Rangkaian Komputer Mengintip Deep telah disentuh 103 Negara

Laporan 53 halaman yang dikeluarkan pada hari Ahad, menyediakan beberapa bukti yang paling menarik dan terperinci mengenai usaha para penggodam bermotivasi politik sambil menimbulkan persoalan tentang hubungan mereka dengan operasi siber yang disokong oleh kerajaan.

Ia menggambarkan sebuah rangkaian yang telah dipanggil oleh penyelidik GhostNet, yang terutama menggunakan program perisian jahat yang dipanggil gh0st RAT (Alat Akses Jauh) untuk mencuri dokumen sensitif, mengawal Web cam dan mengawal sepenuhnya komputer yang dijangkiti.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

"GhostNet mewakili rangkaian komputer yang dikompromi yang bermastautin di lokasi politik, ekonomi dan media bernilai tinggi yang tersebar di banyak negara di seluruh dunia," kata laporan itu, yang ditulis oleh penganalisis dengan Monitor Maklumat Warfare, penyelidikan projek Kumpulan SecDev, sebuah pemikir, dan Pusat Munk untuk Pengajian Antarabangsa di Universiti Toronto. "Pada masa penulisan, organisasi-organisasi ini hampir pasti tidak menyedari keadaan terjejas di mana mereka mendapati diri mereka."

Para penganalisis itu mengatakan, bagaimanapun, mereka tidak mempunyai pengesahan jika maklumat yang diperolehi akhirnya menjadi berharga kepada para penggodam

Mengintip Sejak 2004

Operasi itu mungkin bermula sekitar tahun 2004, penyelidik keselamatan masa melihat bahawa banyak institusi ini telah dihantar mesej e-mel palsu dengan fail yang boleh dieksekusi melekat pada mereka, menurut Mikko Hypponen, pengarah penyelidikan antivirus di F-Secure. Hypponen, yang telah menjejaki serangan selama bertahun-tahun, mengatakan bahawa taktik GhostNet telah berkembang jauh dari zaman dahulu. "Selama tiga dan setengah tahun yang lalu atau sudah cukup maju dan agak teknikal."

"Sangat baik untuk melihat perhatian pada perkara ini sekarang, kerana sudah lama dan tidak ada yang memberi perhatian, "tambahnya.

Walaupun bukti menunjukkan bahawa pelayan di China mengumpul beberapa data yang sensitif, para penganalisis berhati-hati mengenai menghubungkan pengintipan dengan kerajaan China. "kata laporan itu.

Walau bagaimanapun, China telah membuat usaha bersepadu sejak tahun 1990-an untuk menggunakan ruang siber untuk kelebihan tentera." Tumpuan Cina terhadap keupayaan siber sebagai sebahagian daripada strategi perang tidak simetris kebangsaan melibatkan sengaja membangun keupayaan yang menghalang keunggulan AS dalam perang dengan arahan dan kawalan, "katanya.

Komputer Tibet Melanggar

Laporan kedua, yang ditulis oleh penyelidik University of Cambridge dan diterbitkan bersamaan dengan kertas Universiti Toronto, kurang berhati-hati, mengatakan bahawa serangan terhadap Pejabat Holiness Dalai Lama (OHHDL) dilancarkan oleh "agen pemerintah China". Pasukan Cambridge menerbitkan laporan mereka, "The Snooping Dragon."

Kajian para penganalisis bermula selepas mereka diberikan akses kepada komputer milik kerajaan Tibet dalam pengasingan, organisasi non-pemerintah Tibet dan pejabat swasta Dalai Lama, yang bersangkutan mengenai kebocoran maklumat sulit, menurut laporan itu.

Mereka mendapati komputer yang dijangkiti dengan perisian jahat yang membolehkan penggodam jauh mencuri maklumat. Komputer dijangkiti selepas pengguna membuka lampiran yang berniat jahat atau mengklik pautan berkaitan yang membawa kepada laman web yang berbahaya.

Laman Web atau lampiran yang berniat jahat akan cuba mengeksploitasi kelemahan perisian untuk mengawal mesin. Dalam satu contoh, e-mel yang berniat jahat telah dihantar ke organisasi yang mempunyai hubungan dengan Tibet dengan alamat kembali "[email protected]" dengan lampiran Microsoft Word yang dijangkiti.

Seperti penganalisis yang memeriksa rangkaian, mereka mendapati bahawa pelayan yang mengumpul data tidak dijamin. Mereka memperoleh akses kepada panel kawalan yang digunakan untuk memantau komputer yang digodam pada empat pelayan.

Panel kawalan tersebut mendedahkan senarai komputer yang dijangkiti, yang jauh melampaui kerajaan Tibet dan NGO. Tiga daripada empat pelayan kawalan terletak di China, termasuk Hainan, Guangdong dan Sichuan. Satu berada di A.S., kata laporan itu. Lima daripada enam pelayan arahan berada di China, dengan baki di Hong Kong.

Laporan Universiti Toronto mengelaskan hampir 30 peratus daripada komputer yang dijangkiti sebagai sasaran "nilai tinggi". Mesin-mesin tersebut tergolong dalam kementerian luar negeri Bangladesh, Barbados, Bhutan, Brunei, Indonesia, Iran, Latvia dan Filipina.

Kumpulan-kumpulan antarabangsa yang dijangkiti termasuk sekretariat ASEAN (Persatuan Negara-Negara Asia Tenggara), SAARC (Persatuan Asia Selatan untuk Kerjasama Serantau) dan Bank Pembangunan Asia; beberapa organisasi berita seperti sekutu U.K. Associated Press; dan komputer NATO yang tidak dikelaskan.

Spotlight on Security Needs

Kehidupan GhostNet menyoroti keperluan untuk perhatian segera terhadap keselamatan maklumat, penganalisis menulis. "Kami dapat dengan hipotesiskan bahawa [GhostNet] bukanlah yang pertama dan bukan satu-satunya."

Penyelidik Cambridge meramalkan bahawa serangan yang sangat disasarkan ini disertakan dengan malware canggih - mereka memanggilnya "malware sosial" akan menjadi lebih besar pada masa akan datang. "Malware sosial tidak mungkin menjadi alat kerajaan," mereka menulis. "Apa yang dilakukan oleh orang Cina pada tahun 2008, penjahat Rusia akan lakukan pada tahun 2010."

Walaupun F-Secure telah melihat hanya beberapa ribu serangan ini setakat ini, mereka sudah menjadi masalah bagi pengguna korporat dalam sektor pertahanan, kata Hypponen. "Kami hanya melihat ini sekarang dengan skala minuscule," katanya. "Jika anda boleh mengambil teknik-teknik seperti ini dan lakukannya secara besar-besaran, tentu saja itu akan mengubah permainan."

(Robert McMillan di San Francisco menyumbang kepada laporan ini)