เครือข่ายการสอดแนมคอมพิวเตอร์ขั้นสูง แตะ 103 ประเทศ

การสืบสวนทางไซเบอร์ระยะ 10 เดือนพบว่าเครื่องคอมพิวเตอร์ 1295 แห่งใน 103 ประเทศและเป็นของสถาบันระหว่างประเทศได้รับการตรวจสอบโดยมีหลักฐานบางอย่างที่ชี้ให้เห็นว่าประเทศจีนอาจถูกตำหนิ

รายงาน 53 หน้าซึ่งเผยแพร่เมื่อวันอาทิตย์ หลักฐานบางอย่างที่น่าสนใจที่สุดและรายละเอียดของความพยายามของแฮ็กเกอร์ที่มีแรงจูงใจทางการเมืองในขณะที่ตั้งคำถามเกี่ยวกับความสัมพันธ์ของพวกเขากับการดำเนินงานของ cyberpying ที่รัฐบาลให้สัตยาบัน

อธิบายถึงเครือข่ายที่นักวิจัยเรียกว่า GhostNet ซึ่งส่วนใหญ่ใช้โปรแกรมซอฟต์แวร์ที่เป็นอันตรายเรียกว่า gh0st RAT (Remote Access Tool) เพื่อขโมยเอกสารสำคัญควบคุมเว็บแคมและควบคุมคอมพิวเตอร์ที่ติดเชื้อได้อย่างสมบูรณ์

[อ่านเพิ่มเติม: วิธีลบ มัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

"GhostNet แสดงถึงเครือข่ายคอมพิวเตอร์ที่ถูกบุกรุกอาศัยอยู่ในสถานที่ทางการเมืองเศรษฐกิจและสื่อที่มีมูลค่าสูงกระจายอยู่ทั่วหลายประเทศทั่วโลก" รายงานดังกล่าวเขียนโดยนักวิเคราะห์จาก Information Warfare Monitor การวิจัย โครงการ SecDev Group, think tank และ Munk Centre for International Studies ที่มหาวิทยาลัยโตรอนโต "ในช่วงเวลาแห่งการเขียนองค์กรเหล่านี้แทบจะไม่ลืมไปถึงสถานการณ์ที่ถูกประนีประนอมซึ่งพวกเขาพบตัวเอง"

นักวิเคราะห์กล่าวว่าอย่างไรก็ตามพวกเขาไม่ได้รับการยืนยันว่าข้อมูลที่ได้รับกลายเป็นสิ่งที่มีค่าสำหรับแฮกเกอร์หรือไม่ หรือไม่ว่าจะได้รับการขายในเชิงพาณิชย์หรือส่งต่อเป็นหน่วยสืบราชการลับ

การสอดแนมตั้งแต่ปี 2547

การดำเนินการอาจเริ่มประมาณปี 2547 นักวิจัยด้านความปลอดภัยในเวลาพบว่าสถาบันเหล่านี้จำนวนมากถูกส่งข้อความอีเมลหลอกลวงด้วยไฟล์ที่ปฏิบัติการได้ ตามที่ Mikko Hypponen ผู้อำนวยการฝ่ายวิจัยด้านไวรัสของ F-Secure กล่าวว่า Hypponen ผู้ซึ่งติดตามการโจมตีมานานหลายปีกล่าวว่ากลยุทธ์ของ GhostNet มีวิวัฒนาการมาอย่างมากตั้งแต่ช่วงเริ่มแรก "สำหรับสามปีครึ่งที่ผ่านมาหรือดังนั้นจึงเป็นเรื่องที่ค่อนข้างสูงและค่อนข้างเป็นเทคนิค"

