[ 2010-04-06 - Update ]
Mais novidades sobre as atividades de cyber-espionagem com origem na China.
Os investigadores documentam evidências de atividades ligadas a comunidade chinesa (província de Chengdu) de cyber-espionagem que envolveram o comprometimento de instituições Governamentais, Acadêmicas e Comerciais na Índia, Nações Unidas, Embaixada do Paquistão nos Estados Unidos, entre outros.
Foram também recuperados documentos do governo Indiano que vazaram destes alvos, incluindo dois marcados como SECRETOS, seis como RESTRITOS e cinco como CONFIDENCIAL, Além de cerca de 1500 cartas enviadas pelo escritório do Dalai Lama.
Mais informações:
[ 2010-01-13 - Update ]
O Google - através de seu Diretor Jurídico - publicou ontem
um artigo no seu Blog Oficial chamado "
A new approach to China". A empresa divulgou que vários ataques a partir da China têm ocorrido, incluindo
roubo de propriedade intelectual do Google e acesso não autorizado a informações de pessoas de diferentes nacionalidades que lutam a favor dos direitos humanos
. Além disto eles divulgaram que durante a investigação que foi feita, outros setores da economia americana também foram afetados (Internet, Financeiro, Tecnologia, Mídia e Químicos).O Google também anunciou que não irá mais censurar os resultados de pesquisas feitos a partir da China, o que deve gerar problemas para a continuidade empresa na China (google.cn).
Outras 33 empresas - apenas da área de tecnologia - também foram afetadas pelo ataque descrito pelo Google e com técnicas similares ás detalhada no post original abaixo.
[ 2009-10-12 - Update ]
Jornais portugueses divulgam relatório que afirma que informações sensíveis do país foram roubadas pela Ghostnet, incluindo "informação capaz de facultar o acesso a bases de dados do Ministério da Justiça, ficheiros sobre o sistema que gere as eleições em Portugal, documentos da Polícia Judiciária e informação sobre juízes e magistrados".
[ 2009-04-02 - Update ]O americano
Heike, militar aposentado da área de inteligência e especialista em cultura hacker chinesa, publicou em seu blog
The Dark Visitor o resultado de pesquisas de identificação de um dos indivíduos por trás da rede de espionagem "
GhostNet". Até o momento os suspeitos não tem nome, mas já tem nickname (
lost33 & losttemp33), cidade (
Chengdu, Sichuan [google maps]) e universidade ("
University of Electronic Science and Technology of China"
[Google Translate]
[ 2009-03-29 - Post Original ]É crescente a preocupação dos governos com a "
CyberWar", e este é um motivos que motivou vários países a priorizar cada vez mais
ações de Cyber-Segurança.
No sábado passado, pesquisadores da
Universidade de Toronto publicaram um
paper (mirror pdf) (
link original - lento) muito interessante intitulado "
Tracking GhostNet - Investigating a Cyber Espionage Network".
Trata-se de uma investigação conduzida nos últimos 10 meses
a pedido do Dalai Lama, sobre uma suposta espionagem internacional efetuada pela China contra o
Tibet e outros países
O envolvimento oficial do governo não foi inteiramente confirmado (e já foi
negado oficialmente) -
apesar de algumas confissões de hackers chineses no passado (
video cnn) )(principalmente asiáticos) que envolveu 1295 computadores em mais de 100 nações.
O que diferencia este ataque e análise de tantos outros é que 30% dos alvos incluem forças militares, ministérios de relações exteriores, embaixadas, organizações internacionais e jornais de vários países.
A abordagem direcionada dos atacantes, segundo a
F-Secure (traduzida e simplificada por nós), é a seguinte:
1. somente um alvo (do governo ou ONG) recebe um email '
spoofado' de algum conhecido, com texto e anexo (PDF,DOC,PPT ou XLS) que fariam sentido para o alvo e o falso remetente.
2. Como o alvo quase sempre possui alguma
aplicação vulnerável (Adobe Reader, Microsoft Word ou Excel), o anexo malicioso instala um trojan de acesso remoto (
RAT)
, como os seguintes
[ atenção, não siga os próximos links a não ser que saiba o que está fazendo ] Grey Pigeon,
Gh0st Rat (site chinês) e
Poison Ivy.3. A partir daí, o computador do alvo não mais lhe pertence, e sua navegação, emails e documentos podem ser vistos por seus piores adversários, que irão utilizar as palavras chave mapeadas nas máquinas atacadas para enviar emails aparentemente válidos com anexos maliciosos para novos alvos (
1.).
Entre as informações expostas no paper, há evidências documentadas da invasão de computadores que continham informações sensíveis do escritório privado do Dalai Lama e outros alvos Tibetanos.
O paper é dividido em 3 partes:I - Análise de alegações prévias de cyber espionagem pela China e métodos utilizados nesta investigação
II - Detalhamento da condução da investigação - Apresentação de achados.
III - Análise dos achados, implicações e sugestão de explicações alternativas.
Pesquisadores da Universidade de Cambridge, no Reino Unido, publicaram um relatório técnico sobre o mesmo tema (GhostNet), entitulado
The snooping dragon: social-malware surveillance of the Tibetan movement (
pdf).