A sonda Cyber ​​Espionage do GhostNet ainda tem pontas soltas

Quase três meses depois que um relatório detalhou uma extensa operação de espionagem mundial, muitos países que foram hackeados podem não ter sido formalmente notificados.

As barreiras legais têm dificultado os esforços para contatar muitos países cujos computadores embaixadas e ministérios de relações exteriores foram infectados com software malicioso capaz de roubar dados, disse Nart Villeneuve, um dos autores de um relatório detalhado de 53 páginas que lançou uma nova luz sobre a extensão da espionagem cibernética.

O relatório foi escrito por analistas com o Information Warfare Monitor, um projeto de pesquisa do SecDev Group, um think tank, e o Centro Munk de Estudos Internacionais da Universidade de Toronto.

[Further readin g: Como remover malware do seu PC Windows]

Os analistas descobriram uma operação apelidada de "GhostNet" que infectou computadores pertencentes a organizações não governamentais tibetanas e ao escritório particular do Dalai Lama.

Outras investigações mostraram os computadores de 103 países foram infectados, bem como organizações como o secretariado da ASEAN (Associação das Nações do Sudeste Asiático) eo Banco Asiático de Desenvolvimento. Os dados foram enviados para servidores remotos, muitos deles localizados na China.

O relatório foi uma das primeiras investigações reveladas publicamente que mostraram como era fácil para os hackers atacar as organizações por meio de engenharia social e ataques de malware.

hackers usaram malware comumente disponível, uma ferramenta de acesso remoto chamada gh0st RAT (Remote Access Tool), para roubar documentos confidenciais, operar webcams e controlar completamente os computadores infectados. No caso das ONGs tibetanas, os funcionários receberam e-mails contendo um documento do Microsoft Word que, se aberto, explorava uma vulnerabilidade conhecida que não foi corrigida no aplicativo.

Vários erros cometidos pelos hackers permitiram que os investigadores localizassem os servidores usados. A Villeneuve informou que informações detalhadas sobre computadores comprometidos foram dadas apenas ao Centro Canadense de Resposta a Incidentes Cibernéticos (CCIRC), o centro nacional de denúncias cibernéticas do país. O CCIRC está no processo de contatar alguns dos grupos afetados, disse ele.

Os analistas que escreveram o relatório acharam que era a opção mais segura, pois não queriam revelar exatamente quais computadores haviam sido comprometidos para países que poderiam potencialmente abusar das informações confidenciais.

"Se você puder imaginar entregar essa lista de computadores infectados à CERT (Computer Emergency Response Team) chinesa, isso seria apenas algo com o qual eu não me sentiria confortável", disse Villeneuve., que falou à margem da Conferência sobre Guerra Cibernética na quinta-feira em Tallinn, Estônia. "Sentimos que estávamos nesse tipo de vácuo legal."

Como o relatório citou as nações afetadas, eles provavelmente estão cientes do que aconteceu, disse Villeneuve. Mas o fato de que todos não foram notificados ressalta as preocupações sobre o compartilhamento de informações sobre incidentes cibernéticos. Villeneuve disse que estava "paranóico e com medo" de ser preso por causa de sua pesquisa, mesmo que tudo isso tenha sido feito em linha. com padrões éticos e que uma simples pesquisa no Google revelou algumas das informações mais contundentes sobre como o GhostNet coletava dados. "Eu prefiro não assustar as autoridades com todas essas informações sobre hosts infectados e sensíveis", disse Villeneuve.. "Sentimos que era necessário passar pelos canais apropriados, o melhor que poderíamos dizer era o Centro de Resposta a Incidentes Cibernéticos".

O relatório serviu como um alerta para as organizações sobre segurança. No entanto, as ONGs mais pequenas, muitas vezes, não têm o conhecimento necessário para implementar uma segurança informática mais completa, embora a falta dela seja uma ameaça, disse Villeneuve.Desde que o relatório se tornou público em março, o GhostNet se vaporizou. Os servidores que coletam dados ficaram offline com um dia do lançamento do relatório. A China negou oficialmente qualquer conexão com a operação, e os responsáveis ​​por operá-la nunca foram identificados, disse Villeneuve.