Rete di spionaggio informatico toccata 103 Paesi

Un'indagine sulla cyberpionage di 10 mesi ha rilevato che 1295 computer in 103 paesi e appartenenti a istituzioni internazionali sono stati spiati, con alcune prove indiziarie che suggeriscono che la Cina potrebbe essere la causa.

Il rapporto di 53 pagine, pubblicato domenica, fornisce alcune delle prove più convincenti e dettagli degli sforzi degli hacker motivati ​​politicamente mentre sollevano domande sui loro legami con operazioni di cyberspazio sanzionate dal governo.

Descrive una rete che i ricercatori hanno chiamato GhostNet, che utilizza principalmente un programma software dannoso chiamato gh0st RAT (Remote Access Tool) per rubare documenti sensibili, controllare le webcam e controllare completamente i computer infetti.

[Ulteriori informazioni: Come rimuovere malware dal tuo PC Windows]

"GhostNet rappresenta una rete di computer compromessi residenti in posizioni politiche, economiche e multimediali di alto valore diffuse in numerosi paesi del mondo", ha detto il rapporto, scritto da analisti con l'Information Warfare Monitor, una ricerca progetto del SecDev Group, un think tank e il Munk Center for International Studies dell'Università di Toronto. "Al momento della scrittura, queste organizzazioni sono quasi certamente ignare della situazione compromessa in cui si trovano".

Gli analisti hanno affermato, tuttavia, che non hanno conferma se le informazioni ottenute sono diventate preziose per gli hacker o se è stato commercializzato o trasmesso come intelligenza.

Spionaggio Dal 2004

L'operazione è probabilmente iniziata intorno al 2004, i ricercatori della sicurezza del tempo hanno notato che molte di queste istituzioni venivano inviate messaggi e-mail fasulli con file eseguibili allegato a loro, secondo Mikko Hypponen, direttore della ricerca antivirus di F-Secure. Hypponen, che ha monitorato gli attacchi per anni, afferma che le tattiche di GhostNet si sono notevolmente evolute da quei primi giorni. "Negli ultimi tre anni e mezzo è stato abbastanza avanzato e abbastanza tecnico."

"E 'davvero bello vedere un riflettore su questo mentre la cosa in questo momento, perché è andata avanti così a lungo e nessuno ha prestato attenzione ", ha aggiunto.

Sebbene le prove dimostrino che i server in Cina stavano raccogliendo alcuni dei dati sensibili, gli analisti erano cauti nel collegare lo spionaggio al governo cinese. Piuttosto, la Cina ha un quinto degli utenti Internet del mondo, che possono includere hacker che hanno obiettivi allineati con posizioni politiche ufficiali cinesi.

"Attribuire tutto il malware cinese a operazioni di raccolta di intelligence deliberate o mirate da parte dello stato cinese è sbagliato e fuorviante, "La relazione dice

Tuttavia, la Cina ha fatto uno sforzo concertato sin dagli anni '90 per usare il cyberspazio come vantaggio militare" L'attenzione cinese alle capacità informatiche come parte della sua strategia di guerra asimmetrica nazionale implica capacità deliberatamente sviluppate che aggirano la superiorità degli Stati Uniti in guerra del comando e controllo ", ha detto.

I computer del Tibet hanno sforato

Un secondo rapporto, scritto dai ricercatori dell'Università di Cambridge e pubblicato in collaborazione con il giornale dell'Università di Toronto, è stato meno cauto, affermando che gli attacchi contro l'ufficio di Sua Santità il Dalai Lama (OHHDL) è stato lanciato da "agenti del governo cinese". Il team di Cambridge ha intitolato il loro rapporto, "The Snooping Dragon".

La ricerca degli analisti è iniziata dopo che gli è stato concesso l'accesso a computer appartenenti al governo del Tibet in esilio, organizzazioni non governative tibetane e l'ufficio privato del Dalai Lama, che era interessato sulla perdita di informazioni riservate, secondo il rapporto.

Hanno trovato computer infettati da software dannoso che consentivano agli hacker remoti di rubare informazioni. I computer sono stati infettati dopo che gli utenti hanno aperto allegati dannosi o fatto clic su collegamenti che conducono a siti Web dannosi.

I siti Web o gli allegati dannosi tenterebbero quindi di sfruttare le vulnerabilità del software per assumere il controllo della macchina. In un esempio, un'e-mail dannosa è stata inviata a un'organizzazione affiliata al Tibet con un indirizzo di ritorno "[email protected]" con un allegato Microsoft Word infetto.

Mentre gli analisti sondavano la rete, hanno scoperto che il i server che raccoglievano i dati non erano protetti. Hanno ottenuto l'accesso ai pannelli di controllo utilizzati per monitorare i computer compromessi su quattro server.

Quei pannelli di controllo hanno rivelato elenchi di computer infetti, che sono andati ben oltre il governo del Tibet e le ONG. Tre dei quattro server di controllo erano situati in Cina, compresi Hainan, Guangdong e Sichuan. Uno era negli Stati Uniti, afferma il rapporto. Cinque dei sei server di comando erano in Cina, con il restante a Hong Kong.

L'Università di Toronto riporta classificato quasi il 30% dei computer infetti come obiettivi "di alto valore". Queste macchine appartengono al ministero degli affari esteri del Bangladesh, delle Barbados, del Bhutan, del Brunei, dell'Indonesia, dell'Iran, della Lettonia e delle Filippine. Anche infetti erano computer appartenenti alle ambasciate di Cipro, Germania, India, Indonesia, Malta, Pakistan, Portogallo, Romania, Corea del Sud, Taiwan e Thailandia.

Gruppi internazionali infetti includevano il segretariato dell'ASEAN (Associazione delle Nazioni del Sud-Est asiatico), SAARC (Associazione dell'Asia meridionale per la cooperazione regionale) e la Banca asiatica di sviluppo; alcune organizzazioni di notizie come l'affiliata britannica della Associated Press; e un computer NATO non classificato.

Riflettori puntati sui bisogni di sicurezza

L'esistenza di GhostNet evidenzia la necessità di un'attenzione urgente alla sicurezza delle informazioni, hanno scritto gli analisti. "Possiamo tranquillamente ipotizzare che [GhostNet] non sia né il primo né l'unico nel suo genere."

I ricercatori di Cambridge prevedono che questi attacchi altamente mirati siano accompagnati da malware sofisticati - li chiamano "social malware" - diventerà più prevalente in futuro. "È improbabile che il malware sociale rimanga uno strumento dei governi", scrivono. "Che cosa hanno fatto gli spettatori cinesi nel 2008, i criminali russi lo faranno nel 2010".

F-Secure ha visto solo poche migliaia di questi attacchi fino ad ora, sono già un problema per gli utenti aziendali nel settore della difesa, ha detto Hypponen.. "Stiamo solo vedendo questo adesso su una scala minuscola", ha detto. "Se potessi prendere tecniche come questa e farlo su larga scala, ovviamente cambierebbe il gioco."

(Robert McMillan di San Francisco ha contribuito a questo rapporto)