Ghostnet

Keyfacts: 

  • entdeckt: März 2009
  • sicher aktiv seit: unbekannt
  • letzte Neu-Infektion: Anfang 2011
  • Verbreitung: 1295 Computer in 103 Ländern, Computer von Banken, Botschaften, Außenministerien und anderen Regierungsstellen, NATO, Computer der tibetanischen Exilzentren
  • Infektions/Replikationswege: modifizierte E-Mails, Installation des Trojaners Gh0stRAT für die eigentliche Spionage-Funktionalität
  • Hautpziel: gezielte Spionage
  • vermutliche Herkunft: China, Insel Hainan, (auch Standort der Lingshui signals intelligence Einrichtung und der dritten technischen Abteilung der PLA)

Relevante Dokumente:

0329-for-X-SPYweb

 

Quelle: Information warfare monitor, Graphik aus New York Times

GhostNet ist ein elektronisches Spionagevirus, vermutlich aus China eingeschleust, das zum Zeitpunkt der Aufdeckung mindestens 1295 Computer in 103 Ländern infiltriert hatte. Computer von Banken, Botschaften, Außenministerien und anderen Regierungsstellen und mindestens einer der NATO, sowie Computer der tibetanischen Exilzentren des Dalai Lama in Indien, Brüssel, London und New York City wurden infiziert. Gehackte Systeme wurden in Botschaften von Indien, Südkorea, Indonesien, Rumänien, Zypern, Malta, Thailand, Taiwan, Portugal, Deutschland und Pakistan sowie in den Außenministerien der Philippinen, des Iran sowie von Bangladesch, Lettland, Indonesien, Brunei, Barbados und Bhutan entdeckt.

GhostNet wurde von Forschern des Munk Centre für Internationale Studien der Universität Toronto in Zusammenarbeit mit dem Computer-Labor der Universität Cambridge nach 10-monatiger Untersuchung aufgedeckt, und seine Wirkungsweise wurde von der New York Times am 29. März 2009 beschrieben. Der Ausgangspunkt der Ermittlungen waren Anschuldigungen der tibetischen Exilgemeinde bezüglich chinesischer Cyber-Spionage gegen sie; die diesbezüglichen Nachforschungen ergab, dass viel mehr Geräte infiziert bzw. gezielt angegriffen worden waren.

 Das Virus ist imstande, die eingebaute Kamera und die Tonaufzeichnungsfunktionen infizierter Computer zwecks Raumüberwachung in Betrieb zu setzen. Das System befähigt zudem seine Überwacher, Malware an bestimmte Empfänger über die Nutzdaten („Payload“) gestohlener E-Mails und Adressen zu versenden, wodurch das Netz expandiert, in dem immer mehr Computer infiziert werden können. (Quelle: Wikipedia)