目录:
- 操作可能在2004年左右开始,时间安全研究人员注意到许多这些机构正在被发送带有可执行文件的假电子邮件根据F-Secure反病毒研究总监Mikko Hypponen的说法, Hypponen多年来一直在追踪这些攻击事件,他说GhostNet的战术从早期就有了很大的变化。 “在过去三年半左右的时间里,它已经相当先进和技术性很强。”
- 当分析人员探查网络时,他们发现收集数据的服务器不安全。他们获得了用于监控四台服务器上的黑客计算机的控制面板的情况。
它描述了一个研究人员称为GhostNet的网络,该网络主要使用称为恶意软件程序gh0st RAT(远程访问工具)窃取敏感文档,控制网络摄像头并完全控制受感染的计算机。
[更多阅读:如何删除恶意软件来自你的Windows PC]
“GhostNet代表了一个受害计算机网络,位于遍布全球许多国家的高价值政治,经济和媒体地点,”该报告由分析师撰写的信息战监视器SecDev集团的一个项目,一个智囊团,以及多伦多大学的蒙克国际研究中心。 “在写这篇文章的时候,这些组织几乎可以肯定没有意识到他们发现自己陷入了危险的境地。”然而,分析人员表示,他们无法确认所获得的信息是否对黑客有价值或者是否已被商业销售或作为情报传递
2004年以来的间谍
操作可能在2004年左右开始,时间安全研究人员注意到许多这些机构正在被发送带有可执行文件的假电子邮件根据F-Secure反病毒研究总监Mikko Hypponen的说法, Hypponen多年来一直在追踪这些攻击事件,他说GhostNet的战术从早期就有了很大的变化。 “在过去三年半左右的时间里,它已经相当先进和技术性很强。”
“现在看到这件事聚焦真的很棒,因为它已经持续了很长时间,没有人关注,“他补充道,”尽管有证据表明中国的服务器正在收集一些敏感数据,但分析师对于将间谍活动与中国政府联系起来持谨慎态度。相反,中国拥有全球互联网用户的五分之一,其中可能包括与中国官方政治立场保持一致的黑客。“将中国恶意软件全部归入中国政府有意或有针对性的情报搜集行动是错误和误导的, “但是,自上世纪90年代以来,中国一直在努力将网络空间用于军事优势。”中国将网络能力作为其国家非对称战争战略的一部分,涉及有意开发能够规避美国优势的能力命令和控制战争“,它说。
西藏的计算机违规
由剑桥大学研究人员撰写并与多伦多大学的论文一起发表的第二份报告不那么谨慎,认为袭击达赖喇嘛尊者办公室(OHHDL)由“中国政府代理人”发起。剑桥大学的研究小组称他们的报告为“窥探之龙”。
分析家的研究是在获得西藏流亡政府,西藏非政府组织和达赖喇嘛私人办公室的电脑访问后开始的。据报道,他们发现计算机感染了恶意软件,允许远程黑客窃取信息。在用户打开恶意附件或点击链接导致有害的网站后,计算机被感染。
网站或恶意附件然后会尝试利用软件漏洞来控制机器。在一个例子中,一个恶意的电子邮件被发送到一个西藏附属组织,返回地址为“[email protected]”,受感染的Microsoft Word附件。
当分析人员探查网络时,他们发现收集数据的服务器不安全。他们获得了用于监控四台服务器上的黑客计算机的控制面板的情况。
这些控制面板显示了受感染计算机的列表,这些计算机远远超出了西藏政府和非政府组织。四个控制服务器中的三个位于中国,包括海南,广东和四川。报道称,一名在美国。六个命令服务器中的五个在中国,其余的在香港。
多伦多大学报告将接近30%的受感染计算机列为“高价值”目标。这些机器属于孟加拉国,巴巴多斯,不丹,文莱,印度尼西亚,伊朗,拉脱维亚和菲律宾的外交部。受感染的国际组织包括东盟(东南亚国家联盟)秘书处,东南亚国家联盟秘书处,印度尼西亚,南亚区域合作联盟(南亚区域合作联盟)和亚洲开发银行;一些新闻机构,如美联社的联合会成员;和一个未分类的NATO计算机
安全需求的焦点
GhostNet的存在突出表明需要紧急关注信息安全,分析师写道。 “我们可以安全地假设它[GhostNet]既不是第一种,也不是唯一的一种。”
剑桥研究人员预测,这些高度针对性的攻击与复杂的恶意软件捆绑在一起 - 他们称之为“社交恶意软件”将来会变得更加普遍。他们写道:“社交恶意软件不太可能成为政府的工具。 “2008年,中国的黑客做了什么,俄罗斯骗子将在2010年做到这一点。”
虽然F-Secure迄今为止只有几千起这类攻击事件发生,但他们已经成为国防部门企业用户的问题,Hypponen说。 。他说:“我们现在只看到了这个微小的规模。” “如果你能够采取这样的技术并且大规模地进行,当然这会改变比赛。”
(旧金山的罗伯特麦克米兰为本报告做出了贡献)