Tiefer Computer-Spionage-Netzwerk Berührt 103 Länder

Eine 10-monatige Cyberspionage-Untersuchung hat ergeben, dass 1295 Computer in 103 Ländern, die internationalen Institutionen angehören, ausspioniert wurden, mit einigen Indizien, die darauf hinwiesen, dass China schuld ist.

Der am Sonntag veröffentlichte 53-seitige Bericht einige der überzeugendsten Beweise und Details der Bemühungen von politisch motivierten Hackern, während sie Fragen über ihre Verbindungen zu staatlich sanktionierten Cyberspying-Operationen aufwerfen.

Es beschreibt ein Netzwerk, das Forscher GhostNet genannt haben, das hauptsächlich ein bösartiges Software-Programm namens gh0st RAT (Remote Access Tool), um vertrauliche Dokumente zu stehlen, Web-Cams zu kontrollieren und infizierte Computer vollständig zu kontrollieren.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows PC]

"GhostNet stellt ein Netzwerk kompromittierter Computer dar, die in hochwertigen politischen, wirtschaftlichen und medialen Standorten in zahlreichen Ländern der Welt verstreut sind", heißt es in dem von Analysten mit dem Information Warfare Monitor verfassten Bericht Projekt der SecDev Group, einer Denkfabrik, und des Munk Center for International Studies an der Universität von Toronto. "Zum Zeitpunkt des Schreibens sind sich diese Organisationen fast sicher der kompromittierten Situation bewusst, in der sie sich befinden."

Die Analysten sagten jedoch, sie hätten keine Bestätigung, dass die erhaltenen Informationen für die Hacker wertvoll gewesen seien oder ob es kommerziell verkauft oder als Geheimdienst weitergegeben wurde.

Spionage seit 2004

Die Operation begann vermutlich 2004, als die Sicherheitsforscher bemerkten, dass viele dieser Institutionen gefälschte E-Mail-Nachrichten mit ausführbaren Dateien erhielten Laut Mikko Hypponen, Leiter der Antiviren-Forschung bei F-Secure, ist er an sie angeschlossen. Hypponen, der die Angriffe seit Jahren beobachtet, sagt, dass sich die Taktiken von GhostNet aus diesen frühen Tagen erheblich weiterentwickelt haben. "In den letzten dreieinhalb Jahren war es ziemlich fortschrittlich und ziemlich technisch."

"Es ist wirklich gut, im Moment eine Sache im Rampenlicht zu sehen, weil es gerade so lange andauert niemand hat darauf geachtet ", fügte er hinzu.

Obwohl es Hinweise darauf gibt, dass Server in China einige sensible Daten sammeln, waren die Analysten vorsichtig, die Spionage mit der chinesischen Regierung zu verbinden. Vielmehr hat China ein Fünftel der Internetnutzer weltweit, zu denen Hacker gehören, deren Ziele mit den offiziellen chinesischen politischen Positionen übereinstimmen.

"Die Zuordnung aller chinesischen Malware zu absichtlichen oder gezielten Informationsbeschaffungsmaßnahmen durch den chinesischen Staat ist falsch und irreführend. "Der Bericht sagte.

China hat jedoch eine konzertierte Anstrengung seit den 1990er Jahren gemacht, um Cyberspace für militärische Vorteile zu nutzen" Die Chinesen konzentrieren sich auf Cyber-Fähigkeiten als Teil ihrer Strategie der nationalen asymmetrischen Kriegsführung beinhaltet bewusst Fähigkeiten zu entwickeln, die die US-Überlegenheit umgehen Kommando- und Kontrollkrieg ", sagte er.

Tibets Computer durchbrach

Ein zweiter Bericht, geschrieben von Forschern der Universität Cambridge und veröffentlicht in Verbindung mit der Zeitung der Universität von Toronto, war weniger umsichtig und sagte, dass die Angriffe gegen das Büro Seiner Heiligkeit des Dalai Lama (OHHDL) wurde von "Agenten der chinesischen Regierung" ins Leben gerufen. Das Cambridge-Team betitelte ihren Bericht "The Snooping Dragon".

