GhostNet - GhostNet

GhostNet (упрощенный китайский : 幽灵 网; традиционный китайский : 幽靈 網; пиньинь : YuLíngWǎng) - это имя, данное исследователями Монитор информационной войны в широком масштабе кибершпионаж[1][2] операция обнаружена в марте 2009 года. Операция, вероятно, связана с продвинутая постоянная угроза, или сетевой актер, который незаметно шпионит.[3] Его инфраструктура управления и контроля основана в основном на Китайская Народная Республика и GhostNet проникла в важные политические, экономические и СМИ.[4] в 103 странах мира. Компьютерные системы, принадлежащие посольства, министерства иностранных дел и другие правительственные учреждения, а также Далай Лама с тибетский центры изгнания в Индии, Лондоне и Нью-Йорке были скомпрометированы.

Открытие

Сеть GhostNet была обнаружена и названа после 10-месячного расследования, проведенного Infowar Monitor (IWM), проведенный после того, как исследователи IWM подошли к Далай Лама представитель в Женеве[5] подозревая, что в их компьютерную сеть проникли.[6] IWM состоит из исследователей из Группа SecDev и канадские консультанты и Citizen Lab, Центр международных исследований Мунк на Университет Торонто; результаты исследования были опубликованы в Infowar Monitor, дочернее издание.[7] Исследователи из Кембриджский университет с Компьютерная лаборатория при поддержке Институт защиты информационной инфраструктуры,[8] также участвовал в расследовании в одном из трех мест в Дхарамшала, где находится тибетское правительство в изгнании. Об открытии GhostNet и подробностях ее деятельности сообщил Нью-Йорк Таймс 29 марта 2009 г.[7][9] Первоначально следователи сосредоточились на обвинениях в китайском кибершпионаже против Тибетский изгнанник сообщества, например, случаи извлечения электронной переписки и других данных.[10]

Взломанные системы были обнаружены в посольства Индии, Южная Корея, Индонезия, Румыния, Кипр, Мальта, Таиланд, Тайвань, Португалия, Германия и Пакистан и канцелярия премьер-министра Лаос. В министерства иностранных дел из Иран, Бангладеш, Латвия, Индонезия, Филиппины, Бруней, Барбадос и Бутан также были нацелены.[1][11] Не было обнаружено никаких доказательств проникновения в правительственные учреждения США или Великобритании, хотя НАТО за компьютером следили полдня, и компьютеры Посольство Индии в Вашингтон, округ Колумбия., были проникнуты.[4][11][12]

С момента своего открытия GhostNet атаковал другие правительственные сети, например, официальные финансовые ведомства Канады в начале 2011 года, вынудив их отключиться от сети. Правительства обычно не допускают таких атак, что должно быть подтверждено официальными, но анонимными источниками.[13]

Техническая функциональность

Электронные письма отправляются целевым организациям, которые содержат контекстно-релевантную информацию. Эти электронные письма содержат вредоносные вложения, которые при открытии позволяют троянский конь для доступа к системе.[нужна цитата ] Этот троянец снова подключается к управляющему серверу, обычно расположенному в Китае, для получения команд. Затем зараженный компьютер выполнит команду, указанную управляющим сервером. Иногда команда, заданная сервером управления, заставляет зараженный компьютер загружать и устанавливать троян, известный как Gh0st Крыса что позволяет злоумышленникам получить полный контроль над компьютерами в режиме реального времени. Майкрософт Виндоус.[4] Такой компьютер может контролироваться или проверяться злоумышленниками, и программное обеспечение даже может включать функции камеры и аудиозаписи на зараженных компьютерах, что позволяет злоумышленникам осуществлять наблюдение.[7]

Источник

Исследователи из IWM заявили, что они не могут сделать вывод о том, что китайское правительство несет ответственность за шпионскую сеть.[14] Однако отчет исследователей из Кембриджский университет говорит, что они считают, что китайское правительство стоит за вторжениями, которые они проанализировали в офисе Далай-ламы.[15]

Исследователи также отметили возможность того, что GhostNet была операцией, проводимой частными гражданами в Китае с целью получения прибыли или по патриотическим мотивам или созданной спецслужбами других стран, таких как Россия или США.[7] Правительство Китая заявило, что Китай «строго запрещает любую киберпреступность».[1][10]

«Отчет Ghostnet» документирует несколько не связанных между собой заражений в организациях, связанных с Тибетом, в дополнение к заражениям Ghostnet. Используя адреса электронной почты, предоставленные в отчете IWM, Скотт Дж. Хендерсон сумел отследить одного из операторов одного из заражений (не связанных с Ghostnet) на Чэнду. Он идентифицирует хакера как 27-летнего мужчину, который посещал Университет электронных наук и технологий Китая, и в настоящее время связан с китайским хакером под землей.[16]

