GhostNet ( chino simplificado :幽灵 网; chino tradicional :幽靈 網; pinyin : YōuLíngWǎng ) es el nombre dado por los investigadores del Information Warfare Monitor a una operación de ciberespionaje a gran escala [1] [2] descubierta en marzo de 2009. La operación Es probable que esté asociado con una amenaza persistente avanzada o un actor de red que espía sin ser detectado. [3] Su infraestructura de mando y control se basa principalmente en la República Popular de China y GhostNet se ha infiltrado en lugares políticos, económicos y mediáticos de alto valor [4]en 103 países. Los sistemas informáticos pertenecientes a embajadas , cancillerías y otras oficinas gubernamentales, y el Dalai Lama 's tibetano centros de exiliados en la India, Londres y Nueva York se vea comprometida.
Descubrimiento
GhostNet fue descubierto y nombrado luego de una investigación de 10 meses por el Infowar Monitor (IWM), llevada a cabo después de que los investigadores de IWM se acercaran al representante del Dalai Lama en Ginebra [5] sospechando que su red de computadoras había sido infiltrada. [6] El IWM está compuesto por investigadores de The SecDev Group y la consultora canadiense y Citizen Lab , Munk Centre for International Studies de la Universidad de Toronto ; los resultados de la investigación se publicaron en Infowar Monitor , una publicación afiliada. [7] Los investigadores de la Universidad de Cambridge 's Laboratorio de Informática , con el apoyo del Instituto para la Información infraestructura de protección , [8] también contribuyó a la investigación en uno de los tres lugares en Dharamsala , donde se encuentra el gobierno en el exilio tibetano . El descubrimiento de la 'GhostNet' y los detalles de sus operaciones fueron informados por The New York Times el 29 de marzo de 2009. [7] [9] Los investigadores se centraron inicialmente en las acusaciones de ciberespionaje chino contra la comunidad de exiliados tibetanos , como como instancias en las que se extrajo correspondencia por correo electrónico y otros datos. [10]
Se descubrieron sistemas comprometidos en las embajadas de India , Corea del Sur , Indonesia , Rumania , Chipre , Malta , Tailandia , Taiwán , Portugal , Alemania y Pakistán y en la oficina del Primer Ministro de Laos . Los ministerios de relaciones exteriores de Irán , Bangladesh , Letonia , Indonesia , Filipinas , Brunei , Barbados y Bután también fueron blanco de ataques. [1] [11] No se encontró evidencia de que se hayan infiltrado oficinas gubernamentales de Estados Unidos o Reino Unido, aunque una computadora de la OTAN fue monitoreada durante medio día y las computadoras de la embajada india en Washington, DC , fueron infiltradas. [4] [11] [12]
Desde su descubrimiento, GhostNet ha atacado otras redes gubernamentales, por ejemplo, los departamentos financieros oficiales canadienses a principios de 2011, obligándolos a desconectarse. Los gobiernos comúnmente no admiten tales ataques, que deben ser verificados por fuentes oficiales pero anónimas. [13]
Funcionalidad técnica
Los correos electrónicos se envían a organizaciones de destino que contienen información contextual relevante. Estos correos electrónicos contienen archivos adjuntos maliciosos que, cuando se abren, permiten que un troyano acceda al sistema. [ cita requerida ] Este troyano se conecta de nuevo a un servidor de control, generalmente ubicado en China, para recibir comandos. La computadora infectada ejecutará el comando especificado por el servidor de control. Ocasionalmente, el comando especificado por el servidor de control hará que la computadora infectada descargue e instale un troyano conocido como Gh0st Rat que permite a los atacantes obtener un control completo y en tiempo real de las computadoras que ejecutan Microsoft Windows . [4] Los atacantes pueden controlar o inspeccionar una computadora de este tipo, y el software incluso tiene la capacidad de activar la cámara y las funciones de grabación de audio de las computadoras infectadas, lo que permite a los atacantes realizar vigilancia. [7]
