La sonda di spionaggio informatico di GhostNet ha ancora punti deboli

Quasi tre mesi dopo che un rapporto descriveva una vasta operazione di spionaggio informatico su scala mondiale, molti paesi che erano stati violati non erano ancora stati notificati formalmente.

Le barriere legali hanno ostacolato gli sforzi per contattare molti paesi i cui computer ambasciate e ministeri degli affari esteri sono stati infettati da software dannoso in grado di rubare dati, ha detto Nart Villeneuve, uno degli autori di un dettagliato rapporto di 53 pagine che getta nuova luce sull'estensione dello spionaggio informatico.

Il rapporto è stato scritto da analisti con l'Information Warfare Monitor, un progetto di ricerca del SecDev Group, un think tank e il Munk Center for International Studies dell'Università di Toronto.

[Ulteriore lettura g: Come rimuovere malware dal PC Windows]

Gli analisti hanno scoperto un'operazione denominata "GhostNet" che infettava i computer appartenenti alle organizzazioni non governative tibetane e all'ufficio privato del Dalai Lama.

Ulteriori indagini hanno mostrato i computer di 103 paesi sono stati infettati così come organizzazioni come il segretariato dell'ASEAN (Associazione delle Nazioni del Sud-Est asiatico) e la Banca asiatica di sviluppo. I dati sono stati inviati a server remoti, molti dei quali si trovavano in Cina.

Il rapporto è stato una delle prime indagini rivelate pubblicamente che ha dimostrato quanto fosse facile per gli hacker indirizzare le organizzazioni attraverso gli attacchi di social engineering e malware. gli hacker hanno utilizzato malware comunemente disponibili, uno strumento di accesso remoto chiamato gh0st RAT (Remote Access Tool), per rubare documenti sensibili, utilizzare Web cam e controllare completamente i computer infetti. Nel caso delle ONG tibetane, i membri dello staff hanno ricevuto e-mail contenente un documento di Microsoft Word che, se aperto, ha sfruttato una vulnerabilità nota che non è stata applicata nell'applicazione.

Una serie di errori degli hacker hanno permesso agli investigatori di individuare i server utilizzati Per raccogliere dati e l'estensione delle sonde, ha detto Villeneuve.

Villeneuve ha detto che le informazioni dettagliate sui computer compromessi sono state fornite solo al Cyber ​​Incident Response Centre (CCIRC), il centro nazionale di cyber reporting del paese. Il CCIRC sta contattando alcuni dei gruppi interessati, ha detto.

Gli analisti che hanno scritto il rapporto ritenevano che fosse l'opzione più sicura, dal momento che non volevano rivelare esattamente quali computer erano stati compromessi in paesi che potevano potenzialmente abusare delle informazioni sensibili.

"Se riesci a immaginare di consegnare questo elenco di computer infetti al CERT cinese (Computer Emergency Response Team), [che] sarebbe solo qualcosa con cui non sarei a mio agio", ha detto Villeneuve, che ha parlato a margine della Conferenza sulla Cyber ​​Warfare di giovedì a Tallinn, in Estonia. "Sentivamo di essere in una sorta di vuoto legale."

Dal momento che il rapporto ha definito le nazioni colpite, è probabile che siano a conoscenza di ciò che è accaduto, ha detto Villeneuve. Ma il fatto che tutti non siano stati notificati sottolinea le preoccupazioni sulla condivisione di informazioni sugli incidenti informatici.

Villeneuve ha detto di essere "paranoico e spaventato" di andare in galera per le sue ricerche, anche se tutto è stato fatto in linea con standard etici e che una semplice ricerca su Google ha rivelato alcune delle informazioni più schiaccianti su come GhostNet ha raccolto i dati.

"Preferirei non spaventare le autorità con tutte queste informazioni sugli host sensibili e infetti", ha detto Villeneuve. "Sentivamo che era necessario passare attraverso i canali corretti, che come meglio potevamo dire era il Cyber ​​Incident Response Center."

Il rapporto è servito come sveglia per le organizzazioni sulla sicurezza. Tuttavia, le ONG più piccole spesso non hanno le competenze per implementare una sicurezza informatica più completa anche se la mancanza di questa è una minaccia, ha detto Villeneuve.

Da quando il rapporto è diventato pubblico a marzo, GhostNet si è vaporizzato. I server che raccolgono i dati sono andati offline con un giorno di rilascio del report. La Cina ha ufficialmente negato qualsiasi connessione con l'operazione, e i responsabili della sua gestione non sono mai stati identificati, ha detto Villeneuve.