Genvejsmenu:
S - Indhold
1 - Forside
2 - Aktuelt
3 - Oversigt
4 - Søg

28.10.09   |   kl. 08:44   |   Aktuelt

Forskere afslører gigantisk botnet

En canadisk undersøgelse har afdækket omfanget af det verdensomspændende botnetværk Ghostnet, som den kinesiske stat mistænkes for at stå bag.

Illustration: Jesper Clausen.

Et team af it-sikkerhedseksperter fra Toronto Universitys forskningscenter CitizenLab og tænketanken SecDev har i en minutiøs undersøgelse kortlagt det verdensomspændende botnetværk Ghostnets angrebsmetoder og geografiske udbredelse.

Arbejdet ledte til opdagelsen af et net af mindst 1.295 inficerede maskiner i 103 lande, der styredes fra fire kontrolservere. En lang række ministerier, ambassader og myndigheder i asiatiske, arabiske og europæiske lande var ramt.
Rapportens undersøgelser tog udgangspunkt i den tibetanske eksilregerings mistanke om, at der kunne være trojanske heste i dens it-installationer. Det anslås, at 30 procent af de inficerede pc'er havde høj informationsmæssig værdi og indeholdt følsom og hemmelig information.

Webkamera blev sladrehank

Netværket kaldes af undersøgerne for GhostNet og overtager kontrollen af de inficerede pc'er. Systemet instruerer de inficerede maskiner i at hente flere varianter af trojanske heste, herunder et fjernstyringsprogram, der hedder gh0st RAT. Dette program sætter angribere i stand til fuldstændigt at kontrollere den angrebne maskine i realtid på samme måde som legitime fjernstyringsprogrammer. gh0st RAT er tilgængeligt på nettet og gør det muligt ubemærket at hente og lægge filer på den inficerede maskine samt styre mikrofoner, webkameraer og andre enheder, der er tilsluttet maskinen.
I modsætning til traditionel signalopklaring vanskeliggøres opsporingen af cyberspioner af, at internettet frembyder et utal af muligheder for at gemme sig, udstyre sig selv med falske identiteter og opbygge skjulte og omfattende computernet, der er vanskelige at opdage.

Dalai Lama under angreb

Spredningen af de trojanske heste foregik ved hjælp af det, man på engelsk kalder 'social engineering', idet man afsendte e-mails fra tilsyneladende tilforladelige kilder. Disse e-mails havde en vedhæftet fil, der indeholdt en trojansk hest, der installerede sig på målcomputeren, når den vedhæftede fil åbnedes. Den trojanske hest var designet til at udnytte sikkerhedsmæssige svagheder i software installeret på målcomputeren.
Derefter udfører den trojanske hest et DNS-opslag for at finde sin kontrolserver og opretter derefter en HTTP-forbindelse med serveren, således at trafikken overfladisk betragtet ser ud som vanlig webbrowsing. 70 procent af kontrolserverne bag angrebene fandtes på kinesiske IP-adresser. Mange af servernavnene er konfigureret på dynamiske DNS-tjenester, hvilket vanskeliggør identifikationen. Nogle trojanske heste oprettede forbindelse til PHP-filer på serveren, hvor de opdaterede status for de angrebne maskiner og modtog instrukser om, hvorfra de kunne hente kommandoer ofte skjult i JPEG-billedfiler. Den angrebne maskine oprettede også forbindelse til en anden kontrolserver, hvortil filer blev sendt via HTTP POST.
En anden hovedgruppe af trojanske heste oprettede forbindelse til CGI-filer. Undersøgerne kunne ved hjælp af sniffer-programmet WireShark observere en overførsel af filer i realtid fra en inficeret maskine på Dalai Lamas kontor.

