GhostNet

From FdIwiki ELP
Jump to: navigation, search

GhostNet es el nombre dado por los investigadores del (IWM), Information Warfare Monitor por sus siglas en ingles, a una operación de espionaje cibernético a gran escala descubierta en marzo de 2009. Su infraestructura de comando y control tiene base principalmente en la República Popular de China y se ha infiltrado en ubicaciones políticas, económicas y mediáticas de alto valor en 103 países. Los sistemas informáticos pertenecientes a embajadas, cancillerías y otras oficinas gubernamentales, ciudades como Londres y Nueva York se vieron comprometidos.

Descubrimiento

GhostNet fue descubierto y nombrado después de una investigación de 10 meses por el Information Warfare Monitor (IWM), llevado a cabo después de que los investigadores de IWM se acercaran al representante del Dalai Lama en Ginebra sospechando que se habían infiltrado en su red informática. El IWM está compuesto por investigadores del Grupo SecDev, la consultoría canadiense, Citizen Lab y por el Munk Center for International Studies en la Universidad de Toronto. Los resultados de esta investigación se publicaron en Infowar Monitor, una publicación afiliada. Investigadores de la Universidad de Cambridge's Computer Laboratory, con el apoyo del Institute for Information Infrastructure Protection, también contribuyeron a la investigación en uno de los tres lugares, en Dharamshala, donde se encuentra exiliado el gobierno tibetano. El descubrimiento de la "GhostNet" y los detalles de sus operaciones fueron reportados por The New York Times el 29 de marzo de 2009. Los investigadores se centraron inicialmente en acusaciones de ciberespionaje chino contra la comunidad tibetana en el exilio, tales como la correspondencia por correo electrónico y otros datos.

Se descubrieron sistemas comprometidos en las embajadas de India, Corea del Sur, Indonesia, Rumania, Chipre, Malta, Tailandia, Taiwán, Portugal, Alemania y Pakistán y la oficina del Primer Ministro de Laos. Los ministros de asuntos exteriores de Irán, Bangladesh, Letonia, Indonesia, Filipinas, Brunei, Barbados y Bhután también fueron atacados. No se encontraron pruebas de que las oficinas gubernamentales de los Estados Unidos o el Reino Unido estuvieran infiltradas, aunque se monitoreó un ordenador de la OTAN durante medio día y se infiltraron en los ordenadores de la embajada india en Washington, DC.

Desde su descubrimiento, GhostNet ha atacado otras redes gubernamentales, por ejemplo, departamentos financieros oficiales de Canadá a principios de 2011, forzándolas a estar fuera de línea. Los gobiernos comúnmente no admiten que tales ataques sean verdad.

Como atacaban

Envían correos electrónicos a las organizaciones objetivo que contienen información relevante. Estos correos electrónicos contienen archivos adjuntos maliciosos, que cuando se abren, colocan un archivo troyano en el sistema. Este troyano se conecta nuevamente a un servidor, generalmente ubicado en China, para recibir nuevas ordenes. El ordenador infectado ejecutará las ordenes especificadas por el servidor de control. Ocasionalmente, el comando especificado por el servidor de control hará que el ordenador infectado descargue e instale un troyano conocido como Gh0st Rat que permite a los atacantes obtener control completo y en tiempo real de los ordenadores que ejecutan Microsoft Windows. Este ordenador puede ser controlado o inspeccionado por los atacantes, el troyano incluso tiene la capacidad de activar las funciones de grabación de cámara y audio de los ordenadores infectados, permitiendo que los monitores realicen una vigilancia exhaustiva.

Origen

Los investigadores del IWM declararon que no podían concluir que el gobierno chino fuera el responsable de la red de espionaje. Sin embargo, un informe de investigadores de la Universidad de Cambridge dice que creen que el gobierno chino está detrás de las intrusiones que analizaron en la Oficina del Dalai Lama.

Los investigadores tampoco descartan la posibilidad de que GhostNet sea una operación dirigida por ciudadanos privados en China con fines de lucro desconocidos o por razones patrióticas, o creada por agencias de inteligencia de otros países como Rusia o los Estados Unidos. El gobierno chino ha declarado que China "prohíbe estrictamente cualquier delito cibernético".

El "Informe Ghostnet" documenta varias infecciones no relacionadas en organizaciones relacionadas con el Tíbet además de las infecciones Ghostnet. Al usar las direcciones de correo electrónico provistas por el informe de IWM, Scott J. Henderson logró rastrear a uno de los operadores de una de las infecciones (no Ghostnet) hacia Chengdu. Él identifica al pirata informático como un hombre de 27 años que había asistido a la Universidad de Ciencia y Tecnología Electrónica de China, y actualmente está relacionado con el hacktivismo chino clandestino.

A pesar de la falta de pruebas para identificar al gobierno chino como responsable de las intrusiones contra objetivos relacionados con el Tíbet, los investigadores de Cambridge han encontrado pruebas que relacionan a funcionarios del gobierno chino que se corresponden con la información obtenida a través de intrusiones informáticas. Uno de esos incidentes involucró a un diplomático presionado por Pekín despues de recibir una invitación por correo electrónico para recibir una visita del Dalai Lama de parte de sus representantes.

Otro incidente involucró a una mujer tibetana que fue interrogada por agentes de inteligencia chinos y se le mostraron transcripciones de sus conversaciones.

Sin embargo, hay otras explicaciones posibles para este caso. Drelwa usa QQ y otros sistemas de mensajería instantanea para comunicarse con los usuarios chinos de Internet. En 2008, IWM descubrió que TOM-Skype, la versión china de Skype, estaba registrando y almacenando los mensajes de texto intercambiados entre los usuarios. Es posible que las autoridades chinas hayan adquirido las transcripciones de chat a través de estos medios.

Los investigadores de IWM también descubrieron que, cuando se detecta, GhostNet se controla constantemente desde direcciones IP ubicadas en la isla de Hainan , China, y señaló que Hainan es el hogar de la instalación de inteligencia de señales de Lingshui y del Tercer Departamento Técnico del Ejército Popular de Liberación. Además, se ha revelado que uno de los cuatro servidores de control de GhostNet es un servidor del gobierno Chino.

Véase también

Referencias