Далай-лама помог обнаружить кибершпионскую сеть

Тибетские призраки
Далай-лама помог обнаружить кибершпионскую сеть

Исследователи из центра международных исследований Мунка в университете Торонто обнаружили всемирную шпионскую сеть, состоящую из 1295 компьютеров, охватывающую 103 страны мира. Более четверти этих компьютеров располагалось в посольствах, министерствах иностранных дел и подобных учреждениях различных государств.


[SPOILER]Эта история началась с необычной просьбы. Представители Далай-ламы попросили канадцев проверить компьютеры тибетского правительства в изгнании на предмет вредоносных программ. Работа по проверке компьютерного парка тибетского сообщества началась в июне 2008 года и закончилась в марте 2009 года.

На машины были установлены специальные программы для слежения за трафиком. С их помощью было доказано существование вредоносных программ и выявлено несколько серверов, контролировавших их действия. Семьдесят процентов серверов находились в Китае.

Всего исследователи нашли четыре контрольных и шесть командных серверов. Они были практически не защищены, и канадцам удалось получить доступ к административной панели. Две недели пристального наблюдения позволило составить обширный список инфицированных машин. В их числе оказались компьютеры Представительства его святейшества Далай-ламы, включая офисную сеть и сервер Dalailama.com.

Вероятнее всего, компьютеры в представительстве Далай-ламы удалось заразить при помощи письма с адреса campaigns@freetibet.org, к которому прилагался перевод книги для тибетского правительства в изгнании. На деле "перевод" был зараженным .doc-файлом. Впрочем, правительству Тибета не впервой - вредоносные программы проникали на его компьютеры, например, в 2001 и 2005 годах. Самое интересное было впереди.

Анализ списка инфицированных компьютеров (к тому моменту исследователи уже называли его GhostNet, "призрачная сеть") показал, что угроза вышла далеко за пределы Тибета. Свыше 25 процентов компьютеров оказались в сетях, представляющих повышенную ценность для злоумышленников.

В среднем заражение каждого из хостов длилось 145 дней. Некоторые из них были инфицированы в течение всего одного дня, полторы сотни других - свыше 400 дней. Заражения происходили двумя большими волнами. Первая прошла в декабре 2007 года, а вторая - в августе 2008.

Больше всего зараженных хостов, 148, пришлось на Тайвань. На втором месте Вьетнам с 130 компьютерами, а на третьем США - 113 зараженных хостов. В США, надо сказать, пока не обнаружено проникновений в компьютеры госорганов.

Список организаций зачаровывает. Жертвами GhostNet оказались компьютеры посольств Индии в семи разных странах, посольств Мальты и Румынии - в четырех, Португалии - в двух. Три зараженных машины стоит в АСЕАН, еще три - в Азиатском банке развития.

Во Вьетнаме хозяева GhostNet держат под прицелом министерство промышленности и торговли (30 компьютеров), а также нефтяную компанию PetroVietnam (74 компьютера). На Тайване заражены почти восемьдесят компьютеров совета по развитию внешей торговли, а также сети госслужбы.

В России тоже есть один зараженный компьютер. Он находится в федеральной университетской сети. Не устояли перед вредоносными программами британская международная палата по судоходству, а также британское подразделение Associated Press. Да что там говорить, если один инфицированный компьютер обнаружился даже в штаб-квартире НАТО.

Газеты и журналы, узнавшие о GhostNet, тут же обвинили во всем китайские власти, благо те находятся, мягко говоря, в натянутых отношениях как с Тибетом, так и с Тайванем.

Буквально на следующий день после публикации канадского доклада Пекин заявил, что не имеет никакого отношения к шпионской сети. Чиновники добавили, что нет никаких доказательств связи хакеров с китайским правительством, а киберпреступления в их стране жестоко наказываются.

Исследователи также не уверены, что речь идет о правительственной сети кибершпионажа. Они предполагают, что GhostNet принадлежит либо не связанной с властями организации, торгующей данными, либо китайским "хакерам-патриотам". Впрочем, на горизонте появился второй доклад, авторами которого являются сотрудники компьютерной лаборатории Кембриджского университета. Они уверены, что тибетские компьютеры заразили китайские правительственные агентства.

В кембриджском документе, кстати, говорится, что вслед за китайскими хакерами такие же сети в ближайшее время могут создать российские.

Остается ждать очередных разоблачений.[/SPOILER]


http://www.lenta.ru/articles/2009/03/30/spynet/

Удивили )))))))))))))))))))))))))

WhiteTrash писал(а): Далай-лама помог обнаружить кибершпионскую сеть

Далай-лама оказался Далай-мамой..

Я совсем не удивлюсь, если всё это дело рук самих правительств "развитых стран". Интернет же "слишком" свободен, им его же надо контролировать. И Китай заодно пожурить можно...