Die Forschung der Analysten begann, nachdem sie Zugriff auf Computer der tibetischen Exilregierung, tibetischer Nichtregierungsorganisationen und des privaten Büros des Dalai Lama erhalten hatten über das Auslaufen vertraulicher Informationen, so der Bericht.

Sie fanden Computer, die mit bösartiger Software infiziert waren, die es entfernten Hackern erlaubte, Informationen zu stehlen. Die Computer wurden infiziert, nachdem Benutzer schädliche Anhänge geöffnet oder auf Links geklickt haben, die zu schädlichen Websites geführt haben.

Die Websites oder bösartigen Anhänge würden dann versuchen, Sicherheitslücken in Software auszunutzen, um die Kontrolle über den Computer zu erlangen. In einem Beispiel wurde eine bösartige E-Mail an eine mit Tibet verbundene Organisation mit der Absenderadresse "[email protected]" mit einem infizierten Microsoft Word-Anhang gesendet.

Als die Analysten das Netzwerk untersuchten, stellten sie fest, dass die Server, die die Daten sammelten, waren nicht gesichert. Sie erhielten Zugriff auf Kontrollfelder, die zur Überwachung der gehackten Computer auf vier Servern verwendet wurden.

Diese Kontrollfelder enthüllten Listen infizierter Computer, die weit über die tibetische Regierung und die NGOs hinausgingen. Drei der vier Kontrollserver befanden sich in China, einschließlich Hainan, Guangdong und Sichuan. Einer war in den USA, hieß es in dem Bericht. Fünf der sechs Befehlsserver befanden sich in China, der Rest in Hongkong.

Der Bericht der University of Toronto hat fast 30 Prozent der infizierten Computer als "hochwertige" Ziele eingestuft. Diese Maschinen gehören dem Ministerium für auswärtige Angelegenheiten von Bangladesch, Barbados, Bhutan, Brunei, Indonesien, Iran, Lettland und den Philippinen. Außerdem infizierten sich Computer der Botschaften von Zypern, Deutschland, Indien, Indonesien, Malta, Pakistan, Portugal, Rumänien, Südkorea, Taiwan und Thailand.

Zu ​​den infizierten internationalen Gruppen gehörten das Sekretariat der ASEAN (Verband Südostasiatischer Nationen), SAARC (Südasiatische Vereinigung für regionale Zusammenarbeit) und die Asiatische Entwicklungsbank; einige Nachrichtenorganisationen wie die U.K.-Tochtergesellschaft der Associated Press; und ein nicht klassifizierter NATO-Computer.

Im Blickpunkt der Sicherheitsbedürfnisse

Die Existenz von GhostNet unterstreicht die Notwendigkeit, der Informationssicherheit dringend Aufmerksamkeit zu widmen, so die Analysten. "Wir können sicher annehmen, dass es [GhostNet] weder das erste noch das einzige seiner Art ist."

Die Cambridge-Forscher sagen voraus, dass diese hochgradig zielgerichteten Angriffe mit ausgeklügelter Malware einhergehen - sie nennen sie "soziale Malware" - wird in Zukunft häufiger werden. "Social Malware wird wahrscheinlich kein Werkzeug der Regierungen bleiben", schreiben sie. "Was chinesische Spione im Jahr 2008 machten, werden russische Gauner 2010 machen."

F-Secure hat bisher nur ein paar Tausend dieser Angriffe gesehen, aber für Unternehmen im Verteidigungssektor sind sie bereits ein Problem, sagte Hypponen. "Wir sehen das jetzt nur in einem winzigen Maßstab", sagte er. "Wenn man solche Techniken anwenden könnte und dies in großem Umfang tun würde, würde das natürlich das Spiel verändern."

(Robert McMillan in San Francisco hat zu diesem Bericht beigetragen)