Jaringan Mendeteksi Komputer Mendalam Menyentuh 103 Negara

Penyelidikan cyberpageage 10 bulan telah menemukan bahwa 1295 komputer di 103 negara dan milik lembaga internasional telah dimata-matai, dengan beberapa bukti tidak langsung yang menunjukkan China mungkin harus disalahkan.

Laporan 53 halaman, dirilis pada hari Minggu, menyediakan beberapa bukti dan detail paling menarik dari upaya peretas yang bermotif politik sambil mengajukan pertanyaan tentang hubungan mereka dengan operasi cyberspying yang disetujui pemerintah.

Ini menggambarkan jaringan yang oleh para peneliti disebut GhostNet, yang terutama menggunakan program perangkat lunak berbahaya yang disebut gh0st RAT (Alat Akses Jarak Jauh) untuk mencuri dokumen sensitif, mengontrol kamera web dan sepenuhnya mengendalikan komputer yang terinfeksi.

[Bacaan lebih lanjut: Cara menghapus

"GhostNet mewakili jaringan komputer yang dikompromikan yang bertempat tinggal di lokasi politik, ekonomi, dan media bernilai tinggi yang tersebar di berbagai negara di seluruh dunia," kata laporan tersebut, yang ditulis oleh analis dari Information Warfare Monitor, sebuah penelitian proyek Grup SecDev, sebuah think tank, dan Pusat Munk untuk Studi Internasional di Universitas Toronto. "Pada saat penulisan, organisasi-organisasi ini hampir pasti tidak menyadari situasi yang dikompromikan di mana mereka menemukan diri mereka."

Para analis memang mengatakan, bagaimanapun, mereka tidak memiliki konfirmasi jika informasi yang diperoleh telah menjadi berharga bagi para peretas. atau apakah telah dijual secara komersial atau diwariskan sebagai intelijen.

Memata-matai Sejak 2004

Operasi mungkin dimulai sekitar tahun 2004, para peneliti keamanan waktu melihat bahwa banyak dari lembaga-lembaga ini yang dikirim pesan e-mail palsu dengan file yang dapat dieksekusi. melekat pada mereka, menurut Mikko Hypponen, direktur riset antivirus di F-Secure. Hypponen, yang telah melacak serangan selama bertahun-tahun, mengatakan bahwa taktik GhostNet telah berkembang pesat dari hari-hari awal. "Selama tiga setengah tahun terakhir ini sudah cukup maju dan cukup teknis."

"Sungguh bagus untuk melihat sorotan pada benda ini saat ini, karena sudah berlangsung begitu lama dan tidak ada yang memperhatikan, "tambahnya.

Meskipun bukti menunjukkan bahwa server di China mengumpulkan beberapa data sensitif, para analis berhati-hati tentang menghubungkan mata-mata dengan pemerintah Cina. Sebaliknya, Cina memiliki seperlima pengguna internet di dunia, yang mungkin termasuk peretas yang memiliki tujuan yang selaras dengan posisi politik resmi China.

"Mengaitkan semua malware China pada operasi pengumpulan intelijen yang disengaja atau ditargetkan oleh negara China adalah salah dan menyesatkan, "Namun, kata laporan.

Namun, China telah melakukan upaya bersama sejak tahun 1990-an untuk menggunakan dunia maya untuk keuntungan militer" Fokus Cina pada kemampuan dunia maya sebagai bagian dari strategi peperangan asimetris nasional melibatkan dengan sengaja mengembangkan kemampuan yang menghindari superioritas AS di peperangan perintah-dan-kontrol, "katanya.

Komputer Tibet Terganggu

Laporan kedua, yang ditulis oleh para peneliti Universitas Cambridge dan diterbitkan bersama dengan makalah Universitas Toronto, kurang berhati-hati, mengatakan bahwa serangan terhadap Kantor Yang Mulia Dalai Lama (OHHDL) diluncurkan oleh "agen pemerintah Cina." Tim Cambridge memberi judul laporan mereka, "The Snooping Dragon."

Penelitian para analis dimulai setelah mereka diberikan akses ke komputer milik pemerintah Tibet di pengasingan, organisasi nonpemerintah Tibet dan kantor pribadi Dalai Lama, yang peduli tentang kebocoran informasi rahasia, menurut laporan.

Mereka menemukan komputer yang terinfeksi perangkat lunak berbahaya yang memungkinkan peretas jauh untuk mencuri informasi. Komputer menjadi terinfeksi setelah pengguna membuka lampiran berbahaya atau mengklik tautan yang mengarah ke situs Web berbahaya.

Situs Web atau lampiran jahat kemudian akan mencoba untuk mengeksploitasi kerentanan perangkat lunak untuk mengendalikan mesin. Dalam satu contoh, e-mail berbahaya dikirim ke organisasi yang berafiliasi Tibet dengan alamat pengirim "[email protected]" dengan lampiran Microsoft Word yang terinfeksi.

Ketika analis memeriksa jaringan, mereka menemukan bahwa server yang mengumpulkan data tidak diamankan. Mereka memperoleh akses ke panel kontrol yang digunakan untuk memantau komputer yang diretas pada empat server.

Panel kontrol tersebut mengungkapkan daftar komputer yang terinfeksi, yang jauh melampaui pemerintah Tibet dan LSM. Tiga dari empat server kontrol berada di Cina, termasuk Hainan, Guangdong dan Sichuan. Satu berada di AS, kata laporan itu. Lima dari enam server komando berada di China, dengan yang tersisa di Hong Kong.

Laporan Universitas Toronto diklasifikasikan hampir 30 persen dari komputer yang terinfeksi sebagai target "bernilai tinggi". Mesin-mesin itu milik kementerian luar negeri Bangladesh, Barbados, Bhutan, Brunei, Indonesia, Iran, Latvia dan Filipina. Juga terinfeksi adalah komputer milik kedutaan Siprus, Jerman, India, Indonesia, Malta, Pakistan, Portugal, Rumania, Korea Selatan, Taiwan dan Thailand.

Kelompok internasional yang terinfeksi termasuk sekretariat ASEAN (Asosiasi Negara-negara Asia Tenggara), SAARC (Asosiasi Asia Selatan untuk Kerja Sama Regional) dan Bank Pembangunan Asia; beberapa organisasi berita seperti afiliasi U.K. dari Associated Press; dan komputer NATO yang tidak diklasifikasikan.

Sorotan pada Kebutuhan Keamanan

Keberadaan GhostNet menyoroti perlunya perhatian mendesak terhadap keamanan informasi, tulis para analis. "Kami dapat dengan aman berhipotesis bahwa itu [GhostNet] bukan yang pertama maupun satu-satunya dari jenisnya."

Para peneliti Cambridge memprediksi bahwa serangan yang sangat ditargetkan ini dibundel dengan malware canggih - mereka menyebutnya "malware sosial" - akan menjadi lebih umum di masa depan. "Malware sosial tidak mungkin tetap menjadi alat pemerintah," tulis mereka. "Apa yang dilakukan mata-mata Cina pada tahun 2008, penjahat Rusia akan dilakukan pada tahun 2010."

Sementara F-Secure hanya melihat beberapa ribu serangan sejauh ini, mereka sudah menjadi masalah bagi pengguna korporat di sektor pertahanan, kata Hypponen.. "Kami hanya melihat ini sekarang dalam skala sangat kecil," katanya. "Jika Anda bisa mengambil teknik seperti ini dan melakukannya dalam skala besar, tentu saja itu akan mengubah permainan."

(Robert McMillan di San Francisco berkontribusi pada laporan ini)