DESCUBRIMIENTO
Esta red fue descubierta y nombrada de acuerdo a los resultados de 10 meses de investigación por especialistas del Centro Munk para Estudios Internacionales en la Universidad de Toronto, en Canadá. Investigadores del Laboratorio de Computación de la Universidad de Cambridge también contribuyeron a las investigaciones sobre la GhostNet en centros gubernamentales tibetanos. El descubrimiento de esta red de espionaje y los detalles de sus operaciones fueron publicadas por The New York Times el 29 de marzo de 2009. Los investigadores concentraron sus esfuerzos en acusaciones del ciberespionaje Chino en contra de la comunidad exiliada del Tíbet, que aludían a dónde fue robada la correspondencia electrónica y otros datos de importancia. Esto permitió el descubrimiento de una red más grande de computadoras infiltradas.
Los sistemas comprometidos fueron descubiertos en embajadas de la India, Corea del Sur, Indonesia, Rumania, Chipre, Malta, Tailandia, Taiwán, Portugal, Alemania y Pakistán. Sistemas en Ministerios de Asuntos Exteriores de Irán, Bangladesh, Latvia, Indonesia, Filipinas, Brunéi, Barbados y Bután también fueron de alguna manera infiltrados. Sin embargo, no hay evidencia de que sistemas informáticos de oficinas del gobierno de Estados Unidos o del Reino Unido hayan sido comprometidos; a pesar de que una computadora perteneciente a la OTAN fue monitoreada durante medio día, y otras pertenecientes a la embajada de India en Washington sí fueron infiltradas.
Posible relación con el gobierno chino
Los investigadores creen que han encontrado lo que sería una evidencia de acciones tomadas por oficiales del Gobierno de la República Popular China como respuesta a los resultados obtenidos vía ‘GhostNet’. Después de que un diplomático recibiera una invitación vía email a una visita de sus representantes junto al Dalai Lama, oficiales del gobierno de Pekín hicieron una llamada a dicho diplomático retrocediendo la visita. Una mujer fue detenida por oficiales de la Inteligencia China cuando iba camino al Tíbet, los cuáles le mostraron copias de sus conversaciones en Internet.
Mientras que un reporte de investigadores de la Universidad de Cambridge informa que creen que el gobierno chino está detrás de las actividades de GhostNet, los investigadores desde Toronto declararon que no pueden concluir que el gobierno chino es responsable por esta red de espionaje, y aclararon posibilidades alternas como una operación llevada a cabo por ciudadanos comunes en China con ánimos de lucro o por meras razones nacionalistas; o como la de agencias de inteligencia de otros países como Rusia o Estados Unidos. El gobierno chino ha negado cualquier tipo de involucramiento, declarando que China “prohíbe estrictamente cualquier crimen informático”.
Procedimiento del sistema GhostNet
El sistema disemina malware a destinatarios previamente seleccionados desde la misma lista de contactos del usuario, a través de un virus adjunto a los correos electrónicos enviados. Este procedimiento permite ampliar la red infectada, puesto que más y más contactos reciben los correos con el código malicioso. Una vez que esto pasa, una computadora puede ser controlada a distancia por los hackers. El malware también tiene la capacidad de iniciar la cámara o el micrófono de la computadora involucrada, permitiendo también a los hackers monitorear la actividad de las habitaciones donde se encuentran las computadoras mediante canales visuales y auditivos.
Mientras que China sigue sufriendo lo que parecen ataques cibernéticos desde otros países, parece que desde dentro de sus fronteras están haciendo lo mismo pero contra organizaciones no gubernamentales (ONGs) tibetanas. Algunas fuentes sugieren que el nuevo ataque dirigido a usuarios tanto de Mac como de Windows está de alguna manera vinculado a la red Ghostnet, aunque no está ni demostrado ni comprobado.
Este nuevo ataque llega a modo de campaña de spam que pretende explotar una conocida vulnerabilidad de Java (CVE-2011-3544). El objetivo es burlar la seguridad de los usuarios e instalar un troyano. Lo hacen a través de servidores maliciosos que comprueban el User-Agent del navegador para lanzar un Applet Java dirigido específicamente a atacar la vulnerabilidad mencionada. Si la máquina atacada es Windows, ejecuta el Applet default.jar, mientras que si es Linux o Mac OS X se ejecuta index.jar.
Una vez alcanzadada la máquina vulnerable y ejecutado el exploit, instala un troyano con un fichero llamado file.tmp, que se encarga de robar todos los datos del usuario y enviarlos a un servidor remoto. Este persistente troyano (que sigue activo incluso después de reiniciar el equipo) también tiene algunas características que hace sospechar que pudiera pertenecer a una red de botnets, ya que se conecta a un centro de control (C&C), en este caso, al servidor dns.assyra.com.
