Az évszázad hekker-botránya! 103 országot figyeltek Kínából
Egy kanadai kutatócsoport 10 hónapon át figyelte a 103 országban, összesen 1295 gépet megfertőzött kiberkém-hálózatot. A ’GhostNet’ szigorúan bizalmas gazdasági és politikai információkat lop kormányminisztériumok gépeiről.
2009. március 31. kedd 07:58 - Tatai Gábor
A kanadai Munk’s polgári informatikai laboratórium kutatóinak egy frissen közreadott tanulmánya szerint, a GhostNet törvénytelen információgyűjtésének 30 százaléka kifejezetten „nagy értékű” adatokat érintett, többnyire olyan ázsiai országok külügyminisztériumaitól, mint Irán, Banglades, Indonézia, a Brunei Szultanátus, Barbados vagy Bután. Az egyes országok nagykövetségeinek hekkelése, mint India, Dél-Korea, Románia, Lettország, Ciprus, Málta, Tájföld, Tajvan, Portugália, Németország és Pakisztán különösen súlyos, nemzetközi következményekkel járhatnak.
A globális Információs Hadviselés Felügyelet (IWM) nagyerőkkel nyomoz olyan elkövetők ellen, akik a fent említetteken kívül a dalai láma, a NATO, különböző bankok és hírügynökségek adatbázisaiba is betörtek. A kutatócsoport lokalizálta a GhostNet 3-4 legnagyobb szerverét is, egy dél-karolinai kivételével, az összes kínai provinciákban található…
Óvatos gyanúsítgatások
Maga a Munk’s tanulmány ugyan nem említ név szerint kormányszintű gyanúsítottat, sokatmondó részlet, hogy a rendszer zömében dél- és délkelet-ázsiai nemzetek kormányait figyelte. Ronald Deibert, a Munk’s labor igazgatója a nemzetközi sajtót tájékozató levelében megjegyzi: „Hogy végtére is micsoda vagy kicsoda irányítja a rendszert, azt a legfontosabb szemügyre venni, hogy kinek volt meg a kellő kapacitása ahhoz, hogy kihasználja a begyűjtött stratégiai információk tömkelegét”.
A The New York Times szinte azonnal a kínai kormányra ugrott, ahol a felháborodott szóvivő csak azt válaszolta, hogy „ezek a gyanúsítgatások már nagyon régiek és teljességgel nonszenszek. A kínai kormány ellenzi, és határozattan tiltja a kiberbűnözés bármely formáját”. Rafal A. Rohozinski, az IWM egyik nyomozója hosszú és komplikált vizsgálattól tart: „az ügy jellege bonyolult, mivel nincs egységes megegyezés egy olyan legális keretről, mely lehetővé tenné a nemzetközi nyomozás folytatását - bár logikus, de csak helybéli gyanúk alapján” – nyilatkozta az NY Times-nak.
Elfogott galamb
Fül és szem
A GhostNet rosszindulatú szoftverei, azon kívül, hogy szemmel tartják a célgép ki- és bemenő adatforgalmát, és kényük-kedvükre másolhatnak fájlokat, még „big brother” opciókat is lehetővé tesznek: A fertőzött számítógépen keresztül például, hangfelvételt indíthatnak el a zárt tárgyalókban, vagy egy kamerán keresztül zavartalanul kísérhetik figyelemmel az épületben és irodákban történőket. A Skype, Messenger, vagy egyéb VOIP-kommunikáció lehallgatása és átolvasása egészen hétköznapi rutinnak számít, ahogy azt a dalai láma esetében is láthatjuk.
A száműzetésben élő tibeti vezető, akit Kína eddig már több ízben feljelentett, személyesen kérte a torontói kutatócsoportot, hogy vizsgálják át számítógépét, mert erős gyanúja szerint rosszindulatú szoftverek, vírusok, férgek és kémprogramok özönlötték el azt. Ekkor bukkantak a Munk’s munkatársai a GhostNet nyomaira. Bár a lopott fájlok természetét nem tudták egyértelműen meghatározni, az megállapítást nyert, hogy a kémprogramok irányítás alá vették a dalai láma elektronikus levelezését.
Pár hónappal ezelőtt a dalai láma, e-mail-en keresztül meghívást küldött egy Kínában élő külföldi diplomatának, aki titkon kapcsolattartó a kínai lakosság és a tibeti menekültek között. A meghívás teljes diszkrécióval történt, a nőt mégis kínai hírszerzőtisztek várták a látogatásról hazatértében. A kínaiak egy közte és a láma között lezajlott, kinyomtatott online párbeszédet dugva az orra alá, figyelmeztették, hogy fejezze be a politikai tevékenységét.
Szellem a gépben
Ha a hekker egyszer bejutott a gépbe, a teljes irányítást át tudja venni felette. Az IWM jelentése szerint, a fertőzés direkt úton történik, többnyire e-mail-en keresztül. Ha címzett megnyitja a levelet, a gép maga tölti le a Ghost Rat nevű trójait, mellyel a behatoló valós idejű jogosultságot kap az összes hardver és szoftver felett. A trójai egy közönséges internet hozzáférést használ, melyet Hainan szigetén lokalizáltak, ahol többek között a Kínai Vörös hadsereg Lingshui nevű hírszerző-létesítménye is található.
A torontói kutatók még a kémprogramok, egy egyszerű internetes böngésző segítségével is elérhető irányító felületét is megtalálták. A kínai nyelven adott utasítások segítségével, akár egyetlen ember, egyszerre tudja irányítani mind az 1200 „szondát”. A megfigyelés hetei alatt a Munk’s kínosan figyel arra, nehogy ő maga is törvénysértésbe keveredjen, maga az irányítási felület döbbenetesen védtelen, akár egy hétköznapi felhasználó is könnyűszerrel hozzájuthat a legszenzitívebb állam-, és hadititkokhoz.
Maguk a kutatók jegyzik meg, hogy a kém, így akár egy államfeletti gazdasági csoport, vagy egy egyszerű helyi lakos is lehet. Az internetes világ már korábban is felfigyelt az un. kínai patrióta hekkerek áldatlan munkásságára, de ugyanígy gyanúsított lehet a CIA vagy akár az oroszok is.
Forrás: HírExtra / NY Times / Times ONLINE / Al Jazeera