GhostNet
GhostNet ( упрощенный китайский : 幽灵网 ; традиционный китайский : 幽靈網 ; пиньинь : YōuLíngWong ) — это название, данное исследователями Information Warfare Monitor крупномасштабному кибершпионажу. [ 1 ] [ 2 ] операция обнаружена в марте 2009 года. Эта операция, скорее всего, связана с постоянной угрозой высокого уровня или с сетевым субъектом, который шпионит незамеченным. [ 3 ] Его инфраструктура командования и контроля базируется в основном в Китайской Народной Республике , а GhostNet проник в важные политические, экономические и средства массовой информации. [ 4 ] в 103 странах. Компьютерные системы, принадлежащие посольствам , министерствам иностранных дел и другим правительственным учреждениям, а также ламы центрам изгнания Далай - тибетским в Индии, Лондоне и Нью-Йорке, были скомпрометированы.
Открытие
[ редактировать ]GhostNet была обнаружена и названа в результате 10-месячного расследования, проведенного Infowar Monitor (IWM), проведенного после того, как исследователи IWM обратились к представителю Далай-ламы в Женеве. [ 5 ] подозревая, что в их компьютерную сеть проникли. [ 6 ] В состав IWM входят исследователи из SecDev Group, канадской консалтинговой компании и лаборатории Гражданской Школы глобальных отношений Мунка при Университете Торонто ; Результаты исследования были опубликованы в Infowar Monitor . дочернем издании [ 7 ] Исследователи из Кембриджского университета при компьютерной лаборатории поддержке Института защиты информационной инфраструктуры , [ 8 ] также участвовал в расследовании в одном из трех мест в Дхарамсале , где находится тибетское правительство в изгнании. Об обнаружении «GhostNet» и подробностях ее работы сообщила газета The New York Times 29 марта 2009 года. [ 7 ] [ 9 ] Первоначально следователи сосредоточили свое внимание на обвинениях в китайском кибершпионаже против тибетского сообщества изгнанников , например, на случаях извлечения электронной переписки и других данных. [ 10 ]
Скомпрометированные системы были обнаружены в посольствах Индии Мальты , Кореи , Индонезии , Румынии , Кипра , , Южной Таиланда , Тайваня , Португалии , Германии и Пакистана , а также в офисе премьер-министра Лаоса . министерства иностранных дел , Ирана Бангладеш , Латвии , Индонезии , Филиппин , Брунея , Барбадоса и Бутана . Под удар также попали [ 1 ] [ 11 ] были проникнуты, обнаружено не было Никаких доказательств того, что правительственные учреждения США или Великобритании , хотя компьютер НАТО находился под наблюдением в течение половины дня, а компьютеры посольства Индии в Вашингтоне, округ Колумбия , были взломаны. [ 4 ] [ 11 ] [ 12 ]
С момента своего обнаружения GhostNet атаковал другие правительственные сети, например, официальные финансовые департаменты Канады в начале 2011 года, вынудив их отключиться от сети. Правительства обычно не признают такие нападения, что должно быть подтверждено официальными, но анонимными источниками. [ 13 ]
Техническая функциональность
[ редактировать ]Электронные письма отправляются целевым организациям, которые содержат контекстно значимую информацию. Эти электронные письма содержат вредоносные вложения, которые при открытии позволяют троянскому коню получить доступ к системе. [ нужна ссылка ] Этот троянец подключается обратно к управляющему серверу, обычно расположенному в Китае, для получения команд. Затем зараженный компьютер выполнит команду, указанную сервером управления. Иногда команда, указанная сервером управления, приводит к тому, что зараженный компьютер загружает и устанавливает трояна, известного как Gh0st Rat , который позволяет злоумышленникам получить полный контроль в режиме реального времени над компьютерами под управлением Microsoft Windows . [ 4 ] Злоумышленники могут контролировать или проверять такой компьютер, а программное обеспечение даже имеет возможность включать функции камеры и аудиозаписи зараженных компьютеров, что позволяет злоумышленникам осуществлять наблюдение. [ 7 ]
Источник
[ редактировать ]Исследователи из IWM заявили, что не могут сделать вывод о том, что китайское правительство несет ответственность за шпионскую сеть. [ 14 ] Однако в отчете исследователей из Кембриджского университета говорится, что, по их мнению, за вторжениями, которые они проанализировали в офис Далай-ламы, стоит китайское правительство. [ 15 ]
