GhostNet Cyber ​​Spionage Probe saknar fortfarande slut

Nästan tre månader efter en rapport om en omfattande global spionageoperation i världen, kan många länder som hackats inte ha formellt anmälts ännu.

Juridiska hinder har hindrat ansträngningarna att kontakta många länder vars datorer i ambassader och utrikesministerier infekterades med skadlig programvara som kunde stjäla data, säger Nart Villeneuve, en av författarna till en detaljerad rapport på 53 sidor som speglar nyheten om cyberspionering.

Rapporten skrevs av analytiker med Information Warfare Monitor, ett forskningsprojekt från SecDev-gruppen, en tankesmedja och Munk Center for International Studies vid University of Toronto.

[Läs vidare g: Hur man tar bort skadlig kod från din Windows-dator]

Analytikerna avslöjade en operation med namnet "GhostNet" som infekterade datorer tillhör tibetanska icke-statliga organisationer och Dalai Lamas privata kontor.

Ytterligare undersökningar visade datorerna i 103 länder var infekterade liksom organisationer som ASEAN (Association of Southeast Asian Nations) sekretariat och Asian Development Bank. Data skickades till fjärranslutna servrar, varav många var belägna i Kina.

Rapporten var en av de första offentligt avslöjade undersökningarna som visade hur lätt det var för hackare att rikta sig på organisationer genom socialteknik och malwareattacker. hackare använde allmänt tillgänglig malware, ett fjärråtkomstverktyg som heter gh0st RAT (Remote Access Tool), för att stjäla känsliga dokument, använda webbkameror och helt styra infekterade datorer. När det gäller de tibetanska icke-statliga organisationerna fick medarbetare ett e-postmeddelande innehållande ett Microsoft Word-dokument som, om det öppnades, utnyttjade en känd sårbarhet som inte fanns i applikationen.

Ett antal misstag av hackarna gjorde det möjligt för utredare att ange servrar som används Villeneuve sa att detaljerade uppgifter om kompromitterade datorer endast har gjorts till det kanadensiska Cyber ​​Incident Response Center (CCIRC), landets nationella rapporteringscenter för internetrapportering. CCIRC är i färd med att kontakta några av de berörda grupperna, sade han.

Analytikerna som skrev rapporten tyckte att det var det säkraste alternativet, eftersom de inte ville avslöja exakt vilka datorer som hade äventyrats i länder som kunde potentiellt missbruka den känsliga informationen.

"Om du kan tänka mig att överlämna denna lista över infekterade datorer till det kinesiska CERT-systemet (Computer Emergency Response Team), skulle [det] bara vara något jag inte skulle trivas med, säger Villeneuve, som pratade på sidan av konferensen om cyberkrigstid på torsdagen i Tallinn, Estland. "Vi kände att vi var snälla i denna typ av juridiskt dammsugare." Eftersom rapporten betecknade de berörda nationerna är de troligen medvetna om vad som hände, sade Villeneuve. Men det faktum att alla inte har anmälts understryker oro över delningen av information om cyberhändelser. Villeneuve sa att han var "paranoid och rädd" om att gå i fängelse över sin forskning, trots att allt var gjort i linje med etiska standarder och att en enkel Google-sökning visade upp några av de mest skadliga uppgifterna om hur GhostNet samlade data.

"Jag skulle hellre inte skämta myndigheterna med att ha all denna information om smittade, känsliga värdar", sade Villeneuve. "Vi ansåg att det var nödvändigt att gå igenom de korrekta kanalerna, vilket som vi bäst kan berätta var Cyber ​​Incident Response Center."

Rapporten har fungerat som ett väckarklocka till organisationer om säkerhet. Men mindre icke-statliga organisationer har ofta inte kunskapen att genomföra mer noggrann datasäkerhet, trots att det saknas ett hot, sade Villeneuve.

Sedan rapporten blev offentlig i mars har GhostNet förångats. Servrarna som samlar data gick offline med en dag i rapportens utgåva. Kina förnekade officiellt någon koppling till operationen, och de som ansvarar för att köra den har aldrig identifierats, sade Villeneuve.