GhostNet

GhostNet ( упрощенный китайский : 幽灵网 ; традиционный китайский : 幽靈網 ; пиньинь : YōuLíngWong ) — это название, данное исследователями Information Warfare Monitor крупномасштабному кибершпионажу. ^{[ 1 ]}^{[ 2 ]} операция обнаружена в марте 2009 года. Эта операция, скорее всего, связана с постоянной угрозой высокого уровня или с сетевым субъектом, который шпионит незамеченным. ^{[ 3 ]} Его инфраструктура командования и контроля базируется в основном в Китайской Народной Республике , а GhostNet проник в важные политические, экономические и средства массовой информации. ^{[ 4 ]} в 103 странах. Компьютерные системы, принадлежащие посольствам , министерствам иностранных дел и другим правительственным учреждениям, а также ламы центрам изгнания Далай - тибетским в Индии, Лондоне и Нью-Йорке, были скомпрометированы.

Открытие

GhostNet была обнаружена и названа в результате 10-месячного расследования, проведенного Infowar Monitor (IWM), проведенного после того, как исследователи IWM обратились к представителю Далай-ламы в Женеве. ^{[ 5 ]} подозревая, что в их компьютерную сеть проникли. ^{[ 6 ]} В состав IWM входят исследователи из SecDev Group, канадской консалтинговой компании и лаборатории Гражданской Школы глобальных отношений Мунка при Университете Торонто ; Результаты исследования были опубликованы в Infowar Monitor . дочернем издании ^{[ 7 ]} Исследователи из Кембриджского университета при компьютерной лаборатории поддержке Института защиты информационной инфраструктуры , ^{[ 8 ]} также участвовал в расследовании в одном из трех мест в Дхарамсале , где находится тибетское правительство в изгнании. Об обнаружении «GhostNet» и подробностях ее работы сообщила газета The New York Times 29 марта 2009 года. ^{[ 7 ]}^{[ 9 ]} Первоначально следователи сосредоточили свое внимание на обвинениях в китайском кибершпионаже против тибетского сообщества изгнанников , например, на случаях извлечения электронной переписки и других данных. ^{[ 10 ]}

Скомпрометированные системы были обнаружены в посольствах Индии Мальты , Кореи , Индонезии , Румынии , Кипра , , Южной Таиланда , Тайваня , Португалии , Германии и Пакистана , а также в офисе премьер-министра Лаоса . министерства иностранных дел , Ирана Бангладеш , Латвии , Индонезии , Филиппин , Брунея , Барбадоса и Бутана . Под удар также попали ^{[ 1 ]}^{[ 11 ]} были проникнуты, обнаружено не было Никаких доказательств того, что правительственные учреждения США или Великобритании , хотя компьютер НАТО находился под наблюдением в течение половины дня, а компьютеры посольства Индии в Вашингтоне, округ Колумбия , были взломаны. ^{[ 4 ]}^{[ 11 ]}^{[ 12 ]}

С момента своего обнаружения GhostNet атаковал другие правительственные сети, например, официальные финансовые департаменты Канады в начале 2011 года, вынудив их отключиться от сети. Правительства обычно не признают такие нападения, что должно быть подтверждено официальными, но анонимными источниками. ^{[ 13 ]}

Техническая функциональность

Электронные письма отправляются целевым организациям, которые содержат контекстно значимую информацию. Эти электронные письма содержат вредоносные вложения, которые при открытии позволяют троянскому коню получить доступ к системе. ^{[ нужна ссылка ]} Этот троянец подключается обратно к управляющему серверу, обычно расположенному в Китае, для получения команд. Затем зараженный компьютер выполнит команду, указанную сервером управления. Иногда команда, указанная сервером управления, приводит к тому, что зараженный компьютер загружает и устанавливает трояна, известного как Gh0st Rat , который позволяет злоумышленникам получить полный контроль в режиме реального времени над компьютерами под управлением Microsoft Windows . ^{[ 4 ]} Злоумышленники могут контролировать или проверять такой компьютер, а программное обеспечение даже имеет возможность включать функции камеры и аудиозаписи зараженных компьютеров, что позволяет злоумышленникам осуществлять наблюдение. ^{[ 7 ]}

Источник

Исследователи из IWM заявили, что не могут сделать вывод о том, что китайское правительство несет ответственность за шпионскую сеть. ^{[ 14 ]} Однако в отчете исследователей из Кембриджского университета говорится, что, по их мнению, за вторжениями, которые они проанализировали в офис Далай-ламы, стоит китайское правительство. ^{[ 15 ]}