Исследователи также отметили возможность того, что GhostNet был операцией, проводимой частными лицами в Китае с целью получения прибыли или из патриотических соображений или созданной спецслужбами других стран, таких как Россия или США. [ 7 ] Китайское правительство заявило, что Китай «строго запрещает любые киберпреступления». [ 1 ] [ 10 ]
В «Отчете о Ghostnet» документально зафиксировано несколько несвязанных случаев заражения в организациях, связанных с Тибетом, помимо заражений Ghostnet. Используя адреса электронной почты, указанные в отчете IWM, Скотту Дж. Хендерсону удалось отследить одного из операторов одного из заражений (не относящегося к Ghostnet) до Чэнду . Он идентифицирует хакера как 27-летнего мужчину, который учился в Университете электронных наук и технологий Китая и в настоящее время связан с китайским хакерским подпольем . [ 16 ]
Несмотря на отсутствие доказательств того, что китайское правительство несет ответственность за вторжения в объекты, связанные с Тибетом, исследователи из Кембриджа обнаружили, что действия, предпринятые китайскими правительственными чиновниками, соответствовали информации, полученной посредством компьютерных вторжений. Один из таких инцидентов произошел с дипломатом, на которого оказал давление Пекин после того, как он получил по электронной почте приглашение на визит к Далай-ламе от его представителей. [ 15 ]
Другой инцидент произошел с тибетской женщиной, которую допросили офицеры китайской разведки и показали стенограммы ее онлайн-разговоров. [ 14 ] [ 17 ] Однако есть и другие возможные объяснения этого события. Drelwa использует QQ и другие мессенджеры для общения с китайскими пользователями Интернета. В 2008 году компания IWM обнаружила, что TOM-Skype, китайская версия Skype, записывает и хранит текстовые сообщения, которыми обмениваются пользователи. Вполне возможно, что китайские власти получили стенограммы разговоров именно таким образом. [ 18 ]
Исследователи IWM также обнаружили, что при обнаружении GhostNet постоянно контролируется с IP-адресов, расположенных на острове Хайнань , Китай, и отметили, что на Хайнане расположены центр радиоразведки Линшуй и Третий технический отдел Народно-освободительной армии. [ 4 ] Кроме того, выяснилось, что один из четырех управляющих серверов GhostNet является правительственным сервером. [ объяснить ] . [ 19 ]
См. также
[ редактировать ]- Расширенная постоянная угроза
- Деятельность китайской разведки за рубежом
- Китайская кибервойна
- Китайский шпионаж в США
- Кибервойна
- Экономический и промышленный шпионаж
- Хонкер Юнион
- Интернет-цензура в Китае
- Операция Аврора
- RedHack (из Турции)
- Титановый дождь
- Теневая сеть
- Четырнадцатый Далай-лама
Ссылки
[ редактировать ]- ^ Jump up to: а б с «Раскрыта крупная кибершпионская сеть» . Новости Би-би-си . 29 марта 2009 года. Архивировано из оригинала 30 марта 2009 года . Проверено 29 марта 2009 г.
- ^ Глейстер, Дэн (30 марта 2009 г.). «Китай обвиняется в глобальном кибершпионаже» . Еженедельник Гардиан . Том. 180, нет. 16. Лондон. п. 5. Архивировано из оригинала 6 июня 2024 года . Проверено 7 апреля 2009 г.
- ^ Шон Бодмер; доктор Макс Килгер; Грегори Карпентер; Джейд Джонс (2012). Обратный обман: организованное противодействие киберугрозам . Макгроу-Хилл Осборн Медиа. ISBN 978-0071772495 .
- ^ Jump up to: а б с д Харви, Майк (29 марта 2009 г.). «Китайские хакеры «используют сеть-призрак для контроля компьютеров посольства » . Таймс . Лондон. Архивировано из оригинала 30 марта 2009 года . Проверено 29 марта 2009 г.
- ^ «Отслеживание GhostNet: исследование сети кибершпионажа» . Архивировано из оригинала 3 июля 2017 года . Проверено 9 сентября 2017 г.
- ^ «Китай отрицает обвинения в шпионаже» . Новости Би-би-си . 30 марта 2009 года. Архивировано из оригинала 31 марта 2009 года . Проверено 31 марта 2009 г.
- ^ Jump up to: а б с д Маркофф, Джон (28 марта 2009 г.). «Огромная шпионская система грабит компьютеры в 103 странах» . Нью-Йорк Таймс . Архивировано из оригинала 1 апреля 2009 года . Проверено 29 марта 2009 г.
