lunedì 30 marzo 2009

GhostNet botnet, cyber spionaggio su vasta scala

In questi giorni sono apparsi numerosi articoli in rete al riguardo della botnet GhostNet, che si distingue non tanto per il numero di PC compromessi ma perche' quasi tutte le macchine colpite sarebbero utilizzate da enti governativi di svariati paesi o dagli uffici del Dalai Lama tibetano in esilio
In pratica una sorta di operazione di cyber spionaggio su vasta scala i cui dettagli possiamo scoprire sul documento che riporta i risultati ottenuti da ricercatori canadesi
Qui un link al testo del report

Il report presenta il risultato di ricerche durate parecchi mesi e che erano iniziate per una analisi di possibili azioni di hacking hai danni di computers appartenenti alla comunita' tibetana in esilio, ma il cui risultato finale e' stato la scoperta di una piu' ampia rete di computer compromessi che e' stata denominata GhostNet.

Si tratta a tutti gli effetti di una rete botnet che ci ricorda, come funzionamento le note e diffuse botnet, come ad esempio la Waledac, (uso di mails con allegato file malware)

ma che questa volta, pur avendo ridotte dimensioni, si distingue per gli attacchi mirati a specifici computers con contenuti definiti dai ricercatori come “with a high degree of confidence” ossia contenenti dati riservati e confidenziali.

L'indagine eseguita da ricercatori di Ottawa del SecDev Group e del Munk Centre for International Studies dell'University of Toronto ha portato alla luce un numero di almeno 1.295 computer, molti appartenenti a ambasciate, ministeri degli Affari esteri e di altri uffici governativi, cosi' come alcuni appartenenti agli uffici del Dalai Lama tibetano in esilio (in India, Bruxelles, Londra e New York).

Significantly, close to 30% of the infected computers can be considered high-value and include the ministries of foreign affairs of Iran, Bangladesh, Latvia, Indonesia, Philippines, Brunei, Barbados and Bhutan; embassies of India, South Korea, Indonesia, Romania, Cyprus, Malta, Thailand, Taiwan, Portugal, Germany and Pakistan; the ASEAN (Association of Southeast Asian Nations) Secretariat, SAARC (South Asian Association for Regional Cooperation), and the Asian Development Bank; news organizations; and an unclassified computer located at NATO headquarters.

Come si legge, altri computer compromessi sono stati scoperti presso le ambasciate di India, Corea del Sud, Indonesia, Romania, Cipro, Malta, Thailandia, Taiwan, Portogallo, Germania e Pakistan.

Tra i vari computer compromessi risultano ad esempio quelli appartenenti alle Embassy of India, Italy e Embassy of Malaysia, Italy. , come si puo' vedere dal report delle macchine colpite, presente sul documento.



E' chiaro che attraverso un sistema del genere , e con uno sforzo minimo, chi vuole disporre di informazioni riservate, puo' trovare una fonte di dati aggiornata, esaminando sia i contenuti dei pc compromessi nella botnet ma anche,e come pare sia successo, tenendo sotto controllo il traffico di dati generato ad esempio da una chat attiva sul pc sotto sorveglianza...

Ecco quanto scritto sul report al riguardo di un fatto accaduto nel periodo delle indagini sulla botnet

........................................Durante il corso della nostra ricerca, siamo stati informati di quanto segue.
Un membro del Drewla (progetto correlato ad attivita' di propaganda sul Tibet), una giovane donna, ha deciso di tornare al suo villaggio, in famiglia in Tibet dopo aver lavorato per due anni per Drewla.
Arrestata al confine nepalese-tibetano per un provvedimento di fermo e tenuta in isolamento per due mesi e' stata interrogata sulla sua occupazione a Dharamsala.
Ha negato di essere stata politicamente attiva ed ha insistito sul fatto che lei si era recata a Dharamsala per gli studi.
In risposta a cio', i funzionari dell'intelligence gli hanno mostrato un fascicolo con trascrizioni della sua chat Internet ........
In seguito e' stata rilasciata ed e' tornata al suo villaggio..........

Per quanto si riferisce all'attribuzione di chi controlli realmente la botnet, anche se ad esempio il caso precedente farebbe pensare ad una origine cinese dei controllori della rete GhostNet, bisogna pero' evidenziare che non ci sono prove concrete che sia cosi'.

Una possibile spiegazione potrebbe essere anche quella di un singolo individuo o un insieme di individui (reti criminali) che hanno organizzato questo sistema per attuare il furto di informazioni finanziarie o confidenziali poi vendute ai clienti, che, non e' da escludere potrebbero anche appartenere ad intelligence di singoli stati.
Inoltre vi sono innumerevoli esempi di frodi su larga scala e di furto di dati in tutto il mondo e non si puo' scartare le iniziative autonome di hackers che attuino questi attacchi come 'sostegno' al proprio paese.

In ogni caso il potenziale di ricaduta politica e' enorme specie in riferimento alla tipologia dei siti colpiti e questo studio prova che la sicurezza delle informazioni e' un punto che richiede urgente attenzione ai piu' alti livelli.

Edgar

Alcuni riferimenti a GhostNet

http://www.f-secure.com/weblog/archives/00001637.html

http://www.nytimes.com/2009/03/29/technology/29spy.html

http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf

Nessun commento: