Een 52 pagina’s tellend rapport dat gisteren is vrijgegeven beschrijft een netwerk dat door de onderzoekers GhostNet is genoemd, naar de gebruikte trojan gh0st RAT. Het netwerk wordt gebruikt om documenten te stelen, webcams te besturen en de controle over te nemen van besmette computers.

“GhosNet is een netwerk van besmette computers die staan op belangrijke politieke, economische en media locaties”, staat in het rapport. “Op het moment van schrijven zijn deze organisaties nog vrijwel zeker niet op de hoogte van de gecompromitteerde situatie waarin ze zich bevinden.”

Eindelijk aandacht

Zeer waarschijnlijk is de operatie gestart in 2004. Rond die tijd kregen veel instituten vreemde e-mails met executables er in. Dat zegt Mikko Hypponen van het antivirus onderzoekslab van F-Secure. Hypponen heeft de aanvallen jarenlang gevolgd en volgens hem is de tactiek van het netwerk de laatste jaren veel geavanceerder geworden. “Het is goed dat er nu eindelijk spotlights op worden gericht, want het is al zo lang bezig zonder dat iemand er aandacht aan besteedde”, voegde hij daar aan toe.

Volgens het rapport wordt veel van de data verzameld op servers in China. Maar men wil niet direct de vinger wijzen naar de Chinese regering. China is een groot land met een groot potentieel aan hackers. “Alle Chinese malware toeschrijven aan opzettelijke en doelgerichte spionageoperaties van de Chinese staat is verkeerd en misleidend”, zegt het rapport.

Snooping dragon

Een tweede rapport, van de universiteit van Cambridge, is daarin minder terughoudend. Daarin staat zonder omwegen dat de aanvallen tegen de Dalai Lama werden uitgevoerd door “agenten van de Chinese overheid.”

Het onderzoek begon nadat onderzoekers toegang hadden gekregen tot de computers van de Tibetaanse regering in ballingschap, Tibetaanse NGO’s en het privé kabinet van de Dalai Lama, die bezorgd was over het lekken van vertrouwelijke informatie, zo staat in het rapport, dat ‘The snooping dragon’ is genoemd.

Ze troffen computers aan die geïnfecteerd waren met kwaadaardige software die hackers van een afstand toestond om informatie te stelen. Die computers waren geïnfecteerd geraakt nadat gebruikers attachments hadden geopend of hadden geklikt op links naar kwaadaardige websites.

Tegenaanval

De onderzoekers gingen vervolgens op zoek naar het netwerk, waarna bleek dat de servers die de data verzamelden niet goed beveiligd waren. Ze verschaften zich toegang tot de control panels van de vier servers die werden gebruikt om de gehackte computers in de gaten te houden. Uit die panels kwam een lijst naar voren die veel langer was dan alleen computers van de Tibetaanse regering en NGO’s.

Het netwerk omvat bijvoorbeeld de ministeries van buitenlandse zaken van Bangladesh, Barbados, Bhutan, Brunei, Indonesië, Iran, Letland en de Filipijnen. Verder zijn er ambassades geïnfecteerd van Duitsland, India, Indonesië, Malta, Pakistan, Portugal, Roemenie, Zuid Korea, Taiwan en Thailand. Ook in de VS zijn veel computers geïnfecteerd.

Drie van de vier control servers stonden in China, een stond er in de VS. Vijf van de zes commando servers stonden ook in China. De laatste in Hong Kong.

Bron: Techworld