак.

хакеры использовали общедоступную вредоносную программу, средство удаленного доступа, называемое gh0st RAT (Remote Access Tool), чтобы украсть чувствительные документы, управлять веб-камерами и полностью контролировать зараженные компьютеры. В случае тибетских НПО сотрудники получили электронную почту, содержащую документ Microsoft Word, который, если был открыт, использовал известную уязвимость, которая не была исправлена ​​в приложении.

Ряд ошибок хакеров позволил исследователям точно определить используемые серверы для сбора данных и объема зондов, сказал Вильнев.

Villeneuve сообщила, что подробная информация об уязвимых компьютерах была предоставлена ​​только Канадскому центру реагирования на инциденты (CCIRC), национальному центру кибер-отчетности страны. CCIRC находится в процессе контакта с некоторыми из затронутых групп, сказал он.

Аналитики, которые написали отчет, считали, что это самый безопасный вариант, поскольку они не хотят точно показывать, какие компьютеры были скомпрометированы для стран, которые могли бы потенциально злоупотреблять конфиденциальной информацией.

«Если вы можете представить, как передать этот список зараженных компьютеров китайской CERT (Computer Emergency Response Team), [это] просто будет чем-то, что мне не понравится», - сказал Вильнев, который выступил в кулуарах Конференции по кибербезопасности в четверг в Таллинне, Эстония. «Мы чувствовали, что мы находимся в таком разрезе».

Поскольку в отчете упоминаются затронутые страны, они, вероятно, знают о том, что произошло, сказал Вильнев. Но тот факт, что все не были уведомлены, подчеркивает опасения по поводу обмена информацией о кибер-инцидентах.

Villeneuve сказал, что он был «параноидальным и страшенным» о том, чтобы отправиться в тюрьму за его исследования, хотя все это было сделано в очереди с этическими стандартами и что простой поиск в Google показал некоторые из самых проклятых сведений о том, как GhostNet собирал данные.

«Я бы предпочел не прислушиваться к властям, имея всю эту информацию о зараженных, чувствительных хостах», - сказал Вильнев, «Мы чувствовали, что необходимо пройти через надлежащие каналы, которые, насколько мы могли бы рассказать, - это Центр реагирования на инциденты в Cyber».

Отчет послужил отправной точкой для организаций по безопасности. Однако небольшие НПО часто не имеют опыта для обеспечения более полной компьютерной безопасности, хотя отсутствие этого является угрозой, сказал Вильнев.

Поскольку отчет стал общедоступным в марте, GhostNet испарился. Серверы, собирающие данные, отправились в автономный режим с днем ​​выпуска отчета. Вильнюв сказал, что Китай официально отрицал какую-либо связь с операцией, и те, кто несет ответственность за его эксплуатацию, никогда не были идентифицированы.