"มันเยี่ยมจริงๆที่ได้เห็นจุดเด่นของเรื่องนี้ในขณะนี้ขณะนี้เพราะมันเกิดขึ้นมานานแล้ว แม้ว่าหลักฐานแสดงให้เห็นว่าเซิร์ฟเวอร์ในประเทศจีนกำลังรวบรวมข้อมูลที่ละเอียดอ่อนบางอย่างนักวิเคราะห์ก็ระมัดระวังในการเชื่อมโยงการสอดแนมเข้ากับรัฐบาลจีน แต่จีนมีผู้ใช้อินเตอร์เน็ตเป็นหนึ่งในห้าของโลกซึ่งอาจรวมถึงแฮ็กเกอร์ที่มีเป้าหมายสอดคล้องกับตำแหน่งทางการเมืองของจีนอย่างเป็นทางการ

"การระบุแหล่งที่มาของมัลแวร์จีนทั้งหมดเพื่อพิจารณาโดยเจตนาหรือเป้าหมายที่รวบรวมการดำเนินงานโดยรัฐของจีนนั้นผิดพลาดและทำให้เข้าใจผิด" รายงานกล่าวว่า

อย่างไรก็ตามจีนได้พยายามร่วมกันตั้งแต่ปี 1990 ในการใช้ไซเบอร์สเปซเพื่อประโยชน์ทางการทหาร "การมุ่งเน้นของจีนในความสามารถในโลกไซเบอร์เป็นส่วนหนึ่งของยุทธศาสตร์สงครามแห่งชาติอสมมาตรนั้นเกี่ยวข้องกับการพัฒนาขีดความสามารถโดยเจตนาเพื่อหลีกเลี่ยงความเหนือกว่าของสหรัฐฯใน สงครามกับคำสั่งและควบคุม "มันกล่าวว่า

คอมพิวเตอร์ของทิเบตละเมิด

รายงานฉบับที่สองที่เขียนขึ้นโดยนักวิจัยของมหาวิทยาลัยเคมบริดจ์และตีพิมพ์เผยแพร่ร่วมกับมหาวิทยาลัยโตรอนโตกระดาษไม่ระมัดระวังโดยกล่าวว่าการโจมตีด้วย สำนักงานของพระเจ้าดาไลลามะ (OHHDL) เปิดตัวโดย "ตัวแทนของรัฐบาลจีน" ทีมนักวิจัยของเคมบริดจ์ได้ตั้งชื่อว่า "The Snooping Dragon"

การวิจัยของนักวิเคราะห์เริ่มต้นขึ้นหลังจากที่พวกเขาได้รับสิทธิ์เข้าถึงคอมพิวเตอร์ของรัฐบาลทิเบตที่ถูกเนรเทศองค์กรพัฒนาเอกชนของประเทศธิเบตและสำนักงานส่วนตัวของดาไลลามะ เกี่ยวกับการรั่วไหลของข้อมูลที่เป็นความลับตามรายงาน

พวกเขาพบว่าคอมพิวเตอร์ที่ติดเชื้อซอฟต์แวร์ที่เป็นอันตรายซึ่งทำให้แฮกเกอร์สามารถขโมยข้อมูลได้ คอมพิวเตอร์เริ่มติดเชื้อหลังจากที่ผู้ใช้เปิดเอกสารแนบที่เป็นอันตรายหรือคลิกลิงก์ที่นำไปสู่เว็บไซต์ที่เป็นอันตราย

เว็บไซต์หรือสิ่งที่แนบที่เป็นอันตรายจะพยายามใช้ช่องโหว่ของซอฟต์แวร์เพื่อควบคุมเครื่อง ในตัวอย่างหนึ่งอีเมลที่เป็นอันตรายได้ถูกส่งไปยังองค์กรในเครือทิเบตโดยมีที่อยู่อีเมลของ "[email protected]" ที่มีเอกสารแนบ Microsoft Word ที่ติดไวรัส

