Una investigacion sobre cyber espionaje que tomo 10 meses, ha revelado que hay 1295 computadoras en 103 paises que pertenecen a instituciones internacionales que han estado siendo espiadas, con evidencias que sugieren que el responsable seria China.
El reporte de 53 paginas lanzado el domingo, provee pruebas sustanciales y detalles de las acciones de hackers motivados por razones politicas mientras tambien genera cuastionamientos acerca de su realcion con operaciones de cyber espionaje ordenadas por su gobierno.
Este informe describe una red la cual los investigadores han dado en llamar GhostNet (red fantasma), la cual utiliza principalmente un software malicioso llamado gh0st RAT (Remote Access Tool) para robar documentacion sensible, controlar camaras web y controlar completamente las computadoras infectadas.
El reporte, escrito por analistas del Information Warfare Monitor, un proyecto de investigacion del SecDev Group, y el Munk Center for International Studies de la Universidad de Toronto, menciona:
“GhostNet representa una red de computadoras comprometidas que residen en ubicaciones de alto valor politico, economico y mediatico esparcidas a lo largo de numerosos paises en todo el mundo. Al momento de este reporte, estas organizaciones es casi seguro que desconocen la situacion comprometida en la que se encuentran.”
Los analistas tambien destacaron que no tienen confirmacion alguna sobre si la informacion obtenida ha sido de valor para los hackers o si ha sido vendida a terceros o utilizada para inteligencia.
Espiando desde 2004
La operacion posiblemente comenzo en 2004, año desde el cual los investigadores notaron que estas organizaciones han estado recibiendo emails con archivos adjuntos ejecutables, de acuerdo a lo expresado por Mikko Hypponen, director de investigacion anti virus de F-Secure.
Hypponen, quien ha estado siguiendo los ataques por años, dice que las tacticas de la Red Fantasma han evolucionado considerablemente desde sus inicios,
“Durante los pasados tres años y medio han sido bastante avanzadas y bastante tecnicas.”
Tambien agrego
“Es algo realmente muy bueno el haber descubiero esto ahora, porque ha estado sucediendo por tanto tiempo y nadie le ha prestado atencion.”
Si bien las evidencias muestran que alguna de valiosa informacion ha estado siendo recolectada por servidores en China, los analistan son cautelosos en relacionar el caso de espionaje con el gobierno Chino. Mas bien resaltaron que China tiene una quinta parte de los usuarios de internet de todo el mundo, lo que seguramente incluye a hackers con posiciones politicas que simpatizan con la politica de sugobierno, y que el atribuir todas las operaciones de cyber espionaje al estado Chino seria un error.
Computadoras del Tibet atacadas
Un segundo reporte, escrito por investigadores de la Universidad de Cambridge y publicado junto con el de la Universidad de Toronto, fue menos cauto y aseguro que los ataques en cotra de las oficinas del Dalai Lama fueron lanzados por agentes del gobierno Chino.
La investigacion de estos analistas comenzo al brindarseles acceso a las computadoras pertenecientes al gobierno del Tibet en el exilio, organizaciones tibetanas no gubernamentales y la oficina privada del Dalai Lama, y resulto en el descubrimiento de computadoras infectadas con software malicioso que permitia a hacker apoderarse de informacion.
Estas computadoras resultaron infectadas luego de que usuarios abrieran archivos adjuntos maliciosos o clickearon en enlaces que los llevaron a sitios peligrosos. Estos sitios o archivos adjuntos intentarian luego explotar vulnerabilidades de software para tomar control de la maquina. En un ejemplo, una organizacion pro Tibet recibio un correo electronico con la direccion de “campaign@freetibet.org” con un adjunto en Microsoft Word infectado.
Segun los analistas investigaron la red, descubrieron que los servidores que estaban recolectando la informacion no eran seguros, por lo que ganaron acceso a los paneles de control utilizados para monitorear las computadoras hackeadas en cuatro servidores.
Esos paneles de control revelaron una lista de computadoras infectadas, la cual fue mucho mas alla del gobierno del Tibet y organizaciones no gubernamentales. Tres de los cuatro servidores estaban ubicados en China y uno en los Estados Unidos.
El reporte de la Universidad de Toronto clasifico a casi el 30 por ciento de las computadoras infectadas como blancos de alto valor, al pertenecer a los ministerios de asuntos exteriores de Bangladesh, Barbados, Bhutan, Brunei, Indonesia, Iran, Latvia y las Filippinas.
Tambien se encontraron computadoras infectadas que pertenecen a las embajadas de Chipre, Alemania, India, Indonesia, Malta, Pakistan, Portugal, Rumania, Korea del Sur, Taiwan y Tailandia.
Los grupos internacionales infectado incluyen el secretariado de la ASEAN (Asociacion de naciones del sudeste asiatico), SAARC (Asociacion para cooperacion regional de sur asiatico),el Banco Asiatico de Desarrollo, la filial en el Reino Unido de Associated Press y una computadora no clasificada.
Descubriendo necesidades de seguridad
La existencia de GhostNet resalta la existencia de atencion urgente para asegurar la informacion, ya que los investigadores mencionaron que
“Podemos hipotetizar con seguridad que la GhostNet no es la primera ni la unica red de cyber espinaje de su tipo.”
Los investigadores en Cambridge predicen que este tipo de ataques altamente segmentados junto con malware altamente sofisticado, el cual llamaron “social malware” seran comunes en el futuro, al escribir
“Social malware no permanecera como una herramienta de los gobiernos. Lo que los hackers chinos hicieron en 2008 lo haran los rusos en 2010.”
Mientras F-Secure solamente ha podio descubrir unos pocos miles de estos ataques, ya representan un problema para usuarios corporativos del sector de defensa, pero Hypponen declaro que
“Estamos viendo esto en una escala misnuscula, si se pudieran tomar tecnicas como estas y aplicarlas en una escala masiva, esto causaria un gran cambio en la situacion.”
Fuente