в продолжении темы

Социально-вредоносное ПО

[SPOILER]
Автор: БЕРД КИВИ
Опубликовано 13 апреля 2009 года

Коллектив независимых экспертов по компьютерной безопасности из университетов Торонто и Кембриджа выявил в Интернете крупную шпионскую электронную сеть, которую назвали GhostNet. На момент подготовки отчетов по результатам исследования "Призрачная Сеть" поразила больше тысячи компьютеров, принадлежащих организациям, ведомствам и частным лицам, в десятках государств.

Главными целями для GhostNet являются представительства тибетского Далай-ламы, разбросанные по всему миру, индийская штаб-квартира тибетской оппозиции в изгнании, а также сотрудничающие с ними правозащитные организации, фирмы и правительственные учреждения разных стран. Практически все нити управления разветвленной деятельностью GhostNet ведут в Китай, а владельцы скомпрометированных компьютеров так или иначе подвергаются давлению со стороны китайских властей, проявляющих поразительную осведомленность в их делах. Однако, как это часто бывает, схватить за руку и доказать причастность к кибер-атакам конкретных лиц или органов практически невозможно.

Канадские специалисты, базирующиеся в Мунковском центре международных исследований (Munk Center for International Studies) при Университете Торонто, пришли к выводу, что помимо шпионажа за Далай-ламой и его сторонниками, та же система глубоко проникла в правительственные структуры стран южного и юго-восточного регионов Азии.

Как известно, аналитики разведки утверждают, что спецслужбы ведущих держав, включая Китай, Россию и США, давно используют продвинутое ПО для тайного сбора информации. Но даже если подобные средства шпионажа и обнаруживаются, то ни одна пострадавшая сторона обычно не желает предавать дело огласке и уж тем более не публикует технические подробности шпионских операций.

В этом отношении история с тибетской оппозицией стоит особняком: буддийские монахи, заподозрив неладное в своих компьютерах, обратились за помощью к авторитетным независимым экспертам из OpenNet Initiative, ничем не ограничивая их изыскания, а затем дали добро на широкую публикацию результатов работы.

Несмотря на принятые меры, эта система по-прежнему заражает компьютеры шпионскими программами - по приблизительным оценкам, больше десятка еженедельно. Способностям вредоносного софта, обнаруженного в инфицированных машинах, можно только позавидовать. Помимо стандартных шпионских действий (вроде протоколирования нажатых клавиш или сканирования дисков для поиска и похищения документов), эти программы могут служить ушами и глазами своих хозяев. Например, установлено, что программа-руткит может задействовать вебкамеру или микрофон, подключенные к компьютеру.

О том, на кого работает GhostNet, говорят следующие факты. После того как из офиса Далай-ламы было отправлено электронное письмо с приглашением на мероприятие одному иностранному дипломату, тому сразу же позвонили и от лица правительства Китая настойчиво рекомендовали отказаться от приглашения. Или, например, женщина, занимающаяся в Интернете организацией контактов между китайцами и тибетскими изгнанниками, при въезде в Китай была задержана властями. Ей предъявили распечатки онлайновых бесед и недвусмысленно намекнули, что пора бы завязать с крамольной деятельностью.

Поскольку весть о тайной шпионской сети GhostNet уже разнеслась по миру, официальные лица Китая сочли необходимым дать опровержение. Представитель китайского консульства в Нью-Йорке Венки Гао (Wenqi Gao) высказался так: "Это старые истории, и все они полная чушь. Китайское правительство выступает против любых кибер-преступлений и само в них не замешано".

Канадские исследователи в своем отчете1 описали сделанные открытия очень аккуратно, нигде явно не упоминая власти Китая как организатора и владельца GhostNet. В отличие от них, авторы кембриджского отчета2 без обиняков указывают на правительственных "китайских шпионов" и приводят множество свидетельств (пусть и косвенных) в поддержку своей позиции. Они разбирают конкретный случай электронной слежки за оппозицией, ведущейся агентами репрессивного государства с помощью вредоносного ПО. И хотя это далеко не новость, два аспекта заставляют обратить особое внимание на эту историю. Во-первых, шпионская атака организована специально для сбора информации о людях, которым это грозит опаснейшими последствиями. Во-вторых, система сочетает в себе социальный фишинг и высококачественный софт.

Комбинация из грамотно сделанной шпионской программы с набором хорошо продуманных приманок оказывается чрезвычайно эффективной, что дало исследователям повод окрестить угрозу "социально-вредоносным ПО" (social malware). Хотя в конкретном случае замешана одна из мощнейших мировых держав, такого рода атаки теоретически могут быть организованы даже отдельным человеком. И разработка защитных мер является серьезным вызовом сообществу компьютерной безопасности.

взято отсюда
взято отсюда
[/SPOILER]