Computerworld News Service: 1.295 computere tilhørende internationale institutioner fordelt på 103 lande er blevet ulovligt overvåget af et kinesisk kontrolleret netværk, viser en 10 måneder lang efterforskning af it-industrispionagen.
Den 53 siders lange rapport, der blev offentliggjort søndag, fremsætter tungtvejende beviser og detaljer om den politisk motiverede hacking.
Til gengæld stiller den spørgsmålstegn ved, om industrispionagen skulle være organiseret eller bestilt af den kinesiske regering.
Rapporten beskriver et netværk, der kaldes GhostNet, som primært bruger et malware-program ved navn gh0st RAT (remote access tool) til at stjæle følsomme data, kontrollere webkameraer og få fuld kontrol over inficerede computere.
"GhostNet udgøres af et netværk af kompromitterede computere inden for vigtige politiske, økonomiske og mediemæssige institutioner fordelt over mange lande på verdensplan," står der i rapporten, der er skrevet af analytikere fra Information Warfare Monitor, som er et projekt fra tænketanken SecDec Group og Munk Center for International Studies ved University of Toronto.
"I skrivende stund er de ramte organisationer ret intetanende om den kompromitterede situation, de befinder sig i," hedder det.
Ved ikke, hvor data er endt
Analytikerne skriver dog, at de ikke har fundet nogen bekræftelse på, om de informationer, som spionagenetværket har fået fat i, har vist sig at være værdifulde for hackerne, om de er blevet solgt videre eller har fungeret som statslige efterretninger.
Spionagenetværket begyndte sandsynligvis omkring 2004 på et tidspunkt, hvor sikkerhedseksperter bemærkede, at mange af de ramte institutioner fik tilsendt falske e-mails med program-filer vedhæftet, fortæller Mikko Hypponen, som er leder af antivirus-forskningen hos F-Secure.
Teknik har udviklet sig hastigt
Hypponen, som har efterforsket angrebene i årevis fortæller, at GhostNets taktik har udviklet sig væsentligt siden begyndelsen.
"Det har været rimelig avanceret og rimelig teknisk i omkring de sidste tre et halvt år. Det er virkelig godt at se, at det her får noget bevågenhed, for det har foregået i så lang tid, og ingen har været opmærksomme på det," tilføjer han.
Selvom der er beviser, der peger på, at servere i Kina indsamler nogle af de følsomme data, er analytikerne forsigtige med at forbinde industrispionagen med den kinesiske regering.
Derimod, skriver de, har Kina en femtedel af verdens internetbrugere, hvilket kan inkludere hackere, hvis mål ligger på linje med Kinas officielle politiske standpunkter.
"Der er forkert og misvisende at tilskrive al kinesisk malware til tilsigtet og målrettet efterretningsindsamling organiseret af den kinesiske stat," påpeger rapporten.
Men Kina har dog gjort en koordineret indsats siden 1990'erne for at udnytte cyberspace til militære fordele ifølge rapporten:
"Det kinesiske fokus på it-formåen som en del af landets strategi for national asymmetrisk krigsførelse involverer en bevidst udvikling af evnen til at omgå USA's overlegenhed inden for command and control-krigsførelse," hedder det.
En anden rapport skrevet af forskere fra University of Cambridge og udgivet i forbindelse med rapporten fra University of Toronto er mindre varsom i sine formuleringer, der beskriver, at angrebene mod Dalai Lamas kontorer blev udført af "kinesiske statslige agenter." Rapporten fra Cambridge har titlen "The Snooping Dragon" - den snagende drage.
Fortrolig information
Efterforskningen begyndte, da forskerne fik adgang til computere, der tilhører Tibets eksilregering, tibetanske ikke-statslige organisationer og Dalai Lamas private kontorer, som frygtede, at fortrolig information blev lækket.
De fandt ud af, at computerne var inficerede med malware, der gjorde det muligt for hackere at stjæle data fra dem.
Computerne var blevet inficerede, efter brugere havde åbnet skadelige vedhæftede filer eller klikket på links til skadelige websites.
Disse websites og vedhæftede filer udnyttede softwaresårbarheder for at tage kontrol over computerne.
I et tilfælde fik en organisation tilknyttet Tibet tilsendt en skadelig e-mail med returadressen "campaign@freetibet.org" og med et inficeret Microsoft Word-dokument vedhæftet.
I efterforskningen af spionagenetværket fandt analytikerne ud af, at de servere, der indsamlede dataene, ikke selv var sikrede. De opnåede således adgang til kontrolpaneler på fire servere brugt til at overvåge de hackede computere.
Disse kontrolpaneler afslørede lister over inficerede computere, som var langt flere end blot de tilhørende den tibetanske eksilregering og tibetanske ngo'er. Tre af de fire kontrol-servere befinder sig i henholdsvis Hainan, Guangdong og Sichuan i Kina. Den sidste befinder sig i USA. Fem af de seks kommando-servere befinder sig i Kina, og den sidste i Hong Kong.
Rapporten fra University of Toronto klassificerer hen ved 30 procent af de inficerede computere som "vigtige" mål.
Disse maskiner tilhører udenrigsministerierne fra Bangladesh, Barbados, Bhutan, Brunei, Indonesien, Iran, Letland and Filippinerne. Computere fra ambassader for Cypern, Tyskland, Indien, Indonesien, Malta, Pakistan, Portugal, Rumænien, Sydkorea, Taiwan og Thailand er også inficerede.
Inficerede internationale organisationer inkluderer ASEAN-sekretariatet (Association of Southeast Asian Nations), SAARC (South Asian Association for Regional Cooperation) og Asian Development Bank, nogle nyhedsbureauer såsom det britiske Associated Press og en uklassificeret computer fra NATO.
Eksistensen af GhostNet fremhæver behovet for akut opmærksomhed på it-sikkerhed, skriver analytikerne. "Vi kan roligt antage, at GhostNet hverken er det første eller det eneste netværk af sin slags."
Analytikerne fra Cambridge vurderer, at disse særdeles målrettede angreb ved hjælp af sofistikeret malware - hvad de kalder "social malware" - vil blive mere udbredt fremover.
"Det er usandsynligt, at social malware forbliver et udelukkede statsligt værktøj," skriver de.
"Det som kinesiske spioner gjorde 2008, gør russiske kriminelle i 2010."
Selvom F-Secure kun har set nogle få tusinde af disse angreb indtil videre, så udgør de allerede et problem for erhvervsbrugere i forsvarssektoren ifølge Hypponen. "Lige nu ser vi kun dette i en meget lille skala," siger han. "Men hvis man kunne tage disse teknikker og udføre dem i stor skala, så ville det selvfølgelig være noget helt andet."
Oversat af Thomas Bøndergaard
