Deep Computer-Spying Network Touched 103 Länder

Den 53-sidiga rapporten, som släpptes på söndagen, ger några av de mest övertygande bevisen och detaljerna för ansträngningarna för politiskt motiverade hackare, samtidigt som de hämtar frågor om sina band med statligt sanktionerad cyberspying-verksamhet.

Det beskriver ett nätverk som forskare har kallat GhostNet, som i första hand använder ett skadligt program som heter gh0st RAT (Remote Access Tool) för att stjäla känsliga dokument, kontrollera webbkameror och helt styra infekterade datorer.

[Vidare läsning: Hur man tar bort skadlig programvara från din Windows-dator]

"GhostNet representerar ett nätverk av komprometterade datorer som är bosatta i värdefulla politiska, ekonomiska och medieplaceringar som sprids över många länder över hela världen", säger rapporten, som har skrivits av analytikerna med Information Warfare Monitor, en forskning Projekt av SecDev-gruppen, en tank och Munk-centret för internationella studier vid University of Toronto. "I skrivande stund är dessa organisationer nästan säkert oblivious till den kompromisserade situationen där de befinner sig."

Analytikerna sa dock att de inte har någon bekräftelse om den information som erhållits har hamnat värdefull för hackarna eller om det har blivit kommersiellt sålt eller vidarebefordrat som underrättelse.

Spionera sedan 2004

Operationen startade förmodligen runt 2004 och tidssäkerhetsforskarna märkte att många av dessa institutioner skickades till falska e-postmeddelanden med körbara filer ansluten till dem, enligt Mikko Hypponen, chef för antivirusforskning på F-Secure. Hypponen, som har spårat attackerna i flera år, säger att GhostNets taktik har utvecklats väsentligt från de tidiga dagarna. "Under de senaste tre och ett halvt åren har det varit ganska avancerat och ganska tekniskt."

"Det är jättebra att se en strålkastare på detta medan det just nu, eftersom det har hänt så länge och ingen har varit uppmärksam, "tillade han.

Även om bevis visar att servrar i Kina samlade några av de känsliga uppgifterna, var analytikerna försiktiga med att knyta spionet till den kinesiska regeringen. I stället har Kina en femtedel av världens internetanvändare, vilket kan innefatta hackare som har mål som riktar sig till officiella kinesiska politiska positioner.

"Att all kinesisk skadlig kod ska vara avsedd för avsiktlig eller målinriktade insamlingsoperationer från den kinesiska staten är fel och vilseledande, "Kina har emellertid gjort en samlad ansträngning sedan 1990-talet för att använda cyberspace för militär fördel." Det kinesiska fokuset på cyberkapacitet som en del av sin strategi för nationell asymmetrisk krigföring innebär avsiktligt att utveckla kapaciteter som kringgår USA: s överlägsenhet i Command-and-Control warfare ", sa det.

Tibet's Computers Breached

En andra rapport, som skrevs av University of Cambridge-forskare och publicerades i samband med University of Toronto-papperet, var mindre omtänkt och sade att attackerna mot Hans helighetskontor Dalai Lama (OHHDL) lanserades av "kinesiska agenter". Cambridge-laget betecknade deras rapport, "The Snooping Dragon." Analytikernas forskning startade efter att de fick tillgång till datorer som tillhör tibets regering i exil, tibetanska icke-statliga organisationer och Dalai Lamas privata kontor som var berörda om läckage av konfidentiell information, enligt rapporten.

De fann datorer infekterade med skadlig programvara som gjorde det möjligt för distanshackare att stjäla information. Datorerna blev smittade efter att användare öppnat skadliga bilagor eller klickade på länkade som leder till skadliga webbplatser.

Webbplatserna eller skadliga bifogade filer försöker sedan utnyttja programvara sårbarheter för att ta kontroll över maskinen. I ett exempel skickades ett skadligt e-postmeddelande till en Tibet-ansluten organisation med en returadress av "[email protected]" med ett infekterat Microsoft Word-bilagor.

När analytikerna undersökte nätverket fann de att servrar som samlar in data var inte säkrade. De fick tillgång till kontrollpaneler som användes för att övervaka de hackade datorerna på fyra servrar.

Dessa kontrollpaneler avslöjade listor över infekterade datorer, som gick långt bortom Tibet-regeringen och icke-statliga organisationer. Tre av de fyra kontrollservrarna var belägna i Kina, inklusive Hainan, Guangdong och Sichuan. En var i USA, sade rapporten. Fem av de sex kommandoservrarna var i Kina, med den återstående i Hong Kong.

Universitetet i Toronto rapporterade att nästan 30 procent av de infekterade datorerna klassificerades som "högvärda" mål. Dessa maskiner hör till utrikesministeriet i Bangladesh, Barbados, Bhutan, Brunei, Indonesien, Iran, Lettland och Filippinerna. Även infekterade var datorer som tillhör ambassaderna i Cypern, Tyskland, Indien, Indonesien, Malta, Pakistan, Portugal, Rumänien, Sydkorea, Taiwan och Thailand.

Internationella grupper infekterade inkluderade sekretariatet ASEAN (Association of South East Asian Nations) SAARC (Sydasiatiska föreningen för regionalt samarbete) och den asiatiska utvecklingsbanken några nyhetsorganisationer som U.K., associerad med Associated Press; och en oklassificerad Nato-dator.

Fokus på säkerhetsbehov

GhostNets existens framhäver behovet av brådskande uppmärksamhet på informationssäkerhet, skriver analytikerna. "Vi kan säkert hypotesa att det [GhostNet] inte är det första eller det enda i sitt slag."

Cambridge-forskarna förutsäger att dessa mycket riktade attacker kombineras med sofistikerad skadlig kod - de kallar dem "social malware" kommer att bli mer utbredd i framtiden. "Sociala malware är osannolikt att förbli ett verktyg för regeringar," skriver de. "Vilka kinesiska ryckningar gjorde 2008 kommer ryska skurkar att göra 2010."

Medan F-Secure bara har sett några tusen av dessa attacker hittills, är de redan ett problem för företagsanvändare i försvarssektorn, sade Hypponen. "Vi ses bara här just nu i en liten skala," sa han. "Om du skulle kunna använda tekniker som detta och göra det i stor skala, så skulle det naturligtvis förändra spelet."

(Robert McMillan i San Francisco bidrog till denna rapport)