GhostNet

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

GhostNet (спрощ.: 幽灵网; кит. трад.: 幽靈網; піньїнь: YōuLíngWǎng) — таку назву дали дослідники з Information Warfare Monitor широкомасштабній операції кібершпигунства[1][2] виявленій у березні 2009 року. Ймовірно, ця операція пов'язана з розширеною постійною загрозою або непомітним шпигунським мережевим актором.[3] Його інфраструктура командування та управління базується в основному в Китайській Народній Республіці, а GhostNet проникла у важливі політичні, економічні та медіа-мережі у 103 країнах світу[4]. Комп'ютерні системи, що належать посольствам, міністерствам закордонних справ та іншим державним установам, а також тибетським центрам у вигнанні Далай-лами в Індії, Лондоні та Нью-Йорку, були зламані.

Відкриття[ред. | ред. код]

GhostNet було виявлено та названо після 10-місячного розслідування Infowar Monitor (IWM), проведеного після того, як дослідники IWM звернулися до представника Далай-лами в Женеві[5] підозрюючи, що їх комп'ютерна мережа була зламана.[6] IWM складається з дослідників з The SecDev Group та канадської консалтингової компанії та Citizen Lab, Школи глобальних справ Мунка в Університеті Торонто ; Результати дослідження були опубліковані в дочірньому виданні Infowar Monitor.[7] Дослідники з комп'ютерної лабораторії Кембриджського університету за підтримки Інституту захисту інформаційної інфраструктури[8] також долучилися до розслідування в одному з трьох місць у Дхарамсалі, де розташований тибетський уряд у вигнанні. Про відкриття «GhostNet» і подробиці її роботи повідомила The New York Times 29 березня 2009 року[7][9] Слідчі спочатку зосередилися на звинуваченнях у китайському кібершпигунстві проти тибетської спільноти вигнанців, таких як випадки вилучення листування електронною поштою та інших даних.[10]

Зламані системи були виявлені в посольствах Індії, Південної Кореї, Індонезії, Румунії, Кіпру, Мальти, Таїланду, Тайваню, Португалії, Німеччини та Пакистану та офісі прем'єр-міністра Лаосу. Цілями також стали міністерства закордонних справ Ірану, Бангладешу, Латвії, Індонезії, Філіппін, Брунею, Барбадосу та Бутану.[1][11] Не було знайдено жодних доказів проникнення в урядові офіси США чи Великої Британії, хоча комп'ютер НАТО спостерігався протягом півдня, але були зламані комп'ютери посольства Індії у Вашингтоні, округ Колумбія.[4][11][12]

З моменту свого відкриття GhostNet атакував інші урядові мережі, наприклад канадські офіційні фінансові департаменти на початку 2011 року, змушуючи їх переходити в офлайн. Уряди зазвичай не визнають таких атак, які мають бути перевірені офіційними, але анонімними джерелами.[13]

Технічна функціональність[ред. | ред. код]

Електронні листи надсилаються цільовим організаціям, які містять контекстно релевантну інформацію. Ці електронні листи містять зловмисні вкладення, відкриття яких дозволяє троянському коню отримати доступ до системи. Цей троян підключається до контрольного сервера, зазвичай розташованого в Китаї, щоб отримувати команди. Потім заражений комп'ютер виконає команду, задану сервером керування. Іноді команда, вказана сервером керування, змушує інфікований комп'ютер завантажувати та інсталювати трояна, відомого як Gh0st Rat, який дозволяє зловмисникам отримати повний контроль у режимі реального часу над комп'ютерами під керуванням Microsoft Windows.[4] Таким комп'ютером можуть керувати або перевіряти зловмисників, а програмне забезпечення навіть має можливість увімкнути функції камери та аудіозапису інфікованих комп'ютерів, дозволяючи зловмисникам здійснювати спостереження.[7]

Походження[ред. | ред. код]

Дослідники з IWM заявили, що вони не можуть зробити висновок, що китайський уряд несе відповідальність за шпигунську мережу.[14] Однак у звіті дослідників з Кембриджського університету говориться, що вони вважають, що за вторгненнями, які вони проаналізували в офісі Далай-лами, стоїть китайський уряд.[15]

Дослідники також відзначили ймовірність того, що GhostNet була операцією, якою керували приватні громадяни в Китаї з метою прибутку чи з патріотичних міркувань, або була створена спецслужбами інших країн, таких як Росія чи США.[7] Уряд Китаю заявив, що Китай «суворо забороняє будь-які кіберзлочини».[1][10]

