GhostNet ( chino simplificado :幽灵 网; chino tradicional :幽靈 網; pinyin : YōuLíngWǎng ) es el nombre dado por los investigadores del Information Warfare Monitor a una operación de ciberespionaje a gran escala [1] [2] descubierta en marzo de 2009. La operación Es probable que esté asociado con una amenaza persistente avanzada o un actor de red que espía sin ser detectado. [3] Su infraestructura de mando y control se basa principalmente en la República Popular de China y GhostNet se ha infiltrado en lugares políticos, económicos y mediáticos de gran valor [4]en 103 países. Los sistemas informáticos pertenecientes a embajadas , cancillerías y otras oficinas gubernamentales, y el Dalai Lama 's tibetano centros de exiliados en la India, Londres y Nueva York se vea comprometida.
GhostNet fue descubierto y nombrado después de una investigación de 10 meses por el Infowar Monitor (IWM), llevada a cabo después de que los investigadores de IWM se acercaron al representante del Dalai Lama en Ginebra [5] sospechando que su red informática había sido infiltrada. [6] El IWM está compuesto por investigadores de The SecDev Group y la consultora canadiense y Citizen Lab , Munk Centre for International Studies de la Universidad de Toronto ; Los resultados de la investigación se publicaron en Infowar Monitor , una publicación afiliada. [7] Investigadores de la Universidad de CambridgeEl Laboratorio de Computación , apoyado por el Instituto para la Protección de la Infraestructura de la Información , [8] también contribuyó a la investigación en uno de los tres lugares en Dharamshala , donde se encuentra el gobierno tibetano en el exilio. El descubrimiento de 'GhostNet' y los detalles de sus operaciones fueron informados por The New York Times el 29 de marzo de 2009. [7] [9] Los investigadores se centraron inicialmente en las acusaciones de ciberespionaje chino contra la comunidad de exiliados tibetanos , como como instancias en las que se extrajo correspondencia por correo electrónico y otros datos. [10]
Se descubrieron sistemas comprometidos en las embajadas de India , Corea del Sur , Indonesia , Rumania , Chipre , Malta , Tailandia , Taiwán , Portugal , Alemania y Pakistán y en la oficina del Primer Ministro de Laos . Los ministerios de relaciones exteriores de Irán , Bangladesh , Letonia , Indonesia , Filipinas , Brunei , Barbados y Butántambién fueron atacados. [1] [11] No se encontró evidencia de que las oficinas gubernamentales de Estados Unidos o Reino Unido estuvieran infiltradas, aunque una computadora de la OTAN fue monitoreada durante medio día y las computadoras de la embajada de India en Washington, DC , fueron infiltradas. [4] [11] [12]
Desde su descubrimiento, GhostNet ha atacado otras redes gubernamentales, por ejemplo, los departamentos financieros oficiales canadienses a principios de 2011, obligándolos a desconectarse. Los gobiernos comúnmente no admiten tales ataques, que deben ser verificados por fuentes oficiales pero anónimas. [13]
Los correos electrónicos se envían a organizaciones de destino que contienen información contextual relevante. Estos correos electrónicos contienen archivos adjuntos maliciosos que, cuando se abren, permiten que un troyano acceda al sistema. [ cita requerida ] Este troyano se conecta de nuevo a un servidor de control, generalmente ubicado en China, para recibir comandos. La computadora infectada ejecutará el comando especificado por el servidor de control. Ocasionalmente, el comando especificado por el servidor de control hará que la computadora infectada descargue e instale un troyano conocido como Gh0st Rat que permite a los atacantes obtener un control completo y en tiempo real de las computadoras que ejecutan Microsoft Windows . [4]Los atacantes pueden controlar o inspeccionar una computadora de este tipo, y el software incluso tiene la capacidad de activar la cámara y las funciones de grabación de audio de las computadoras infectadas, lo que permite a los atacantes realizar la vigilancia. [7]
Los investigadores del IWM declararon que no podían concluir que el gobierno chino fuera responsable de la red de espías. [14] Sin embargo, un informe de investigadores de la Universidad de Cambridge dice que creen que el gobierno chino está detrás de las intrusiones que analizaron en la Oficina del Dalai Lama. [15]