Origen
Los investigadores del IWM declararon que no podían concluir que el gobierno chino fuera responsable de la red de espías. [14] Sin embargo, un informe de investigadores de la Universidad de Cambridge dice que creen que el gobierno chino está detrás de las intrusiones que analizaron en la Oficina del Dalai Lama. [15]
Los investigadores también han notado la posibilidad de que GhostNet fuera una operación dirigida por ciudadanos privados en China con fines de lucro o por razones patrióticas, o creada por agencias de inteligencia de otros países como Rusia o Estados Unidos. [7] El gobierno chino ha declarado que China "prohíbe estrictamente cualquier delito cibernético". [1] [10]
El "Informe Ghostnet" documenta varias infecciones no relacionadas en organizaciones relacionadas con el Tíbet, además de las infecciones Ghostnet. Mediante el uso de las direcciones de correo electrónico proporcionadas por el informe de IWM, Scott J. Henderson había logrado rastrear a uno de los operadores de una de las infecciones (no Ghostnet) hasta Chengdu . Identifica al hacker como un hombre de 27 años que había asistido a la Universidad de Ciencia y Tecnología Electrónica de China y que actualmente está conectado con el hacker chino clandestino . [dieciséis]
A pesar de la falta de evidencia para señalar al gobierno chino como responsable de las intrusiones contra objetivos relacionados con tibetanos, los investigadores de Cambridge han encontrado acciones tomadas por funcionarios del gobierno chino que se correspondían con la información obtenida a través de intrusiones informáticas. Uno de esos incidentes involucró a un diplomático que fue presionado por Beijing después de recibir una invitación por correo electrónico a una visita con el Dalai Lama de sus representantes. [15]
Otro incidente involucró a una mujer tibetana que fue interrogada por oficiales de inteligencia chinos y se le mostraron transcripciones de sus conversaciones en línea. [14] [17] Sin embargo, hay otras posibles explicaciones para este evento. Drelwa utiliza QQ y otros mensajeros instantáneos para comunicarse con los usuarios chinos de Internet. En 2008, IWM descubrió que TOM-Skype, la versión china de Skype, registraba y almacenaba mensajes de texto intercambiados entre usuarios. Es posible que las autoridades chinas hayan adquirido las transcripciones del chat a través de estos medios. [18]
Los investigadores de IWM también han descubierto que cuando se detecta, GhostNet se controla constantemente desde direcciones IP ubicadas en la isla de Hainan , China, y han señalado que Hainan es el hogar de la instalación de inteligencia de señales Lingshui y el Tercer Departamento Técnico del Ejército Popular de Liberación. [4] Además, se ha revelado que uno de los cuatro servidores de control de GhostNet es un servidor del gobierno [ aclarar ] . [19]
Ver también
- Amenaza Persistente Avanzada
- Actividad de inteligencia china en el exterior
- Guerra cibernética china
- Espionaje chino en Estados Unidos
- Guerra cibernética
- Espionaje económico e industrial
- Unión Honker
- Censura de Internet en China
- Operación Aurora
- RedHack (de Turquía)
- Titan Rain
- Red de sombra
- 14 ° Dalai Lama
Referencias
- ^ a b c "Descubierta una importante red de espionaje cibernético" . BBC News . 29 de marzo de 2009 . Consultado el 29 de marzo de 2009 .
- ^ Glaister, Dan (30 de marzo de 2009). "China acusada de ciberespionaje mundial" . The Guardian Weekly . 180 (16). Londres. pag. 5 . Consultado el 7 de abril de 2009 .
- ^ Sean Bodmer; Dr. Max Kilger; Gregory Carpenter; Jade Jones (2012). Engaño inverso: contra-explotación organizada de amenazas cibernéticas . McGraw-Hill Osborne Media. ISBN 978-0071772495.
- ^ a b c d Harvey, Mike (29 de marzo de 2009). "Los piratas informáticos chinos 'utilizan la red fantasma para controlar las computadoras de la embajada ' " . The Times . Londres . Consultado el 29 de marzo de 2009 .
