La universidad de Toronto ha publicado un interesante documento de
investigación sobre «GhostNet», una botnet concebida para un objetivo
muy concreto: el espionaje. No estamos ante una botnet con un
crecimiento exponencial y centrado en la adquisición de más nodos para aumentar su poder, en este caso los objetivos eran tratados de forma muy personalizada y atendiendo a su importancia. Mientras una botnet puede oscilar entre los 30.000 y más de 100.000 bots, el número de máquinas infectadas en «GhostNet» es de solo 1.295, una población casi insignificante.
Esta investigación fue efectuada por el «Information Warfare Monitor»,
alianza del think tank de seguridad canadiense «DevSec Group», la
universidad de Cambridge y «Citizen Lab», a raíz de las acusaciones
al gobierno chino por ciberespionaje al gobierno tibetano.
Desde junio de 2008 hasta marzo de 2009, fueron auditados los equipos y redes en las distintas oficinas que el gobierno en el exilio del
Tibet posee distribuidas en diferentes países. En el análisis de la
información obtenida hallaron los interfaces de varios servidores de
control y se percataron de que lo que tenían delante era solo la punta
del iceberg. Entre los nodos que componen «GhostNet» se hallaban
ordenadores de los ministerios, embajadas y cancillerías de países como Irán, Alemania, Portugal, India, Estados Unidos, Corea del Sur, etc. Hasta un total de 103 países fueron contabilizados, aunque solo el 30% del total de nodos fue marcado como objetivos de alto valor.
Las máquinas eran infectadas por un troyano denominado «gh0st RAT» capaz de obtener un control completo del huésped, entre otras
posibilidades, apagar y encender dispositivos como cámaras o micrófonos y capturar audio y vídeo. La ingeniería social empleada en el ataque daba a entender que previamente se estudiaba a la víctima aprovechándose de la información capturada a otros infectados y usándola como parte de un engaño donde tanto el asunto como el remitente de un correo electrónico eran conocidos por el receptor.
Aunque el 70% de los servidores del control de la red se sitúan en China
y el evidente carácter político de los objetivos, el informe final no
responsabiliza directamente al gobierno Chino de la autoría, al
contrario que el informe paralelo de la universidad de Cambridge que lo
incrimina y relaciona directamente.
La información o uno de sus sinónimos, la capacidad de anticiparse al
contrario, se adapta a nuevos medios y soportes y quien la desea o
codicia no va a escatimar en recursos para obtenerla. ¿Echaremos de
menos al hombre de sombrero y gabardina que esquiva la luz de las
farolas en una fría tarde de otoño?
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3809/comentar
Más información:
Tracking Ghostnet: Investigating a Cyber Espionage Network.
http://www.secdev.ca/Secdev-temp/Publications.html
The Snooping Dragon, social-malware surveillance of the Tibetan movement.
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf
Information Warfare Monitor
http://www.infowar-monitor.net
SeMaToVe 