image

Groot spionagenetwerk infecteert 103 landen

zondag 29 maart 2009, 10:23 door Redactie, 10 reacties

Een mogelijk Chinees spionagenetwerk heeft meer dan 1200 computers van regeringen en activistische groepen in 103 landen met malware besmet, om zo vertrouwelijke e-mails en documenten te stelen. Canadese onderzoekers ontdekten het grootschalige GhostNet, vernoemd naar het Gh0st Trojaanse paard dat de aanvallers voor de infectie gebruikten. In totaal gaat het om 1295 computers van overheidsinstanties, Niet-gouvernementele organisaties en ander groeperingen, waaronder de Dalai Lama. Taiwan (148), Vietnam (130) en Verenigde Staten (113) werden het zwaarst getroffen. De rest van de geïnfecteerde landen bevindt zich voornamelijk in Azië.

De eerste ontdekte infectie dateerde van 22 mei 2007. Volgens de onderzoekers gaat het in 30% van de besmette computers om zeer waardevolle diplomatieke, politieke, economische en militaire systemen. Het netwerk kwam aan het licht bij een onderzoek naar de computers van de Dalai Lama. Aanvallers hadden toegang tot de mailserver gekregen en konden zo alle e-mails onderscheppen.

E-mailbijlage
Voor het infecteren van de systemen gebruikten de aanvallers een besmette bijlage die de slachtoffers openden of lokten hen naar een kwaadaardige website die de malware installeerde. Eenmaal toegang tot het systeem was het onder andere mogelijk om de webcam en microfoon van de computer in te schakelen, om zo gesprekken in de betreffende kamer op te nemen. Het netwerk van besmette computers werd via vier servers bestuurd, waarvan er drie zich in China bevonden. De andere was in de VS geparkeerd.

China?
De interface voor het besturen van het netwerk was in het Chinees, maar dat is volgens de onderzoekers geen bewijs dat de Chinese overheid ook achter de operatie zit. Een ander land of inlichtingendienst die de schuld op China zou willen afschuiven zou dit op deze manier vrij eenvoudig kunnen doen. Toch is er een aantal incidenten die Chinese betrokkenheid vermoeden. Zo stuurde de Dalai Lama eens e-mail met een uitnodiging naar een buitenlandse diplomaat. Ze werd echter door de Chinese overheid benaderd die haar aanmoedigde om niet op de uitnodiging in te gaan. Een andere vrouw die met Tibetaanse ballingen werkte, kreeg van de Chinese inlichtingendienst een volledig uitgewerkt transcript van al haar e-mailwisselingen. China ontkent echter alle betrokkenheid.

Tor
IT-journaliste Kim Zetter vermoedt dat er mogelijk een verband is met het onderscheppen van ambassade e-mail via Tor in 2007. Een Zweedse onderzoeker ontdekte toen inloggegevens van talloze ambassades en mensenrechtenorganisaties die via het Tor-netwerk gelekt werden. Ondanks een waarschuwing naar de ambassades dat hun computers mogelijk besmet waren, reageerde er geen enkele op de e-mail van Zetter.

Snooping Dragon
Twee andere onderzoekers die ook aan het onderzoek van GhostNet werkte, richtte zich voornamelijk op de geïnfecteerde computers van de Dalai Lama. Volgens de twee staat het vast dat China achter de aanvallen zit, vandaar ook de naam van hun rapport "The snooping dragon: social-malware surveillance of the Tibetan movement." Medewerkers van de Dalai Lama ontvingen regelmatig e-mails met geinfecteerde .doc en .pdf bestanden die een rootkit op het systeem installeerde.

"We hebben in deze aanvulling beschreven hoe Chinese spionnen het netwerk van de Dalai Lama infecteerde. Ze gebruikten social engineering om op talloze machines rootkits te installeren en vervolgens vertrouwelijke gegevens te stelen. Mensen in Tibet zijn hierdoor mogelijk om het leven gekomen." De infecties mogen dan zijn opgeruimd, de aanvallen laten zien hoe moeilijk het is om vertrouwelijke informatie te beschermen tegen een vijand die social engineering gebruikt om malware te installeren.