«Звіт Ghostnet» документує кілька непов'язаних інфекцій в організаціях, пов'язаних з Тибетом, на додаток до інфекцій Ghostnet. Використовуючи адреси електронної пошти, надані у звіті IWM, Скотту Джей Хендерсону вдалося відстежити одного з операторів одного із заражень (не Ghostnet) у Ченду. Він ідентифікує хакера як 27-річного чоловіка, який навчався в Університеті електронних наук і технологій Китаю і зараз пов'язаний з китайським хакерським підпіллям.[16]

Попри відсутність доказів, які б визнали уряд Китаю відповідальним за вторгнення цілей, пов'язаних з Тибетом, дослідники з Кембриджа виявили дії китайських урядовців, які відповідали інформації, отриманій через комп'ютерні вторгнення. Один із таких інцидентів стосувався дипломата, на якого тиснув Пекін після того, як він отримав електронною поштою запрошення відвідати Далай-ламу від його представників.[15]

Ще один інцидент трапився з тибетською жінкою, яку допитували офіцери китайської розвідки та показали стенограми її онлайн-розмов.[14][17] Однак є й інші можливі пояснення цієї події. Drelwa використовує QQ та інші месенджери для спілкування з китайськими користувачами Інтернету. У 2008 році IWM виявив, що TOM-Skype, китайська версія Skype, реєструє та зберігає текстові повідомлення, якими обмінюються користувачі. Цілком можливо, що влада Китаю отримала стенограми чатів цим шляхом.[18]

Дослідники IWM також виявили, що після виявлення GhostNet постійно контролюється з IP-адрес, розташованих на острові Хайнань, Китай, і вказали, що Хайнань є домом для об'єкта сигнальної розвідки Lingshui та третього технічного відділу Народно-визвольної армії.[4] Крім того, було виявлено, що один із чотирьох керуючих серверів GhostNet є державний сервер в Китаї[19]

Див. також[ред. | ред. код]

Список літератури[ред. | ред. код]

  1. а б в Major cyber spy network uncovered. BBC News. 29 березня 2009. Процитовано 29 березня 2009.
  2. Glaister, Dan (30 березня 2009). China Accused of Global Cyberspying. The Guardian Weekly. Т. 180, № 16. London. с. 5. Процитовано 7 квітня 2009.
  3. Sean Bodmer; Dr. Max Kilger; Gregory Carpenter; Jade Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. McGraw-Hill Osborne Media. ISBN 978-0071772495.
  4. а б в г Harvey, Mike (29 березня 2009). Chinese hackers 'using ghost network to control embassy computers'. The Times. London. Процитовано 29 березня 2009.
  5. Tracking GhostNet: Investigating a Cyber Espionage Network.
  6. China denies spying allegations. BBC News. 30 березня 2009. Процитовано 31 березня 2009.
  7. а б в г Markoff, John (28 березня 2009). Vast Spy System Loots Computers in 103 Countries. New York Times. Процитовано 29 березня 2009.
  8. Shishir Nagaraja, Ross Anderson (March 2009). The snooping dragon: social-malware surveillance of the Tibetan movement (PDF). University of Cambridge. с. 2. Процитовано 31 березня 2009.
  9. Researchers: Cyber spies break into govt computers. Associated Press. 29 березня 2009. Процитовано 29 березня 2009.
  10. а б China-based spies target Thailand. Bangkok Post, March 30, 2009. Retrieved on March 30, 2009.
  11. а б Canadians find vast computer spy network: report. Reuters. 28 березня 2009. Процитовано 29 березня 2009.
  12. Spying operation by China infiltrated computers: Report. The Hindu. 29 березня 2009. Архів оригіналу за 1 квітня 2009. Процитовано 29 березня 2009.
  13. Foreign hackers attack Canadian government. CBC News. 17 лютого 2011. Процитовано 17 лютого 2011.
  14. а б Tracking GhostNet: Investigating a Cyber Espionage Network. Munk Centre for International Studies. March 29, 2009
  15. а б Nagaraja, Shishir; Anderson, Ross (March 2009). The snooping dragon: social-malware surveillance of the Tibetan movement (PDF). Computer Laboratory, University of Cambridge.
  16. Henderson, Scott (2 квітня 2009). Hunting the GhostNet Hacker. The Dark Visitor. Архів оригіналу за 6 квітня 2009. Процитовано 2 квітня 2009.
  17. U of T team tracks China-based cyber spies Toronto Star March 29, 2009 [Архівовано March 31, 2009, у Wayback Machine.]
  18. BREACHING TRUST: An analysis of surveillance and security practices on China's TOM-Skype platform
  19. Meet the Canadians who busted Ghostnet The Globe and MailMarch 29, 2009

Посилання[ред. | ред. код]

Отримано з https://uk.wikipedia.org/w/index.php?title=GhostNet&oldid=41942649