Несмотря на отсутствие доказательств, указывающих на то, что китайское правительство несет ответственность за вторжения против тибетских целей, исследователи из Кембриджа обнаружили действия, предпринятые китайскими правительственными чиновниками, которые соответствовали информации, полученной с помощью компьютерных вторжений. Один из таких инцидентов произошел с дипломатом, на которого оказал давление Пекин после получения электронного письма с приглашением посетить Далай Лама от его представителей.[15]

Другой инцидент произошел с тибетской женщиной, которую допрашивали сотрудники китайской разведки, и ей показали стенограммы ее онлайн-разговоров.[14][17] Однако есть и другие возможные объяснения этого события. Дрелва использует QQ и другие программы обмена мгновенными сообщениями для общения с китайскими пользователями Интернета. В 2008 году IWM обнаружила, что TOM-Skype, китайская версия Skype, регистрирует и хранит текстовые сообщения, которыми обмениваются пользователи. Возможно, что китайские власти получили стенограммы чата с помощью этих средств.[18]

Исследователи IWM также обнаружили, что при обнаружении GhostNet постоянно контролируется с IP-адресов, расположенных на острове Хайнань, Китай, и указали, что Хайнань является домом для объекта разведки Линшуй и Третьего технического отдела Народно-освободительной армии.[4] Более того, один из четырех управляющих серверов GhostNet оказался правительственный сервер[уточнить ].[19]

Смотрите также

Рекомендации

  1. ^ а б c "Обнаружена крупная шпионская сеть". Новости BBC. 29 марта 2009 г.. Получено 29 марта, 2009.
  2. ^ Глейстер, Дэн (30 марта 2009 г.). «Китай обвиняется в глобальном кибершпионаже». The Guardian Weekly. 180 (16). Лондон. п. 5. Получено 7 апреля, 2009.
  3. ^ Шон Бодмер; Доктор Макс Килгер; Грегори Карпентер; Джейд Джонс (2012). Обратный обман: противодействие организованной киберугрозе. McGraw-Hill Osborne Media. ISBN  978-0071772495.
  4. ^ а б c d Харви, Майк (29 марта 2009 г.). "Китайские хакеры" используют сеть-призрак для управления компьютерами посольства'". Времена. Лондон. Получено 29 марта, 2009.
  5. ^ «Отслеживание GhostNet: расследование сети кибершпионажа».
  6. ^ «Китай отрицает обвинения в шпионаже». Новости BBC. 30 марта 2009 г.. Получено 31 марта, 2009.
  7. ^ а б c d Марков, Джон (28 марта 2009 г.). «Обширная шпионская система грабит компьютеры в 103 странах». Нью-Йорк Таймс. Получено 29 марта, 2009.
  8. ^ Шишир Нагараджа, Росс Андерсон (март 2009 г.). «Дракон-шпион: слежка за тибетским движением с помощью вредоносных программ» (PDF). Кембриджский университет. п. 2. Получено 31 марта, 2009.
  9. ^ «Исследователи: кибершпионы вторгаются в правительственные компьютеры». Ассошиэйтед Пресс. 29 марта 2009 г.. Получено 29 марта, 2009.
  10. ^ а б Китайские шпионы нацелены на Таиланд. Почта Бангкока, 30 марта, 2009. Проверено 30 марта, 2009.
  11. ^ а б «Канадцы обнаружили обширную компьютерную шпионскую сеть: отчет». Рейтер. 28 марта 2009 г.. Получено 29 марта, 2009.
  12. ^ «Шпионская операция китайских компьютеров с проникновением: отчет». Индуистский. 29 марта 2009 г. Архивировано с оригинал 1 апреля 2009 г.. Получено 29 марта, 2009.
  13. ^ «Иностранные хакеры атакуют правительство Канады». CBC Новости. 17 февраля 2011 г.. Получено 17 февраля, 2011.
  14. ^ а б Отслеживание GhostNet: расследование сети кибершпионажа. Центр международных исследований Мунк. 29 марта 2009 г.
  15. ^ а б Нагараджа, Шишир; Андерсон, Росс (март 2009 г.). «Дракон-шпион: слежка за тибетским движением с помощью социальных вредоносных программ» (PDF). Компьютерная лаборатория Кембриджского университета.
  16. ^ Хендерсон, Скотт (2 апреля 2009 г.). "Охота на хакера GhostNet". Темный посетитель. Архивировано из оригинал 6 апреля 2009 г.. Получено 2 апреля, 2009.
  17. ^ Команда U of T отслеживает кибершпионов в Китае Торонто Стар 29 марта 2009 г. В архиве 31 марта 2009 г. Wayback Machine
  18. ^ НАРУШЕНИЕ ДОВЕРИЯ: анализ практики наблюдения и безопасности на китайской платформе TOM-Skype
  19. ^ Познакомьтесь с канадцами, разобравшими Ghostnet Глобус и почта 29 марта 2009 г.

внешняя ссылка