Исследователи обнаружили шпионские программы на серверах, принадлежащих правительственным учреждениям, посольствам и коммерческим компаниям более 100 стран

09:49 08.04.2009   |   978 |  Джереми Кирк |



Десятимесячное расследование показало, что 1295 компьютеров в 103 странах, принадлежащие самым разным международным институтам, находятся под контролем третьих лиц, следы которых предположительно ведут в Китай.

В отчете, опубликованном на 53 страницах, приводятся наиболее яркие доказательства и подробности деятельности хакеров, явная политическая ангажированность которых заставляет задуматься о санкционировании шпионских операций китайскими властями.

В сети, которую исследователи назвали GhostNet, циркулировала вредоносная программа gh0st RAT (Remote Access Tool), похищавшая конфиденциальные документы, управлявшая Web-камерами и обеспечивавшая полный контроль над зараженными компьютерами.

"GhostNet объединяет ряд инфицированных компьютеров, установленных в важных политических, экономических и информационных центрах различных стран, -- говорится в отчете, который был подготовлен с помощью системы Information Warfare Monitor, представляющей собой результат исследовательского проекта SecDev Group и Центра международных исследований Мунка при Университете Торонто. -- В момент написания отчета эти организации почти наверняка ничего не подозревали о той пикантной ситуации, в которой они оказались".

Впрочем, как признали аналитики, у них нет подтверждения того, что собранная информация представляет какую-то ценность для хакеров. Неизвестно и то, предназначается ли она для продажи или же собрана в разведывательных целях.

Операция, по всей видимости, началась в 2004 году. Именно тогда была зафиксирована рассылка из многих организаций подложных электронных писем с присоединенными к ним исполняемыми файлами. По словам директора антивирусной исследовательской компании F-Secure Микко Хиппонена, за прошедшее с тех пор время тактика GhostNet заметно усовершенствовалась. "В последние три с половиной года в техническом отношении хакеры продвинулись далеко вперед, -- признал он. -- Необходимо привлечь к сложившейся ситуации всеобщее внимание, ведь все это тянется уже очень долго и не вызывает никакой реакции".

Несмотря на обнаруженные доказательства передачи части конфиденциальной информации на серверы в Китае, аналитики не спешат утверждать, что хакеры связаны с китайскими властями.

"Увязывать все китайские вредоносные программы с преднамеренной и целенаправленной деятельностью властей было бы ошибочно", -- говорится в отчете.

Тем не менее известно, что Китай начиная с 90-х годов предпринимал согласованные усилия по использованию киберпространства в военных целях. "Ориентация Китая на средства электронной борьбы соответствует национальной стратегии 'асимметричных методов' ведения военных действий и предусматривает разработку систем, которые должны нейтрализовать превосходство США в традиционных боевых средствах", -- указывается в отчете.

Во втором отчете, подготовленном исследователями из Кембриджского университета и Университета Торонто, присутствуют более жесткие формулировки. Его авторы прямо утверждают, что атаки на офис Далай-ламы были организованы "агентами китайского правительства". Отчет озаглавлен "Шпионящий дракон".

Аналитики приступили к расследованию после того, как получили доступ к компьютерам, принадлежащим правительству Тибета в изгнании и тибетским неправительственным организациям, а также находящимся в частной резиденции Далай-ламы, который был обеспокоен утечкой конфиденциальной информации.

Удалось обнаружить компьютеры, зараженные вредоносными программами, которые позволяли хакерам похищать информацию в удаленном режиме. Заражение компьютеров происходило после того, как пользователи открывали присоединенные к электронному письму вирусные файлы или осуществляли переход по ссылкам, ведущим на деструктивные Web-сайты.

Web-сайты и вредоносные вложения пытались получить управление над компьютером, используя уязвимости в программном обеспечении. Однажды в одну из организаций, связанных с тибетскими организациями, пришло электронное письмо с обратным адресом campaign@freetibet.org, в котором присутствовал зараженный присоединенный файл Microsoft Word.

В процессе изучения сети обнаружилось, что серверы, отвечающие за сбор информации, не соответствуют требованиям безопасности. Исследователи получили доступ к панелям управления четырех взломанных серверов.

На панелях управления находились сведения о зараженных компьютерах, не принадлежащих тибетскому правительству и неправительственным организациям. Три управляющих сервера находились в Китае, один был установлен в США. Пять командных серверов располагались в Китае, а один -- в Гонконге.

По мнению специалистов университета Торонто, около 30% зараженных компьютеров относятся к категории "высокой ценности". Эти машины принадлежат министерствам иностранных дел Бангладеш, Барбадоса, Бутана, Брунея, Индонезии, Ирана, Латвии и Филиппин. Кроме того, зараженные компьютеры были обнаружены в посольствах Германии, Индии, Индонезии, Кипра, Мальты, Пакистана, Португалии, Румынии, Таиланда, Тайваня и Южной Кореи.

Инфицированные компьютеры международных организаций принадлежат Ассоциации стран Юго-Восточной Азии, Ассоциации регионального сотрудничества стран Южной Азии, Азиатскому банку развития и ряду средств массовой информации (в частности, английскому филиалу Associated Press). Выявлен также один компьютер НАТО.

Существование GhostNet показывает, что ситуация в сфере информационной безопасности требует немедленного вмешательства. "С большой долей уверенности мы можем предположить, что GhostNet является не первой и не единственной сетью подобного рода", -- заявляют авторы отчета.

Исследователи из Кембриджского университета полагают, что такие направленные атаки с применением сложных вредоносных программ -- в отчете они фигурируют под общим названием "социальные вредоносные программы" -- будут превалировать в перспективе. Но вряд ли социальные вредоносные программы останутся эксклюзивным инструментом. То, что проделывали в 2008 году китайские шпионы, в 2010-м начнут делать мошенники самых разных стран.

"Хотя до сих пор компания F-Secure зарегистрировала лишь несколько тысяч атак подобного рода, они уже вызывают определенные трудности у корпоративных пользователей, -- отметил Хиппонен. -- Пока все происходит в очень небольших масштабах. Но если соответствующие технологии начнут применяться в массовом порядке, ситуация изменится самым кардинальным образом".


Теги: