Rede de Computação Profunda Tocada 103 Países

O relatório de 53 páginas, divulgado no domingo, algumas das mais convincentes evidências e detalhes dos esforços de hackers politicamente motivados, enquanto levantam questões sobre seus laços com operações de ciberespionagem sancionadas pelo governo.

Ele descreve uma rede que os pesquisadores chamaram de GhostNet, que usa principalmente um programa de software malicioso chamado gh0st RAT (Remote Access Tool) para roubar documentos sensíveis, controlar webcams e controlar completamente os computadores infectados.

[Outras leituras: Como remover Malware representa uma rede de computadores comprometidos, residentes em locais políticos, econômicos e de mídia de alto valor, espalhados por vários países do mundo todo, disse o relatório, escrito por analistas do Information Warfare Monitor, uma pesquisa projeto do SecDev Group, um think tank, e do Centro Munk de Estudos Internacionais da Universidade de Toronto. "No momento em que escrevo, essas organizações quase certamente estão alheias à situação comprometida em que se encontram."

Os analistas disseram, no entanto, que não têm confirmação se as informações obtidas acabaram sendo valiosas para os hackers. ou se foi comercialmente vendido ou transmitido como inteligência.

Espionagem desde 2004

A operação provavelmente começou por volta de 2004, quando os pesquisadores de segurança perceberam que muitas dessas instituições estavam recebendo falsas mensagens de e-mail com arquivos executáveis ligados a eles, de acordo com Mikko Hypponen, diretor de pesquisa de antivírus da F-Secure. Hypponen, que acompanha os ataques há anos, diz que as táticas do GhostNet evoluíram consideravelmente desde os primeiros dias. "Nos últimos três anos e meio, tem sido bastante avançado e bastante técnico."

"É muito bom ver um holofote sobre isso enquanto está acontecendo agora, porque está acontecendo há tanto tempo e ninguém está prestando atenção ", acrescentou.

Embora as evidências mostrem que os servidores na China estavam coletando alguns dos dados sensíveis, os analistas foram cautelosos quanto à ligação da espionagem ao governo chinês. Pelo contrário, a China tem um quinto dos usuários da Internet, que podem incluir hackers com objetivos alinhados às posições políticas oficiais da China.

"Atribuir todo o malware chinês para deliberar ou direcionar as operações de inteligência pelo Estado chinês é errado e enganoso" "O relatório disse.

No entanto, a China fez um esforço conjunto desde a década de 1990 para usar o ciberespaço para vantagem militar" O foco chinês em capacidades cibernéticas como parte de sua estratégia nacional de guerra assimétrica envolve o desenvolvimento deliberado de capacidades que contornam a superioridade dos EUA. guerra de comando e controle ", disse.

Computadores do Tibet

Um segundo relatório, escrito por pesquisadores da Universidade de Cambridge e publicado em conjunto com o jornal da Universidade de Toronto, foi menos circunspecto, dizendo que os ataques contra o Gabinete de Sua Santidade o Dalai Lama (OHHDL) foi lançado por "agentes do governo chinês". A equipe de Cambridge intitulou seu relatório, "The Snooping Dragon."

A pesquisa dos analistas começou depois que eles tiveram acesso a computadores pertencentes ao governo do Tibete no exílio, organizações não-governamentais tibetanas e o escritório particular do Dalai Lama, que estava preocupado sobre o vazamento de informações confidenciais, de acordo com o relatório.

Eles encontraram computadores infectados com software malicioso que permitiam que hackers remotos roubassem informações. Os computadores foram infectados depois que os usuários abriram anexos maliciosos ou clicaram em links que levam a sites prejudiciais.

Os sites ou anexos maliciosos tentariam, então, explorar vulnerabilidades de software para assumir o controle da máquina. Em um exemplo, um e-mail mal-intencionado foi enviado para uma organização afiliada ao Tibet com um endereço de retorno de "[email protected]" com um anexo do Microsoft Word infectado.

Quando os analistas sondaram a rede, descobriram que o os servidores que coletam os dados não estavam protegidos. Eles ganharam acesso aos painéis de controle usados ​​para monitorar os computadores hackeados em quatro servidores.

Esses painéis de controle revelaram listas de computadores infectados, que foram muito além do governo do Tibet e das ONGs. Três dos quatro servidores de controle estavam localizados na China, incluindo Hainan, Guangdong e Sichuan. Um deles estava nos EUA, diz o relatório. Cinco dos seis servidores de comando estavam na China, com o restante em Hong Kong.

O relatório da Universidade de Toronto classificou cerca de 30% dos computadores infectados como alvos de "alto valor". Essas máquinas pertencem ao Ministério das Relações Exteriores de Bangladesh, Barbados, Butão, Brunei, Indonésia, Irã, Letônia e Filipinas. Também infectados estavam computadores pertencentes às embaixadas de Chipre, Alemanha, Índia, Indonésia, Malta, Paquistão, Portugal, Romênia, Coréia do Sul, Taiwan e Tailândia

Grupos internacionais infectados incluíam o secretariado da ASEAN (Associação de Nações do Sudeste Asiático), SAARC (Associação Sul-Asiática de Cooperação Regional) e Banco Asiático de Desenvolvimento; algumas organizações de notícias, como a afiliada da Associated Press no Reino Unido; e um computador não classificado da OTAN.

O Spotlight on Security Needs

A existência do GhostNet destaca a necessidade de atenção urgente à segurança da informação, escreveram os analistas. "Podemos supor com segurança que [o GhostNet] não é o primeiro nem o único do seu tipo".

Os pesquisadores de Cambridge prevêem que esses ataques altamente direcionados combinados com malwares sofisticados - eles os chamam de "malware social" - vai se tornar mais prevalente no futuro. "É pouco provável que malware social continue sendo uma ferramenta dos governos", escrevem eles. "O que os espiões chineses fizeram em 2008, os bandidos russos farão em 2010".

Embora a F-Secure tenha visto apenas alguns milhares desses ataques até agora, eles já são um problema para usuários corporativos no setor de defesa, disse Hypponen.. "Só estamos vendo isso agora em uma escala minúscula", disse ele. "Se você pudesse pegar técnicas como essas e fazer em escala maciça, é claro que isso mudaria o jogo."

(Robert McMillan em São Francisco contribuiu para este relatório)