Исследователи также отметили возможность того, что GhostNet был операцией, проводимой частными лицами в Китае с целью получения прибыли или из патриотических соображений или созданной спецслужбами других стран, таких как Россия или США. ^{[ 7 ]} Китайское правительство заявило, что Китай «строго запрещает любые киберпреступления». ^{[ 1 ]}^{[ 10 ]}

В «Отчете о Ghostnet» документально зафиксировано несколько несвязанных случаев заражения в организациях, связанных с Тибетом, помимо заражений Ghostnet. Используя адреса электронной почты, указанные в отчете IWM, Скотту Дж. Хендерсону удалось отследить одного из операторов одного из заражений (не относящегося к Ghostnet) до Чэнду . Он идентифицирует хакера как 27-летнего мужчину, который учился в Университете электронных наук и технологий Китая и в настоящее время связан с китайским хакерским подпольем . ^{[ 16 ]}

Несмотря на отсутствие доказательств того, что китайское правительство несет ответственность за вторжения в объекты, связанные с Тибетом, исследователи из Кембриджа обнаружили, что действия, предпринятые китайскими правительственными чиновниками, соответствовали информации, полученной посредством компьютерных вторжений. Один из таких инцидентов произошел с дипломатом, на которого оказал давление Пекин после того, как он получил по электронной почте приглашение на визит к Далай-ламе от его представителей. ^{[ 15 ]}

Другой инцидент произошел с тибетской женщиной, которую допросили офицеры китайской разведки и показали стенограммы ее онлайн-разговоров. ^{[ 14 ]}^{[ 17 ]} Однако есть и другие возможные объяснения этого события. Drelwa использует QQ и другие мессенджеры для общения с китайскими пользователями Интернета. В 2008 году компания IWM обнаружила, что TOM-Skype, китайская версия Skype, записывает и хранит текстовые сообщения, которыми обмениваются пользователи. Вполне возможно, что китайские власти получили стенограммы разговоров именно таким образом. ^{[ 18 ]}

Исследователи IWM также обнаружили, что при обнаружении GhostNet постоянно контролируется с IP-адресов, расположенных на острове Хайнань , Китай, и отметили, что на Хайнане расположены центр радиоразведки Линшуй и Третий технический отдел Народно-освободительной армии. ^{[ 4 ]} Кроме того, выяснилось, что один из четырех управляющих серверов GhostNet является правительственным сервером. ^{[ объяснить ]}. ^{[ 19 ]}