- ^ "Seguimiento de GhostNet: investigando una red de ciberespionaje" .
- ^ "China niega las acusaciones de espionaje" . BBC News . 30 de marzo de 2009 . Consultado el 31 de marzo de 2009 .
- ^ a b c d Markoff, John (28 de marzo de 2009). "Vasto sistema de espionaje saquea computadoras en 103 países" . New York Times . Consultado el 29 de marzo de 2009 .
- ^ Shishir Nagaraja, Ross Anderson (marzo de 2009). "El dragón fisgón: vigilancia de malware social del movimiento tibetano" (PDF) . Universidad de Cambridge . pag. 2 . Consultado el 31 de marzo de 2009 .
- ^ "Investigadores: Cyber espías irrumpen en computadoras del gobierno" . Prensa asociada . 29 de marzo de 2009 . Consultado el 29 de marzo de 2009 .
- ^ a b Los espías con base en China apuntan a Tailandia . Bangkok Post , 30 de marzo de 2009. Recuperado el 30 de marzo de 2009.
- ^ a b "Los canadienses encuentran una vasta red de espionaje informático: informe" . Reuters . 28 de marzo de 2009 . Consultado el 29 de marzo de 2009 .
- ^ "Operación de espionaje por China infiltrados equipos: Informe" . El hindú . 29 de marzo de 2009. Archivado desde el original el 1 de abril de 2009 . Consultado el 29 de marzo de 2009 .
- ^ "Los piratas informáticos extranjeros atacan al gobierno canadiense" . CBC News . 17 de febrero de 2011 . Consultado el 17 de febrero de 2011 .
- ^ a b Seguimiento de GhostNet: investigación de una red de ciberespionaje . Centro Munk de Estudios Internacionales . 29 de marzo de 2009
- ^ a b Nagaraja, Shishir; Anderson, Ross (marzo de 2009). "El dragón fisgón: vigilancia de malware social del movimiento tibetano" (PDF) . Laboratorio de Computación, Universidad de Cambridge.
- ^ Henderson, Scott (2 de abril de 2009). "Cazando al hacker GhostNet" . El visitante oscuro. Archivado desde el original el 6 de abril de 2009 . Consultado el 2 de abril de 2009 .
- ^ El equipo de U of T rastrea a los espías cibernéticos con sede en China Toronto Star 29 de marzo de 2009 Archivado el 31 de marzo de 2009 en Wayback Machine.
- ^ INCUMPLIMIENTO DE LA CONFIANZA: Un análisis de las prácticas de vigilancia y seguridad en la plataforma TOM-Skype de China
- ^ Conoce a los canadienses que arrestaron a Ghostnet The Globe and Mail el 29 de marzo de 2009
enlaces externos
- El grupo SecDev
- Citizen Lab en la Universidad de Toronto
- Seguimiento de GhostNet: Investigating a Cyber Espionage Network (Informe del monitor Infowar (SecDev y Citize Lab), 29 de marzo de 2009)
- F-Secure Mirror del informe PDF
- Information Warfare Monitor: seguimiento del poder cibernético (Universidad de Toronto, Canadá / Munk Centre)
- Gorjeo: InfowarMonitor
- Kelly, Cathal (31 de marzo de 2009). "El código de Cyberspies a un clic de distancia: una simple búsqueda en Google encuentra rápidamente un enlace al software para el programa Ghost Rat utilizado para los gobiernos de destino" . Toronto Star (Canadá) . Toronto, Ontario, Canadá . Consultado el 4 de abril de 2009 .
- Lee, Peter (8 de abril de 2009). "Ciber-escaramuza en la cima del mundo" . Asia Times Online . Archivado desde el original el 10 de abril de 2009 . Consultado el 9 de abril de 2009 .CS1 maint: URL no apta ( enlace )
- Bodmer, Kilger, Carpenter y Jones (2012). Engaño inverso: contra-explotación organizada de amenazas cibernéticas . Nueva York: McGraw-Hill Osborne Media. ISBN 0071772499 , ISBN 978-0071772495