GhostNet (спрощ.: 幽灵网; кит. трад.: 幽靈網; піньїнь: YōuLíngWǎng) — таку назву дали дослідники з Information Warfare Monitor широкомасштабній операції кібершпигунства[1][2] виявленій у березні 2009 року. Ймовірно, ця операція пов'язана з розширеною постійною загрозою або непомітним шпигунським мережевим актором.[3] Його інфраструктура командування та управління базується в основному в Китайській Народній Республіці, а GhostNet проникла у важливі політичні, економічні та медіа-мережі у 103 країнах світу[4]. Комп'ютерні системи, що належать посольствам, міністерствам закордонних справ та іншим державним установам, а також тибетським центрам у вигнанні Далай-лами в Індії, Лондоні та Нью-Йорку, були зламані.
З моменту свого відкриття GhostNet атакував інші урядові мережі, наприклад канадські офіційні фінансові департаменти на початку 2011 року, змушуючи їх переходити в офлайн. Уряди зазвичай не визнають таких атак, які мають бути перевірені офіційними, але анонімними джерелами.[13]
Технічна функціональність
Електронні листи надсилаються цільовим організаціям, які містять контекстно релевантну інформацію. Ці електронні листи містять зловмисні вкладення, відкриття яких дозволяє троянському коню отримати доступ до системи. Цей троян підключається до контрольного сервера, зазвичай розташованого в Китаї, щоб отримувати команди. Потім заражений комп'ютер виконає команду, задану сервером керування. Іноді команда, вказана сервером керування, змушує інфікований комп'ютер завантажувати та інсталювати трояна, відомого як Gh0st Rat, який дозволяє зловмисникам отримати повний контроль у режимі реального часу над комп'ютерами під керуванням Microsoft Windows.[4] Таким комп'ютером можуть керувати або перевіряти зловмисників, а програмне забезпечення навіть має можливість увімкнути функції камери та аудіозапису інфікованих комп'ютерів, дозволяючи зловмисникам здійснювати спостереження.[7]
Походження
Дослідники з IWM заявили, що вони не можуть зробити висновок, що китайський уряд несе відповідальність за шпигунську мережу.[14] Однак у звіті дослідників з Кембриджського університету говориться, що вони вважають, що за вторгненнями, які вони проаналізували в офісі Далай-лами, стоїть китайський уряд.[15]
Дослідники також відзначили ймовірність того, що GhostNet була операцією, якою керували приватні громадяни в Китаї з метою прибутку чи з патріотичних міркувань, або була створена спецслужбами інших країн, таких як Росія чи США.[7] Уряд Китаю заявив, що Китай «суворо забороняє будь-які кіберзлочини».[1][10]
«Звіт Ghostnet» документує кілька непов'язаних інфекцій в організаціях, пов'язаних з Тибетом, на додаток до інфекцій Ghostnet. Використовуючи адреси електронної пошти, надані у звіті IWM, Скотту Джей Хендерсону вдалося відстежити одного з операторів одного із заражень (не Ghostnet) у Ченду. Він ідентифікує хакера як 27-річного чоловіка, який навчався в Університеті електронних наук і технологій Китаю і зараз пов'язаний з китайським хакерським підпіллям.[16]
Попри відсутність доказів, які б визнали уряд Китаю відповідальним за вторгнення цілей, пов'язаних з Тибетом, дослідники з Кембриджа виявили дії китайських урядовців, які відповідали інформації, отриманій через комп'ютерні вторгнення. Один із таких інцидентів стосувався дипломата, на якого тиснув Пекін після того, як він отримав електронною поштою запрошення відвідати Далай-ламу від його представників.[15]
Ще один інцидент трапився з тибетською жінкою, яку допитували офіцери китайської розвідки та показали стенограми її онлайн-розмов.[14][17] Однак є й інші можливі пояснення цієї події. Drelwa використовує QQ та інші месенджери для спілкування з китайськими користувачами Інтернету. У 2008 році IWM виявив, що TOM-Skype, китайська версія Skype, реєструє та зберігає текстові повідомлення, якими обмінюються користувачі. Цілком можливо, що влада Китаю отримала стенограми чатів цим шляхом.[18]
Дослідники IWM також виявили, що після виявлення GhostNet постійно контролюється з IP-адрес, розташованих на острові Хайнань, Китай, і вказали, що Хайнань є домом для об'єкта сигнальної розвідки Lingshui та третього технічного відділу Народно-визвольної армії.[4] Крім того, було виявлено, що один із чотирьох керуючих серверів GhostNet є державний сервер в Китаї[19]