См. также

Ссылки

^ Jump up to: ^а ^б ^с «Раскрыта крупная кибершпионская сеть» . Новости Би-би-си . 29 марта 2009 года. Архивировано из оригинала 30 марта 2009 года . Проверено 29 марта 2009 г.
^ Глейстер, Дэн (30 марта 2009 г.). «Китай обвиняется в глобальном кибершпионаже» . Еженедельник Гардиан . Том. 180, нет. 16. Лондон. п. 5. Архивировано из оригинала 6 июня 2024 года . Проверено 7 апреля 2009 г.
^ Шон Бодмер; доктор Макс Килгер; Грегори Карпентер; Джейд Джонс (2012). Обратный обман: организованное противодействие киберугрозам . Макгроу-Хилл Осборн Медиа. ISBN 978-0071772495 .
^ Jump up to: ^а ^б ^с ^д Харви, Майк (29 марта 2009 г.). «Китайские хакеры «используют сеть-призрак для контроля компьютеров посольства » . Таймс . Лондон. Архивировано из оригинала 30 марта 2009 года . Проверено 29 марта 2009 г.
^ «Отслеживание GhostNet: исследование сети кибершпионажа» . Архивировано из оригинала 3 июля 2017 года . Проверено 9 сентября 2017 г.
^ «Китай отрицает обвинения в шпионаже» . Новости Би-би-си . 30 марта 2009 года. Архивировано из оригинала 31 марта 2009 года . Проверено 31 марта 2009 г.
^ Jump up to: ^а ^б ^с ^д Маркофф, Джон (28 марта 2009 г.). «Огромная шпионская система грабит компьютеры в 103 странах» . Нью-Йорк Таймс . Архивировано из оригинала 1 апреля 2009 года . Проверено 29 марта 2009 г.
^ Шишир Нагараджа, Росс Андерсон (март 2009 г.). «Шпионящий дракон: слежка за тибетским движением с помощью социальных вредоносных программ» (PDF) . Кембриджский университет . п. 2. Архивировано (PDF) из оригинала 20 апреля 2009 г. Проверено 31 марта 2009 г.
^ «Исследователи: Кибершпионы взламывают правительственные компьютеры» . Ассошиэйтед Пресс . 29 марта 2009 года. Архивировано из оригинала 31 марта 2009 года . Проверено 29 марта 2009 г.
^ Jump up to: ^а ^б Базирующиеся в Китае шпионы нацелены на Таиланд . Bangkok Post , 30 марта 2009 г. Проверено 30 марта 2009 г.
^ Jump up to: ^а ^б «Канадцы обнаружили обширную компьютерную шпионскую сеть: отчет» . Рейтер . 28 марта 2009 года. Архивировано из оригинала 29 марта 2009 года . Проверено 29 марта 2009 г.
^ «Шпионская операция Китая по проникновению в компьютеры: отчет» . Индус . 29 марта 2009 года. Архивировано из оригинала 1 апреля 2009 года . Проверено 29 марта 2009 г.
^ «Иностранные хакеры атакуют правительство Канады» . Новости ЦБК . 17 февраля 2011. Архивировано из оригинала 18 февраля 2011 года . Проверено 17 февраля 2011 г.
^ Jump up to: ^а ^б Отслеживание GhostNet: исследование сети кибершпионажа. Архивировано 8 апреля 2009 г. в Wayback Machine . Центр международных исследований Мунка . 29 марта 2009 г.
^ Jump up to: ^а ^б Нагараджа, Шишир; Андерсон, Росс (март 2009 г.). «Шпионящий дракон: слежка за тибетским движением с помощью социальных вредоносных программ» (PDF) . Компьютерная лаборатория Кембриджского университета. Архивировано (PDF) из оригинала 20 апреля 2009 г. Проверено 29 марта 2009 г.
^ Хендерсон, Скотт (2 апреля 2009 г.). «Охота на хакера GhostNet» . Темный гость. Архивировано из оригинала 6 апреля 2009 года . Проверено 2 апреля 2009 г.
↑ Команда U of T отслеживает базирующихся в Китае кибершпионов Toronto Star , 29 марта 2009 г. Архивировано 31 марта 2009 г., в Wayback Machine.
^ «НАРУШЕНИЕ ДОВЕРИЯ: анализ методов наблюдения и безопасности на китайской платформе TOM-Skype» (PDF) . Архивировано (PDF) из оригинала 24 марта 2012 г. Проверено 24 июня 2009 г.
↑ Познакомьтесь с канадцами, которые взломали Ghostnet. Архивировано 9 декабря 2011 г., в Wayback Machine The Globe and Mail, 29 марта 2009 г.

Внешние ссылки

Группа разработчиков безопасности
Гражданская лаборатория в Университете Торонто
Отслеживание GhostNet: исследование сети кибершпионажа (отчет Infowar Monitor (SecDev и Citize Lab), 29 марта 2009 г.)
F-Secure Mirror отчета PDF
Монитор информационной войны – отслеживание кибермощи (Университет Торонто, Канада/Центр Мунка)
Твиттер: InfowarMonitor
Келли, Катал (31 марта 2009 г.). «Код кибершпионов на расстоянии одного клика: простой поиск в Google быстро находит ссылку на программное обеспечение для программы Ghost Rat, используемой против правительств» . Торонто Стар (Канада) . Торонто, Онтарио, Канада . Проверено 4 апреля 2009 г.
Ли, Питер (8 апреля 2009 г.). «Кибер-стычка на вершине мира» . Азия Таймс Онлайн . Архивировано из оригинала 10 апреля 2009 года . Проверено 9 апреля 2009 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
Бодмер, Килджер, Карпентер и Джонс (2012). Обратный обман: организованное противодействие киберугрозам . Нью-Йорк: McGraw-Hill Osborne Media. ISBN 0071772499 , ISBN 978-0071772495

[bbc-1] Jump up to: ^а ^б ^с «Раскрыта крупная кибершпионская сеть» . Новости Би-би-си . 29 марта 2009 года. Архивировано из оригинала 30 марта 2009 года . Проверено 29 марта 2009 г.

