En gruppe kanadiske forskere har utgitt en rapport om et spionnettverk der minst 1295 kaprede pc-er er brukt til ulike typer spionasje.

Forskergruppen kaller seg Information Warfare Monitor (IWM) og består av forskere fra tenketanken SecDev Group i Ottawa, og fra Munk Centre for International Studies ved University of Toronto. Den har tidligere gjort seg bemerket ved å avsløre at Skype er blitt brukt til å overvåke kinesiske brukere.



I rapporten Tracking GhostNet: Investigating a Cyber Espionage Network, understreker IWM at de ikke har bevis som knytter kinesiske myndigheter til spionnettverket. De sier det kan dreie seg om profittorientert kriminellvirksomhet, eller såkalt «patriotisk hacking» på privat initiativ. Den kinesiske regjeringen avviser enhver innblanding.

Rapporten bygger på informasjon innsamlet over en periode på ti måneder. Arbeidet ble utløst av en henvendelse fra kontorene til den tibetanske eksillederen Dalai Lama, som ville ha IWM til å sjekke om noen hadde infiltrert deres nettverk.

Mens forskerne overvåket tibetanernes pc-er, så de hvordan ondsinnet kode hentet ut dokumenter med følsom informasjon. Etter hvert oppdaget de at virksomheten, som de døpte «Ghostnet», rettet seg mot svært mange land. Datanettverkene til Dalai Lama ble infiltrert i India, Brussel, London og New York.

Det ble funnet spor av Ghostnet i datanettverk tilknyttet utenriksdepartementene i Iran, Bangladesh, Latvia, Indonesia, Filippinene, Brunei, Barbados og Bhutan, samt i ambassader tilhørende India, Sør-Korea, Indonesia, Romania, Kypros, Malta, Thailand, Taiwan, Portugal, Tyskland og Pakistan. Forskerne tror Ghostnet i hovedsak var rettet mot myndigheter og land i Sørøst-Asia.

Amerikanske myndigheter skal ikke være rammet av Ghostnet. Derimot skal en pc tilknyttet internnettet til Nato ha vært overvåket et halvt døgn.

Analyser av datainnbruddene tyder på at virksomheten i hovedsak dreier seg om industrispionasje, og at Ghostnet-opphavene har vært opptatt av å fange opp materiale fra parlamentarikere og store selskaper.

Analyser av den ondsinnede koden som ble installert på de kaprede pc-ene, tyder på at den gjorde det mulig å fjernstyre både webkameraer og mikrofoner, slik at man kunne overvåke og avlytte rommene der pc-ene sto. Forskerne sier de ikke har bevis for at disse mulighetene faktisk ble brukt.

Forskerne har underrettet politimyndigheter i flere land om sine funn, blant dem det amerikanske føderale politiet FBI.

Ifølge New York Times er dette det hittil største avdekkede tilfelle av internasjonal spionasje over et datanettverk. IWM peker på at svært mange regjeringer, blant dem Kina, Russland og USA, kurant bruker avanserte metoder for å sanke informasjon gjennom datanettverk, og at Ghostnet teoretisk sett like godt kan være drevet av CIA.

To britiske forskere ved Cambridge University, Shishir Nagaraja og Ross Anderson, har sett nærmere på materialet avdekket gjennom nettverkene til Dalai Lama, og sammenfattet sine analyser i en uavhengig rapport: The Snooping Dragon: Social Malware Surveillance of the Tibetan Movement. I motsetning til IWM sier de at materialet gir grunnlag for å konkludere at det er kinesiske myndigheter som står bak.

Ghostnet smittet ved målrettede angrep mot spesifikke pc-brukere, som ble lurt til å laste ned vedlegg, eller klikke på lenke i e-post. Det ble avdekket fire kontrollservere i systemet, hvorav tre i kina – Hainan, Guangdong og Sichuan – og en i det sørlige California.