GhostNet Cyber ​​Spionage Probe heeft nog steeds losse uiteinden

Bijna drie maanden nadat een rapport een uitgebreide, wereldwijde cyberspionagewerkzaamheden uitvoerde, zijn veel gehackte landen mogelijk nog niet formeel aangemeld.

Door juridische belemmeringen zijn er pogingen gedaan om contact op te nemen met veel landen waarvan de computers in ambassades en ministeries van buitenlandse zaken werden besmet met kwaadaardige software die in staat is om gegevens te stelen, zei Nart Villeneuve, een van de auteurs van een gedetailleerd rapport van 53 pagina's dat een nieuw licht werpt op de omvang van cyberspionage.

Het rapport is geschreven door analisten met de Information Warfare Monitor, een onderzoeksproject van de SecDev Group, een denktank en het Munk Center for International Studies van de Universiteit van Toronto.

[Verder lezen g: Hoe malware van uw Windows-pc te verwijderen]

De analisten onthulden een operatie met de bijnaam "GhostNet" die computers van Tibetaanse niet-gouvernementele organisaties en het privékantoor van de Dalai Lama infecteerde.

Verder onderzoek toonde de computers van 103 landen aan geïnfecteerd zijn, evenals organisaties zoals het secretariaat van de ASEAN (Association of Southeast Asian Nations) en de Asian Development Bank. Gegevens werden verzonden naar externe servers, waarvan er veel zich in China bevonden.

Het rapport was een van de eerste openbaar gemaakte onderzoeken waaruit bleek hoe gemakkelijk hackers zich door middel van social engineering en malware-aanvallen op organisaties konden richten. hackers gebruikten algemeen verkrijgbare malware, een remote access tool genaamd gh0st RAT (Remote Access Tool), om gevoelige documenten te stelen, webcamera's te bedienen en geïnfecteerde computers volledig te beheren. In het geval van de Tibetaanse NGO's ontvingen stafmedewerkers een e-mail met een Microsoft Word-document dat, indien geopend, een bekend beveiligingslek vertoonde dat niet in de toepassing was gepatcht.

Een aantal fouten door de hackers liet onderzoekers toe om gebruikte servers te lokaliseren om gegevens en de omvang van de sondes te verzamelen, zei Villeneuve.

Villeneuve zei dat gedetailleerde informatie over gecompromitteerde computers alleen is gegeven aan het Canadese Cyber ​​Incident Response Center (CCIRC), het nationale cyberrapportagecentrum van het land. De CCIRC is in contact met een aantal van de betrokken groepen, zei hij.

De analisten die het rapport schreven, vonden dat de veiligste optie, omdat ze niet wilden onthullen welke computers precies waren gecompromitteerd naar landen die mogelijk misbruik maken van de gevoelige informatie.

"Als je je kunt voorstellen deze lijst met geïnfecteerde computers over te dragen aan het Chinese CERT (Computer Emergency Response Team), zou dat [iets] zijn waar ik me niet prettig bij zou voelen", zei Villeneuve, die donderdag in Tallinn, Estland, aan de zijlijn sprak van de conferentie over Cyber ​​Warfare. "We voelden dat we in zo'n soort juridisch vacuüm zaten." Sinds het rapport de getroffen landen noemt, zijn ze waarschijnlijk op de hoogte van wat er is gebeurd, zei Villeneuve. Maar het feit dat niet alle meldingen zijn ontvangen, onderstreept de bezorgdheid over het delen van informatie over cyberincidenten. Villeneuve zei dat hij "paranoïde en bang" was om zijn studie in de gevangenis te zetten, hoewel alles in lijn was met ethische normen en dat een eenvoudige Google-zoekopdracht een aantal van de meest vernietigende informatie opleverde over hoe GhostNet gegevens verzamelde.

"Ik zou de autoriteiten liever niet laten schrikken met al deze informatie over geïnfecteerde, gevoelige hosts," zei Villeneuve. "We vonden dat het nodig was om de juiste kanalen te doorlopen, wat het beste te zien was aan het Cyber ​​Incident Response Center."

Het rapport diende als een wake-up call voor organisaties over beveiliging. Kleine NGO's beschikken echter vaak niet over de expertise om een ​​grondiger computerbeveiliging te implementeren, hoewel een gebrek daaraan een bedreiging vormt, aldus Villeneuve.

Sinds het rapport in maart openbaar werd, is GhostNet verdampt. De servers die gegevens verzamelden, gingen offline met een dag na de release van het rapport. China heeft officieel elke verbinding met de operatie ontkend en degenen die verantwoordelijk zijn voor het uitvoeren ervan zijn nooit geïdentificeerd, aldus Villeneuve.