Изображение с сайта pretty-vacant.com

Тибетские призраки

Далай-лама помог обнаружить кибершпионскую сеть

Исследователи из центра международных исследований Мунка в университете Торонто обнаружили всемирную шпионскую сеть, состоящую из 1295 компьютеров, охватывающую 103 страны мира. Более четверти этих компьютеров располагалось в посольствах, министерствах иностранных дел и подобных учреждениях различных государств.

Эта история началась с необычной просьбы. Представители Далай-ламы попросили канадцев проверить компьютеры тибетского правительства в изгнании на предмет вредоносных программ. Работа по проверке компьютерного парка тибетского сообщества началась в июне 2008 года и закончилась в марте 2009 года.

На машины были установлены специальные программы для слежения за трафиком. С их помощью было доказано существование вредоносных программ и выявлено несколько серверов, контролировавших их действия. Семьдесят процентов серверов находились в Китае.

Всего исследователи нашли четыре контрольных и шесть командных серверов. Они были практически не защищены, и канадцам удалось получить доступ к административной панели. Две недели пристального наблюдения позволило составить обширный список инфицированных машин. В их числе оказались компьютеры Представительства его святейшества Далай-ламы, включая офисную сеть и сервер Dalailama.com.

Вероятнее всего, компьютеры в представительстве Далай-ламы удалось заразить при помощи письма с адреса campaigns@freetibet.org, к которому прилагался перевод книги для тибетского правительства в изгнании. На деле "перевод" был зараженным .doc-файлом. Впрочем, правительству Тибета не впервой - вредоносные программы проникали на его компьютеры, например, в 2001 и 2005 годах. Самое интересное было впереди.

Анализ списка инфицированных компьютеров (к тому моменту исследователи уже называли его GhostNet, "призрачная сеть") показал, что угроза вышла далеко за пределы Тибета. Свыше 25 процентов компьютеров оказались в сетях, представляющих повышенную ценность для злоумышленников.

В среднем заражение каждого из хостов длилось 145 дней. Некоторые из них были инфицированы в течение всего одного дня, полторы сотни других - свыше 400 дней. Заражения происходили двумя большими волнами. Первая прошла в декабре 2007 года, а вторая - в августе 2008.

Больше всего зараженных хостов, 148, пришлось на Тайвань. На втором месте Вьетнам с 130 компьютерами, а на третьем США - 113 зараженных хостов. В США, надо сказать, пока не обнаружено проникновений в компьютеры госорганов.

Список организаций зачаровывает. Жертвами GhostNet оказались компьютеры посольств Индии в семи разных странах, посольств Мальты и Румынии - в четырех, Португалии - в двух. Три зараженных машины стоит в АСЕАН, еще три - в Азиатском банке развития.

Во Вьетнаме хозяева GhostNet держат под прицелом министерство промышленности и торговли (30 компьютеров), а также нефтяную компанию PetroVietnam (74 компьютера). На Тайване заражены почти восемьдесят компьютеров совета по развитию внешей торговли, а также сети госслужбы.

В России тоже есть один зараженный компьютер. Он находится в федеральной университетской сети. Не устояли перед вредоносными программами британская международная палата по судоходству, а также британское подразделение Associated Press. Да что там говорить, если один инфицированный компьютер обнаружился даже в штаб-квартире НАТО.

Газеты и журналы, узнавшие о GhostNet, тут же обвинили во всем китайские власти, благо те находятся, мягко говоря, в натянутых отношениях как с Тибетом, так и с Тайванем.

Буквально на следующий день после публикации канадского доклада Пекин заявил, что не имеет никакого отношения к шпионской сети. Чиновники добавили, что нет никаких доказательств связи хакеров с китайским правительством, а киберпреступления в их стране жестоко наказываются.

Исследователи также не уверены, что речь идет о правительственной сети кибершпионажа. Они предполагают, что GhostNet принадлежит либо не связанной с властями организации, торгующей данными, либо китайским "хакерам-патриотам". Впрочем, на горизонте появился второй доклад, авторами которого являются сотрудники компьютерной лаборатории Кембриджского университета. Они уверены, что тибетские компьютеры заразили китайские правительственные агентства.

В кембриджском документе, кстати, говорится, что вслед за китайскими хакерами такие же сети в ближайшее время могут создать российские.

Остается ждать очередных разоблачений.

Ссылки по теме

• Tracking GhostNet -Information Warfare Monitor, 29.03.2009
• The Snooping dragon: social-malware surveillance of the Tibetan movement - University of Cambridge, 30.03.2009
• Канадские ученые разоблачили глобальную сеть компьютерного шпионажа - Lenta.ru, 29.03.2009

Сайты по теме

• Центр международных исследований Мунка
• Далай-лама