Erobring af kontrolserverne

På grund af dårlig sikkerhed havde undersøgerne held til at skaffe sig adgang til fire kontrolserveres webinterface, der indeholdt tre hovedkomponenter: en liste over alle de maskiner, der har kontaktet kontrolserveren, et kommandointerface, hvorfra kommandoer kan sendes til inficerede maskiner, og et interface med kommandoer, der er sat i kø, og med resultaterne af allerede udførte kommandoer. Kommandolisten omfattede blandt andet kommandoer til at overføre filer, logge tastaturtryk, sætte den trojanske hest i dvaletilstand osv. Ved hjælp af gh0st RAT kunne den angrebne maskine fuldstændigt fjernstyres uden den angrebne operatørs viden.
Nyere versioner af kontrolservernes interface identificerer målmaskinernes IP-adresse gennem en webbaseret WHOIS-service, der også foretager en rudimentær portscanning på maskinen under angreb. Desuden foretages der et geoIP-opslag for at fastslå, i hvilket land målmaskinen opholder sig.
Det viste sig, at kontrolserverne ved hjælp af unikke navne for hver inficeret maskine kunne identificere den pågældende maskine, selvom den skiftede IP-adresse.

Gik i egen fælde

Undersøgerne brugte en såkaldt honey pot – en maskine, der var inficeret med samme spionprogrammer som de ”rigtige”, angrebne maskiner – der hentede gh0st RAT  fra en kontrolserver, hvorefter man i ro og mag kunne overvåge trafikken mellem lokkeduemaskinen og kontrolserverne. De øvrige vigtige redskaber var den dårlige sikkerhed på kontrolserverne, den gratis pakkesniffer WireShark samt de offentligt tilgængelige internet-registre.
På grund af de mange højtprofilerede mål, der potentielt er af interesse for Kina, og på grund af kontrolservernes beliggenhed kunne man fristes til at konkludere, at den kinesiske stat stod bag signalopklaringen, men rapporten advarer mod for hurtige og letkøbte konklusioner, idet det også kan tænkes, at der står overivrige patrioter eller kriminelle netværk bag signalopklaringen. Rapporten gør også opmærksom på, at moderne teknologi i dag muliggør privat signalopklaring, der førhen var forbeholdt statslige efterretningsorganer.

  • De var inficeret

    Ud over den tibetanske eksilregerings maskiner i Indien, London, Bruxelles og New York var flere tibetanske NGO'er ramt, maskiner i udenrigsministerierne for Iran, Bangladesh, Letland, Indonesien, Filippinerne, Brunei, Barbados og Bhutan samt maskiner på ambassader for Indien, Sydkorea, Indonesien, Rumænien, Cypern, Malta, Thailand, Taiwan, Portugal, Tyskland og Pakistan. Derudover var maskiner i ASEANs sekretariat (sammenslutningen af sydøstasiatiske lande), SAARC (den regionale samarbejdsorganisation for Sydøstasien), den Asiatiske Udviklingsbank og en uklassificeret maskine i NATOs hovedkvarter ramt.

  • Læs rapporten her

    www.infowar-monitor.net-ghostnet

    www.tracking-ghost.net.

  • Geografisk tilfælde?

    Det ligner et tilfælde, at en af de vigtigste kinesiske signalopklaringsenheder befinder sig på samme ø som nogle af Ghostnets kontrolservere, nemlig i byen Ling Shui på øen Hainan i Det Sydkinesiske Hav, hvor tredje tekniske afdeling af folkemarinen holder til. Signalopklaringsenheden blev opbygget i 1968 for at overvåge den amerikanske flådes aktiviteter i området. I 1995 blev enheden udbygget og menes at være en vigtig brik i Kinas cyberkrigsførelseskapacitet.

PRINT

Kommentarer

1

29.10.09   |   kl.15:39   |   Thomas Kølle

Lidt underligt at denne artikkel poppede op i min igoogle under Prosa - seneste nyt, så ny er historien jo heller ikke.

Deltag i debatten

CAPTCHA billede for SPAM beskyttelse

Relevante links

 

Skrevet af:

it-konsulent

Niels Frølich

Kommenter artiklen

 

Relaterede artikler

25.06.10. | kl. 13:37 | Aktuelt

Crash-sikker Firefox

22.02.10. | kl. 12:01 | Aktuelt

Verdensomspændende botnet afsløret

17.12.09. | kl. 11:52 | Aktuelt

Google debuterer med databefrielse