[guardian-2] Глейстер, Дэн (30 марта 2009 г.). «Китай обвиняется в глобальном кибершпионаже» . Еженедельник Гардиан . Том. 180, нет. 16. Лондон. п. 5. Архивировано из оригинала 6 июня 2024 года . Проверено 7 апреля 2009 г.

[3] Шон Бодмер; доктор Макс Килгер; Грегори Карпентер; Джейд Джонс (2012). Обратный обман: организованное противодействие киберугрозам . Макгроу-Хилл Осборн Медиа. ISBN 978-0071772495 .

[nato-4] Jump up to: ^а ^б ^с ^д Харви, Майк (29 марта 2009 г.). «Китайские хакеры «используют сеть-призрак для контроля компьютеров посольства » . Таймс . Лондон. Архивировано из оригинала 30 марта 2009 года . Проверено 29 марта 2009 г.

[Tracking_Ghostnet-5] «Отслеживание GhostNet: исследование сети кибершпионажа» . Архивировано из оригинала 3 июля 2017 года . Проверено 9 сентября 2017 г.

[BBC_3003-6] «Китай отрицает обвинения в шпионаже» . Новости Би-би-си . 30 марта 2009 года. Архивировано из оригинала 31 марта 2009 года . Проверено 31 марта 2009 г.

[NY-TIMES-7] Jump up to: ^а ^б ^с ^д Маркофф, Джон (28 марта 2009 г.). «Огромная шпионская система грабит компьютеры в 103 странах» . Нью-Йорк Таймс . Архивировано из оригинала 1 апреля 2009 года . Проверено 29 марта 2009 г.

[Cambridge_p2-8] Шишир Нагараджа, Росс Андерсон (март 2009 г.). «Шпионящий дракон: слежка за тибетским движением с помощью социальных вредоносных программ» (PDF) . Кембриджский университет . п. 2. Архивировано (PDF) из оригинала 20 апреля 2009 г. Проверено 31 марта 2009 г.

[9] «Исследователи: Кибершпионы взламывают правительственные компьютеры» . Ассошиэйтед Пресс . 29 марта 2009 года. Архивировано из оригинала 31 марта 2009 года . Проверено 29 марта 2009 г.

[bp-10] Jump up to: ^а ^б Базирующиеся в Китае шпионы нацелены на Таиланд . Bangkok Post , 30 марта 2009 г. Проверено 30 марта 2009 г.

[Reuters-11] Jump up to: ^а ^б «Канадцы обнаружили обширную компьютерную шпионскую сеть: отчет» . Рейтер . 28 марта 2009 года. Архивировано из оригинала 29 марта 2009 года . Проверено 29 марта 2009 г.

[12] «Шпионская операция Китая по проникновению в компьютеры: отчет» . Индус . 29 марта 2009 года. Архивировано из оригинала 1 апреля 2009 года . Проверено 29 марта 2009 г.

[cbc-13] «Иностранные хакеры атакуют правительство Канады» . Новости ЦБК . 17 февраля 2011. Архивировано из оригинала 18 февраля 2011 года . Проверено 17 февраля 2011 г.

[uoft-14] Jump up to: ^а ^б Отслеживание GhostNet: исследование сети кибершпионажа. Архивировано 8 апреля 2009 г. в Wayback Machine . Центр международных исследований Мунка . 29 марта 2009 г.

[snoop-15] Jump up to: ^а ^б Нагараджа, Шишир; Андерсон, Росс (март 2009 г.). «Шпионящий дракон: слежка за тибетским движением с помощью социальных вредоносных программ» (PDF) . Компьютерная лаборатория Кембриджского университета. Архивировано (PDF) из оригинала 20 апреля 2009 г. Проверено 29 марта 2009 г.

[16] Хендерсон, Скотт (2 апреля 2009 г.). «Охота на хакера GhostNet» . Темный гость. Архивировано из оригинала 6 апреля 2009 года . Проверено 2 апреля 2009 г.

[17] Команда U of T отслеживает базирующихся в Китае кибершпионов Toronto Star , 29 марта 2009 г. Архивировано 31 марта 2009 г., в Wayback Machine.

[18] «НАРУШЕНИЕ ДОВЕРИЯ: анализ методов наблюдения и безопасности на китайской платформе TOM-Skype» (PDF) . Архивировано (PDF) из оригинала 24 марта 2012 г. Проверено 24 июня 2009 г.

[19] Познакомьтесь с канадцами, которые взломали Ghostnet. Архивировано 9 декабря 2011 г., в Wayback Machine The Globe and Mail, 29 марта 2009 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]