GhostNet - armia chińskich cyberszpiegów?
Analitycy SecDev Group i naukowcy uniwersytetu w Toronto odkryli sieć komputerów osobistych zinfiltrowanych i kontrolowanych przez hakerów. GhostNet - bo taką nazwę nadali jej badacze - to sieć cyberszpiegowska, stworzona w celu kradzieży danych o dużym znaczeniu politycznym, militarnym i handlowym. W efekcie 10-miesięcznego śledztwa powstał raport, z którego wynika, że w ramach GhostNetu funkcjonowało co najmniej 1295 komputerów ze 103 krajów rozsianych po całym świecie, z czego ok. 30 % to komputery należące do placówek dyplomatycznych, ministerstw, firm prywatnych i organizacji pozarządowych.
30.03.2009 | aktual.: 30.03.2009 13:19
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Analitycy zaangażowani w projekt badawczy Information Warfare Monitor, utworzony w ramach SecDev Group oraz naukowcy z uniwersytetu w Toronto w czerwcu 200. r. podjęli wysiłki mające rozwiać wątpliwości na temat domniemanej działalności chińskich hakerów wymierzonej w mieszkańców Tybetu, a nawet samego dalajlamę (jak pamiętamy, w marcu 2008 r. wybuchła tam fala protestów przeciw chińskiej polityce w regionie). Pierwszy etap prac polegał na gromadzeniu informacji, drugi - na ich analizie.
"Podczas drugiej fazy naszego śledztwa dane zostały przeanalizowane, co doprowadziło do odkrycia niezabezpieczonych, sieciowych interfejsów do czterech serwerów kontrolnych. Interfejsy te umożliwiają napastnikowi (napastnikom) wysyłanie instrukcji do kontrolowanych komputerów i otrzymywanie z nich danych" - czytamy w raporcie. Wśród niemal 1,3 tys. pecetów zainfekowanych i pracujących w ramach sieci GhostNet zidentyfikowano maszyny należące do ministerstw spraw zagranicznych takich państw jak Łotwa, Indonezja, Filipiny, Iran; ambasad Korei Południowej, Indii, Rumunii, Tajlandii, Tajwanu, Portugalii, Niemiec, Portugalii; organizacji ASEAN (Stowarzyszenie Narodów Azji Południowo-Wschodniej); Azjatyckiego Banku Rozwoju oraz NATO.
Na komputery, nad którymi hakerzy przejęli kontrolę, pobierany był trojan o nazwie gh0st RAT (RAT - Remote Access Tool) umożliwiający sterowanie pecetem w czasie rzeczywistym. Śledztwo dowiodło, że na komputerze GhostNetu haker może zrobić dosłownie wszystko - przeszukiwać zasoby lokalne, kopiować i usuwać dokumenty, przechwytywać hasła oraz potajemnie sterować podłączonymi urządzeniami, np. kamerą internetową czy mikrofonem.
Raport scibrd.com dowodzi, że instancje gh0st RAT są sterowane z wykorzystaniem komercyjnych usług dostępu do Internetu, świadczonych na należącej do Chińskiej Republiki Ludowej wyspie Hainan (ulokowano tam bazę chińskiego wywiadu oraz niektóre jednostki armii). Jeden ze wspomnianych wyżej serwerów zlokalizowano także w chińskiej prowincji Syczuan, gdzie działa oddział wywiadu ChRL, rozpracowujący uchodźców z Tybetu.
Na chiński rząd jako na inicjatora całego przedsięwzięcia może też wskazywać liczba komputerów zaatakowanych w państwach azjatyckich, będących bliższymi lub dalszymi sąsiadami Chin. Zdaniem autorów raportu należy jednak brać pod uwagę również i inne wytłumaczenia - sieć GhostNet równie dobrze mogli stworzyć "zwykli" cyberprzestępcy bądź też służby innego państwa, podszywające się pod Chińczyków dla zmylenia tropu.
Rządy działają jak cyberprzestępcy? Eksperci są zgodni, że metody cyberprzestępcze (np. ataki typu DDoS) to narzędzie coraz częściej wykorzystywane przez rządy w walce politycznej. W Chinach, Rosji i USA opracowano już konkretne doktryny działań militarnych i politycznych w Internecie. Amerykanie planują np. tworzenie wojskowych botnetów, zaś Rosjanie zamierzają zaprzęgać do współpracy zwykłych internautów, publikując w Sieci odpowiednie instrukcje, podobnie jak to miało miejsce w wypadku incydentu estońskiego z maja 200. r. (warto w tym miejscu wspomnieć, że do ataków sprzed prawie dwóch lat niedawno przyznał się aktywista prokremlowskiej nacjonalistycznej organizacji młodzieżowej "Nasi").
W Chinach doktryna wojny w Sieci rozwijana jest od końca poprzedniej dekady w ramach projektu modernizacji sił zbrojnych. Zgodnie z pojęciem wojny asymetrycznej, w wypadku starcia zbrojnego Chin ze Stanami Zjednoczonymi przewagę wynikającą z dominacji militarnej Ameryki można zmniejszyć atakując jej systemy teleinformatyczne. Chińska technologia jest już na tyle rozwinięta, że umożliwia im prowadzenie zaawansowanej wojny elektronicznej z USA.
Więcej informacji:
Information Warfare Monitor
SecDev Group