ในฐานะที่เป็นนักวิเคราะห์ได้ตรวจสอบเครือข่ายพวกเขาพบว่า เซิร์ฟเวอร์ที่เก็บข้อมูลไม่ปลอดภัย พวกเขาได้เข้าใช้แผงควบคุมที่ใช้ในการตรวจสอบคอมพิวเตอร์ที่ถูกแฮ็กบนเซิร์ฟเวอร์สี่เครื่อง

แผงควบคุมเหล่านี้เปิดเผยรายชื่อเครื่องคอมพิวเตอร์ที่ติดเชื้อซึ่งไปไกลกว่ารัฐบาลทิเบตและเอ็นจีโอ เซิร์ฟเวอร์ควบคุมสามในสี่แห่งตั้งอยู่ในประเทศจีนรวมทั้งมณฑลไห่หนานมณฑลกวางตุ้งและมณฑลเสฉวน รายงานฉบับหนึ่งระบุไว้ในสหรัฐฯ ห้าในหกเซิร์ฟเวอร์คำสั่งอยู่ในประเทศจีนและอีกแห่งหนึ่งอยู่ในฮ่องกง

รายงานของมหาวิทยาลัยโตรอนโตจัดให้อยู่ในระดับใกล้เคียงกับ 30 เปอร์เซ็นต์ของคอมพิวเตอร์ที่ติดไวรัสว่าเป็นเป้าหมายที่มีมูลค่าสูง เครื่องจักรดังกล่าวเป็นของกระทรวงการต่างประเทศของประเทศบังคลาเทศบาร์เบโดสภูฏานบรูไนอินโดนีเซียอิหร่านลัตเวียและฟิลิปปินส์ คอมพิวเตอร์ที่เป็นสถานทูตของไซปรัสเยอรมนีอินเดียอินโดนีเซียมอลตาปากีสถานโปรตุเกสโรมาเนียเกาหลีใต้ไต้หวันและประเทศไทย

กลุ่มประเทศที่ติดเชื้อ ได้แก่ สำนักเลขาธิการอาเซียน (สมาคมแห่งเอเชียตะวันออกเฉียงใต้) SAARC (สมาคมความร่วมมือในภูมิภาคเอเชียใต้) และธนาคารเพื่อการพัฒนาแห่งเอเชีย บางองค์กรข่าวเช่นสหราชอาณาจักรพันธมิตรของ Associated Press; และคอมพิวเตอร์ของนาโตที่ไม่มีการจัดประเภท

การรักษาความปลอดภัยเกี่ยวกับความต้องการ

การดำรงอยู่ของ GhostNet ทำให้เกิดความจำเป็นเร่งด่วนในการรักษาความปลอดภัยข้อมูลนักวิเคราะห์กล่าว นักวิจัยจากเคมบริดจ์คาดการณ์ว่าการโจมตีแบบมุ่งเป้าเหล่านี้จะมาพร้อมกับมัลแวร์ที่ซับซ้อนซึ่งเรียกว่า "มัลแวร์ทางสังคม" (social malware) จะเป็นที่แพร่หลายมากขึ้นในอนาคต "มัลแวร์ทางสังคมไม่น่าจะเป็นเครื่องมือของรัฐบาล" พวกเขาเขียน "สิ่งที่จีนทำให้เกิดขึ้นในปีพ. ศ. 2551 ข่มขู่ชาวรัสเซียจะทำในปี พ.ศ. 2553"

แม้ว่า F-Secure ได้เห็นการโจมตีเพียงไม่กี่พันครั้งแล้ว แต่ก็เป็นปัญหาสำหรับผู้ใช้องค์กรในภาคการป้องกันประเทศ Hypponen กล่าว. "ตอนนี้เรากำลังมองเห็นเรื่องนี้อยู่ในระดับที่น้อยมาก" เขากล่าว "ถ้าคุณสามารถใช้เทคนิคเช่นนี้และทำในขนาดใหญ่แน่นอนว่าจะเปลี่ยนเกม"

(Robert McMillan ในซานฟรานซิสโกสนับสนุนรายงานฉบับนี้)