- ^ Шишир Нагараджа, Росс Андерсон (март 2009 г.). «Шпионящий дракон: слежка за тибетским движением с помощью социальных вредоносных программ» (PDF) . Кембриджский университет . п. 2. Архивировано (PDF) из оригинала 20 апреля 2009 г. Проверено 31 марта 2009 г.
- ^ «Исследователи: Кибершпионы взламывают правительственные компьютеры» . Ассошиэйтед Пресс . 29 марта 2009 года. Архивировано из оригинала 31 марта 2009 года . Проверено 29 марта 2009 г.
- ^ Jump up to: а б Базирующиеся в Китае шпионы нацелены на Таиланд . Bangkok Post , 30 марта 2009 г. Проверено 30 марта 2009 г.
- ^ Jump up to: а б «Канадцы обнаружили обширную компьютерную шпионскую сеть: отчет» . Рейтер . 28 марта 2009 года. Архивировано из оригинала 29 марта 2009 года . Проверено 29 марта 2009 г.
- ^ «Шпионская операция Китая по проникновению в компьютеры: отчет» . Индус . 29 марта 2009 года. Архивировано из оригинала 1 апреля 2009 года . Проверено 29 марта 2009 г.
- ^ «Иностранные хакеры атакуют правительство Канады» . Новости ЦБК . 17 февраля 2011. Архивировано из оригинала 18 февраля 2011 года . Проверено 17 февраля 2011 г.
- ^ Jump up to: а б Отслеживание GhostNet: исследование сети кибершпионажа. Архивировано 8 апреля 2009 г. в Wayback Machine . Центр международных исследований Мунка . 29 марта 2009 г.
- ^ Jump up to: а б Нагараджа, Шишир; Андерсон, Росс (март 2009 г.). «Шпионящий дракон: слежка за тибетским движением с помощью социальных вредоносных программ» (PDF) . Компьютерная лаборатория Кембриджского университета. Архивировано (PDF) из оригинала 20 апреля 2009 г. Проверено 29 марта 2009 г.
- ^ Хендерсон, Скотт (2 апреля 2009 г.). «Охота на хакера GhostNet» . Темный гость. Архивировано из оригинала 6 апреля 2009 года . Проверено 2 апреля 2009 г.
- ↑ Команда U of T отслеживает базирующихся в Китае кибершпионов Toronto Star , 29 марта 2009 г. Архивировано 31 марта 2009 г., в Wayback Machine.
- ^ «НАРУШЕНИЕ ДОВЕРИЯ: анализ методов наблюдения и безопасности на китайской платформе TOM-Skype» (PDF) . Архивировано (PDF) из оригинала 24 марта 2012 г. Проверено 24 июня 2009 г.
- ↑ Познакомьтесь с канадцами, которые взломали Ghostnet. Архивировано 9 декабря 2011 г., в Wayback Machine The Globe and Mail, 29 марта 2009 г.
Внешние ссылки
[ редактировать ]- Группа разработчиков безопасности
- Гражданская лаборатория в Университете Торонто
- Отслеживание GhostNet: исследование сети кибершпионажа (отчет Infowar Monitor (SecDev и Citize Lab), 29 марта 2009 г.)
- F-Secure Mirror отчета PDF
- Монитор информационной войны – отслеживание кибермощи (Университет Торонто, Канада/Центр Мунка)
- Твиттер: InfowarMonitor
- Келли, Катал (31 марта 2009 г.). «Код кибершпионов на расстоянии одного клика: простой поиск в Google быстро находит ссылку на программное обеспечение для программы Ghost Rat, используемой против правительств» . Торонто Стар (Канада) . Торонто, Онтарио, Канада . Проверено 4 апреля 2009 г.
- Ли, Питер (8 апреля 2009 г.). «Кибер-стычка на вершине мира» . Азия Таймс Онлайн . Архивировано из оригинала 10 апреля 2009 года . Проверено 9 апреля 2009 г.
{{cite web}}
: CS1 maint: неподходящий URL ( ссылка ) - Бодмер, Килджер, Карпентер и Джонс (2012). Обратный обман: организованное противодействие киберугрозам . Нью-Йорк: McGraw-Hill Osborne Media. ISBN 0071772499 , ISBN 978-0071772495
- Разведка с открытым исходным кодом
- Шпионское ПО
- Шпионские проекты
- Кибервойна со стороны Китая
- 2009 год в Китае
- Системы массового сбора разведывательной информации
- Кибератаки
- Кибервойна
- Банды кибератак
- Китайские передовые группы постоянной угрозы
- Киберпреступность в Индии
- Китайско-индийские отношения