GhostNet Cyber ​​Espionage Probe on vielä päättynyt

Lähes kolme kuukautta sen jälkeen, kun raportti on laatinut yksityiskohtaisen laajan maailmanlaajuisen tietoverkkohyvennystoiminnon, monet hakkeroituneet maat eivät ehkä ole vielä virallisesti ilmoitettu.

Oikeudelliset esteet ovat haitannut ponnistuksia yhteydenottoon useissa maissa, joiden tietokoneet ovat suurlähetystöt ja ulkoasiainministeriö olivat tartunnan saaneita haittaohjelmia, jotka kykenivät varastamaan tietoja ", sanoi Nart Villeneuve, yksi yksityiskohtaisen 53-sivuisen raportin kirjoittajista, joka esittelee uuden tietoverkkohavainnon laajuutta.

Raportin kirjoitti analyytikoille Information Warfare Monitorin kanssa, SecDev-konsernin tutkimusprojektin, think tankin ja Toronton yliopiston kansainvälisen tutkimuksen tutkimuskeskuksen kanssa.

[Lue lisää

Analyytikot paljastivat operaation nimeltä "GhostNet", joka tarttui tietokoneita, jotka kuuluvat tiibetiläisiin kansalaisjärjestöihin ja Dalai-laman yksityiseen toimistoon.

Muut tutkimukset osoittivat 103 maan tietokoneet sekä ASEANin (Kaakkois-Aasian maiden liiton) sihteeristö ja Aasian kehityspankki.

Raportti oli yksi ensimmäisistä julkisesti paljastuneista tutkimuksista, jotka osoittivat, kuinka helppoa hakkereille oli kohdistaa organisaatioita sosiaalisen suunnittelun ja haittaohjelmien iskujen avulla.

Tietokanta oli lähetetty etäpalvelimille, joista monet olivat Kiinassa. hakkerit käyttävät yleisesti saatavilla olevaa haittaohjelmistoa, etäohjelmaa nimeltä gh0st RAT (Remote Access Tool), varastaa arkaluonteisia asiakirjoja, käyttää web-kameroja ja hallita täysin tartunnan saaneita tietokoneita. Tiibetiläisten kansalaisjärjestöjen tapauksessa henkilökunta sai sähköpostia, joka sisälsi Microsoft Word -asiakirjan, joka avattaessa hyödynsi tunnettua haavoittuvuutta, jota ei ole tarkistettu sovelluksessa.

Useat hakkereiden virheet antavat tutkijoille mahdollisuuden tunnistaa palvelimet Villeneuve totesi, että vaarallisia tietokoneita koskevat yksityiskohtaiset tiedot on annettu vain Kanadan Cyber ​​Incident Response Centerille (CCIRC), maan kansalliselle tietoverkkojen raportointikeskukselle. CCIRC on parhaillaan ottamassa yhteyttä tiettyihin ryhmiin, hän sanoi.

Raportin laatimat analyytikot olivat sitä mieltä, että se oli turvallisin vaihtoehto, koska he eivät halunneet paljastaa tarkasti, mitä tietokoneita olisi vaarannettu maihin, jotka voisivat

"Jos voitte kuvitella, että tämä tartunnan saaneiden tietokoneiden luettelo luovutetaan kiinalainen CERT (Computer Emergency Response Team), [se] olisi vain jotain, josta en olisi tyytyväinen", sanoi Villeneuve, joka puhui torstaina Tallinnassa Tallinnassa Cyber ​​Warfaren konferenssin sivusta. "Tunsimme, että olimme eräänlainen tällainen oikeudellinen tyhjiö."

Koska raportti nimesi kansakunnat, he ovat todennäköisesti tietoisia siitä, mitä tapahtui, Villeneuve sanoi. Mutta se, että kaikkia ei ole ilmoitettu, korostaa huolenaiheita tietoverkkotapahtumien jakamisesta.

Villeneuve sanoi, että hän oli "paranoidinen ja peloissaan" tutkimuksestaan ​​vankilaan, vaikka kaikki se tapahtui linjassa eettisiä normeja ja että yksinkertainen Google-haku paljasti joitain pilkkaavin tietoja siitä, kuinka GhostNet keräsi tietoja.

"En haluaisi pelätä viranomaisia ​​saamasta kaikki nämä tiedot tartunnan saaneista, arkaluonteisista isännistä", Villeneuve sanoi. "Mielestämme oli välttämätöntä käydä läpi oikeat kanavat, jotka parhaimmillaan oli Cyber ​​Incident Response Center."

Raportti on toiminut herätyksenä järjestöille, jotka liittyvät turvallisuuteen. Pienemmissä kansalaisjärjestöissä ei kuitenkaan usein ole asiantuntemusta perusteellisen tietoturvan toteuttamiseen, vaikka sen puute on uhka, Villeneuve sanoi.

Koska raportti julkistettiin maaliskuussa, GhostNet on höyrystynyt. Tietojen kerääjät palvelivat offline-tilassa raportin julkaisupäivänä. Kiina kieltäytyi virallisesti kaikista yhteyksistä operaatioon, ja niitä, jotka ovat vastuussa sen toiminnasta, ei ole koskaan tunnistettu, Villeneuve sanoi.