Para evitar ser víctima de esta nueva amenaza, desde Seguridad Apple nos recomiendan hacer uso de las opciones de Software Update para comprobar si en tuMac OS X está instalada la última versión de Java para Mac OS X, y si no es así, actualizarla inmediatamente. Igualmente, desde el laboratorio de ESET España, Ontinet.com, recomendamos a los usuarios que utilicen software antivirus para protegerse de estas u otras amenazas, ya utilicen Mac, Windows o Linux.
Red de Espionaje Informático “GhostNet” (RedFantasma).
Foto: Grupo de Investigadores que ha descubierto el escándalo - Tim Leyes / The New York Times
Una red de espionaje informático ha logrado penetrar en ordenadores de Gobiernos, embajadas, organizaciones de defensa de los derechos humanos y medios de comunicación, entre otras instituciones, en 103 países, según una investigación de la Universidad de Toronto.
Según el informe divulgado hoy en la red por el “Munk Center for International Studies” de la universidad canadiense no es posible atribuir con certeza la autoría del espionaje de la red que los investigadores denominan “GhostNet” (RedFantasma), aunque precisan que tres de los cuatro servidores de control están en provincias chinas y el cuarto en California (EEUU).
Los autores del informe, un grupo de seguimiento de la ciberdelincuencia denominado “The Information Warfare Monitor” y centrado en el uso de la red como dominio bélico estratégico, trabajan bajo el patrocinio del SecDev Group, una consultora de Otawa especializada en regiones en riesgo de violencia, y el Laboratorio Ciudadano de la Universidad de Toronto. En su opinión, no puede concluirse definitivamente que el espionaje implique al Gobierno chino, pese a que el control del sistema parte de ordenadores en China casi exclusivamente, ya que ue dada el número de internautas chinos le corresponde al país una tasa equivalente de ciberdelincuencia.
http://www.noticias24.com/actualidad/noticia/31361/red-de-ciberpiratas-chinos-habria-penetrado-en-los-servidores-de-cantv/
Escrito por Arantxa Herranz el 31• Marzo• 2009 y tiene 0 comentarios
China no está detrás de la red de ciberspionaje que afecta a 103 países, según aseveró el propio país, que niega así estar detrás de esta trama en la que están implicados varios servidores localizados en el país asiático.
GhostNet, la red que ha comprometido la seguridad de 1,295 computadoras en más de cien países a través de malware y técnicas de ingeniería social, ha sido descrita por el proyecto de investigación Information Warface Monitor de SecDev Group, think tank especializado en el asunto, y con Munk Center for International Studies de la Universidad de Toronto.
“Algunos países están especulando con que haya espías chinos en Internet”, declara el portavoz del Ministerio de Asuntos Exteriores chino, Qin Gang, quien asegura que “estas informaciones son totalmente fabricadas”. Es más, Qin asegura que China se opone a las prácticas de piratería y de ataque de redes y computadoras.
Quienes están detrás de GhostNet han robado documentos de determinadas instituciones internacionales y de ministerios de relaciones exteriores de otros países, según este mismo informe. Los atacantes consiguieron control total sobre las máquinas afectadas, incluso de los micrófonos y Webcams que tuvieran conectados.
En el mencionado informe se remarcaba la atención sobre el cibercrimen en China, que está creciendo en los últimos tiempos.
Mientras que China sigue sufriendo lo que parecen ataques cibernéticos desde otros países, parece que desde dentro de sus fronteras están haciendo lo mismo pero contra organizaciones no gubernamentales (ONGs) tibetanas. Algunas fuentes sugieren que el nuevo ataque dirigido a usuarios tanto de Mac como de Windows está de alguna manera vinculado a la red Ghostnet, aunque no está ni demostrado ni comprobado.
Este nuevo ataque llega a modo de campaña de spam que pretende explotar una conocida vulnerabilidad de Java (CVE-2011-3544). El objetivo es burlar la seguridad de los usuarios e instalar un troyano. Lo hacen a través de servidores maliciosos que comprueban el User-Agent del navegador para lanzar un Applet Java dirigido específicamente a atacar la vulnerabilidad mencionada. Si la máquina atacada es Windows, ejecuta el Applet default.jar, mientras que si es Linux o Mac OS X se ejecuta index.jar.
Una vez alcanzadada la máquina vulnerable y ejecutado el exploit, instala un troyano con un fichero llamado file.tmp, que se encarga de robar todos los datos del usuario y enviarlos a un servidor remoto. Este persistente troyano (que sigue activo incluso después de reiniciar el equipo) también tiene algunas características que hace sospechar que pudiera pertenecer a una red de botnets, ya que se conecta a un centro de control (C&C), en este caso, al servidor dns.assyra.com.
Para evitar ser víctima de esta nueva amenaza, desde Seguridad Apple nos recomiendan hacer uso de las opciones de Software Update para comprobar si en tuMac OS X está instalada la última versión de Java para Mac OS X, y si no es así, actualizarla inmediatamente. Igualmente, desde el laboratorio de ESET España, Ontinet.com, recomendamos a los usuarios que utilicen software antivirus para protegerse de estas u otras amenazas, ya utilicen Mac, Windows o Linux.
