GhostNet - armia chińskich cyberszpiegów?

Analitycy SecDev Group i naukowcy uniwersytetu w Toronto odkryli sieć komputerów osobistych zinfiltrowanych i kontrolowanych przez hakerów. GhostNet - bo taką nazwę nadali jej badacze - to sieć cyberszpiegowska, stworzona w celu kradzieży danych o dużym znaczeniu politycznym, militarnym i handlowym. W efekcie 10-miesięcznego śledztwa powstał raport, z którego wynika, że w ramach GhostNetu funkcjonowało co najmniej 1295 komputerów ze 103 krajów rozsianych po całym świecie, z czego ok. 30 % to komputery należące do placówek dyplomatycznych, ministerstw, firm prywatnych i organizacji pozarządowych.

Analitycy zaangażowani w projekt badawczy Information Warfare Monitor, utworzony w ramach SecDev Group oraz naukowcy z uniwersytetu w Toronto w czerwcu 2008 r. podjęli wysiłki mające rozwiać wątpliwości na temat domniemanej działalności chińskich hakerów wymierzonej w mieszkańców Tybetu, a nawet samego dalajlamę (jak pamiętamy, w marcu 2008 r. wybuchła tam fala protestów przeciw chińskiej polityce w regionie). Pierwszy etap prac polegał na gromadzeniu informacji, drugi - na ich analizie.

Greg Walton z Information Warfare Monitor i Shishir Nagaraja z Uniwersytetu w Cambridge na zaproszenie biura dalajlamy odwiedzili latem ub. roku placówkę organizacji w Daramsali w Indiach, aby sprawdzić doniesienia o domniemanych włamaniach na komputery. Po przybyciu na miejsce stwierdzili, że miały one rzeczywiście miejsce - pecety były bowiem zainfekowane złośliwym oprogramowaniem. Walton po powrocie do Toronto podzielił się spostrzeżeniami z kolegami z IWM. Jeden z nich, Nart Villeneuve, w plikach tworzonych przez złośliwe programy wykrył dziwny ciąg 22 znaków - przeszukanie Google'a skierowało go na trop grupy komputerów na wyspie Hainan (co ważne, mieści się tam baza chińskiego wywiadu oraz niektóre jednostki armii) oraz strony WWW. To ostatnie odkrycie, jak się potem okazało, było kluczowe dla dalszych badań. Był to bowiem serwis kontrolujący zainfekowane komputery, który - jak czytamy w raporcie - umożliwiał napastnikowi (napastnikom) wysyłanie instrukcji do kontrolowanych pecetów i otrzymywanie z nich danych.

Członkowie zespołu badawczego z Toronto, rozpracowującego sieć GhostNet: (od lewej) Ronald J. Deibert, Greg Walton, Nart Villeneuve, Rafal A. Rohozinski (źródło: New York Times)

Członkowie zespołu badawczego z Toronto, rozpracowującego sieć GhostNet: (od lewej) Ronald J. Deibert, Greg Walton, Nart Villeneuve, Rafal A. Rohozinski (źródło: New York Times)

Strona nie była zabezpieczona hasłem. Dzięki temu badacze odkryli listę niemal 1,3 tys. pecetów zainfekowanych i pracujących w ramach sieci GhostNet, wśród których zidentyfikowali maszyny należące do ministerstw spraw zagranicznych takich państw jak Łotwa, Indonezja, Filipiny, Iran; ambasad Korei Południowej, Indii, Rumunii, Tajlandii, Tajwanu, Portugalii, Niemiec, Portugalii; organizacji ASEAN (Stowarzyszenie Narodów Azji Południowo-Wschodniej); Azjatyckiego Banku Rozwoju oraz NATO.


Zobacz również