Reacties (10)
29-03-2009, 20:05 door Anoniem
Voortaan OpenBSD?
29-03-2009, 20:43 door spatieman
laat maar.
mijn commentaar zal toch zwaar bij iedereen in de keel vallen...
29-03-2009, 21:18 door Anoniem
Wie beschermt ons tegen zulke aanvallen? Wie heeft de kennis en de know-how om zulke aanvallen te kunnen ontdekken en onze computers veiliger te maken? Niet de AIVD, die zijn veel te druk bezig zelf zulke lekken te gebruiken om hun eigen informatie honger te stillen. Best wel jammer eigenlijk. Zouden ze eidelijk iets nuttigs doen met ons belastingsgeld.
30-03-2009, 01:18 door Paultje
En nu maar hopen dat het een 1-April grap blijkt te zijn...
30-03-2009, 02:15 door Anoniem
Zie http://www.infracritical.com/papers/jr02-2009-tracking-ghostnet.pdf voor het volledige rapport.
30-03-2009, 02:18 door Anoniem
Overigens omvat dit twee high-value sites in Nederland .. NAVO en Tibet
30-03-2009, 09:01 door Anoniem
Ik vind het ook zorgelijk dat de eerste infectie al werd gevonden op 22 mei 2007.
Dat is bijna een 2 jaar geleden, wat gelijk de vraag ook weer rijst bij me of dat het nieuws nu pas naar buiten komt of dat het nu pas gevonden is.

Het geeft maar weer aan wat voor mensen er bij de overheid zitten. Of ze houden info achter, of ze zijn heel erg traag (en een combi van beide zou ook nog eens kunnen). Ik vind dit echt diep en diep triest.
30-03-2009, 10:51 door Anoniem
Als je PC's optimaal wil beveiligen zou ik EDDE-2 Instant Recovery (www.edde-2.com) pakken en iedere keer dat je de PC opstart naar de beginconfiguratie gaan. Op die mannier worden trojans, rootkits etc. automatisch gewist. Overigens gebruikt Homeland Security in de US deze oplossing al lang.

Daarnaast een goede bescherming voor e-mail tegen onbekende malware (MessageLabs biedt 100% SLA - ook voor onbekende malware, zoals deze targeted trojans), en natuurlijk een goede Proxy Web beveiliging. (www.messagelabs.nl).

Verder blijft het belangrijk om niet zomaar alles te openen....

Success,

Richard
30-03-2009, 11:03 door Anoniem
Door AnoniemWie beschermt ons tegen zulke aanvallen? Wie heeft de kennis en de know-how om zulke aanvallen te kunnen ontdekken en onze computers veiliger te maken?

* Zwaait. :)

Paultje: hoewel dit rapport hier en daar pretentieus is en soms tegenstrijdigheden bevat, is de dreiging zelf geen grap. Dit is het topje van de ijsberg.
30-03-2009, 12:03 door Anoniem
Door AnoniemIk vind het ook zorgelijk dat de eerste infectie al werd gevonden op 22 mei 2007.
Dat is bijna een 2 jaar geleden, wat gelijk de vraag ook weer rijst bij me of dat het nieuws nu pas naar buiten komt of dat het nu pas gevonden is.

Het geeft maar weer aan wat voor mensen er bij de overheid zitten. Of ze houden info achter, of ze zijn heel erg traag (en een combi van beide zou ook nog eens kunnen). Ik vind dit echt diep en diep triest.

Het 'nieuws' komt nu naar buiten, binnen de betreffende organisaties is het inderdaad al twee jaar bekend.
Ik heb het ze zelf (ook) gemeld, nadat ik mij had opgegeven via een Website voor een mailinglist, ontving ik praktisch onmiddellijk de beschreven e-mailtjes met malware.
Ik heb betreffende organisatie toen ook op de hoogte gesteld van het feit dat hun website gecompromitteerd was.... dat is inderdaad ook ruim twee jaar geleden.
Gelukkig is de dalai Lama ook bekend met Contra-spionage... ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.