โกสต์เน็ต

GhostNet ( ภาษาจีนตัวย่อ :幽灵网; ภาษาจีนตัวเต็ม :幽靈網; พินอิน : YōuLíngWǎng ) เป็นชื่อที่นักวิจัยจากInformation Warfare Monitor ตั้งให้กับปฏิบัติการ สอดแนมทางไซเบอร์ขนาดใหญ่ที่ถูกค้นพบในเดือนมีนาคม พ.ศ. 2552 ^{[ 1 ]}^{[ 2 ]}ปฏิบัติการนี้น่าจะเกี่ยวข้องกับภัยคุกคามขั้นสูงที่คงอยู่หรือผู้กระทำการเครือข่ายที่สอดแนมโดยไม่ถูกตรวจพบ^{[ 3 ]}โครงสร้างพื้นฐานการสั่งการและควบคุมส่วนใหญ่อยู่ในสาธารณรัฐประชาชนจีนและ GhostNet ได้แทรกซึมเข้าไปในสถานที่ทางการเมือง เศรษฐกิจ และสื่อที่มีมูลค่าสูง^{[ 4 ]}ใน 103 ประเทศ ระบบคอมพิวเตอร์ของสถานทูตกระทรวงการต่างประเทศ และสำนักงานรัฐบาลอื่นๆ รวมถึง ศูนย์ลี้ภัย ของดาไลลามะ ในทิเบตที่อินเดีย ลอนดอน และนิวยอร์กซิตี้ ต่างก็ถูกบุกรุก

การค้นพบ

GhostNet ถูกค้นพบและตั้งชื่อหลังจากการตรวจสอบเป็นเวลา 10 เดือนโดยInfowar Monitor (IWM) ซึ่งดำเนินการหลังจากนักวิจัยของ IWM ติดต่อตัวแทนของดาไลลามะ ในเจนีวา ^{[ 5 ]}เนื่องจากสงสัยว่าเครือข่ายคอมพิวเตอร์ของพวกเขาถูกแทรกซึม^{[ 6 ]} IWM ประกอบด้วยนักวิจัยจาก The SecDev Group และบริษัทที่ปรึกษาของแคนาดา และCitizen Lab , Munk School of Global Affairsที่มหาวิทยาลัยโทรอนโตผลการวิจัยได้รับการตีพิมพ์ในInfowar Monitorซึ่งเป็นสิ่งพิมพ์ในเครือ^{[ 7 ]}นักวิจัยจากห้องปฏิบัติการคอมพิวเตอร์ของมหาวิทยาลัยเคมบริดจ์ซึ่งได้รับการสนับสนุนจาก สถาบันเพื่อการปกป้องโครงสร้าง พื้นฐานสารสนเทศ^[⁸^]ยังมีส่วนร่วมในการตรวจสอบที่หนึ่งในสามแห่งในดารัมชาลาซึ่งเป็นที่ตั้งของรัฐบาลพลัดถิ่นของทิเบต การค้นพบ 'GhostNet' และรายละเอียดการดำเนินงานของมัน ได้รับการรายงานโดยThe New York Timesเมื่อวันที่ 29 มีนาคม พ.ศ. 2552 ^[⁷^]^[⁹^]ในตอนแรก ผู้ตรวจสอบมุ่งเน้นไปที่ข้อกล่าวหาเรื่องการจารกรรมทางไซเบอร์ของจีนต่อ ชุมชน ชาวทิเบตพลัดถิ่นเช่น กรณีที่มีการดึงข้อมูลการติดต่อทางอีเมลและข้อมูลอื่นๆ ออกมา^[¹⁰^]

มีการค้นพบระบบ ที่ถูกบุกรุกในสถานทูตของอินเดีย เกาหลีใต้ อินโดนีเซีย โรมาเนีย ไซปรัส มอลตา ไทยไต้หวันโปรตุเกสเยอรมนีและปากีสถานรวมถึง สำนักงานนายกรัฐมนตรีของลาวกระทรวงการต่างประเทศ ของอิหร่านบังกลาเทศลัตเวียอินโดนีเซียฟิลิปปินส์บรูไนบาร์เบโดส และ ภูฏาน ก็ตกเป็นเป้าหมายเช่นกัน[ 1 ] [ 11 ] ^ไม่^พบ^{หลักฐาน}^ว่า^{สำนักงาน}^{รัฐบาล}สหรัฐฯหรือสหราชอาณาจักรถูกแทรกซึม แม้ว่าคอมพิวเตอร์ของนาโตจะถูกตรวจ สอบเป็นเวลาครึ่งวัน และคอมพิวเตอร์ของสถานทูตอินเดียในวอชิงตัน ดี.ซี. ก็ถูกแทรกซึม^[⁴^]^[¹¹^]^[¹²^]

นับตั้งแต่การค้นพบ GhostNet ได้โจมตีเครือข่ายของรัฐบาลอื่นๆ เช่น หน่วยงานการเงินของรัฐบาลแคนาดาในช่วงต้นปี 2554 ทำให้ไม่สามารถใช้งานได้ รัฐบาลมักจะไม่ยอมรับการโจมตีดังกล่าว ซึ่งต้องได้รับการยืนยันจากแหล่งข้อมูลที่เป็นทางการแต่ไม่เปิดเผยตัวตน^{[ 13 ]}

ฟังก์ชันการทำงานทางเทคนิค

อีเมลจะถูกส่งไปยังองค์กรเป้าหมายซึ่งมีข้อมูลที่เกี่ยวข้องกับบริบท อีเมลเหล่านี้มีไฟล์แนบที่เป็นอันตราย ซึ่งเมื่อเปิดแล้วจะทำให้ม้าโทรจัน สามารถ เข้าถึงระบบได้ ม้าโทรจันนี้จะเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ควบคุม ซึ่งโดยปกติจะตั้งอยู่ในประเทศจีน เพื่อรับคำสั่ง จากนั้นคอมพิวเตอร์ที่ติดเชื้อจะดำเนินการตามคำสั่งที่ระบุโดยเซิร์ฟเวอร์ควบคุม ในบางครั้ง คำสั่งที่ระบุโดยเซิร์ฟเวอร์ควบคุมจะทำให้คอมพิวเตอร์ที่ติดเชื้อดาวน์โหลดและติดตั้งม้าโทรจันที่เรียกว่าGh0st Ratซึ่งช่วยให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ใช้Microsoft Windows ได้อย่างสมบูรณ์แบบเรียล ไท ม์ ^{[ 4 ]}ผู้โจมตีสามารถควบคุมหรือตรวจสอบคอมพิวเตอร์ดังกล่าวได้ และซอฟต์แวร์นี้ยังมีความสามารถในการเปิดใช้งานฟังก์ชันกล้องและการบันทึกเสียงของคอมพิวเตอร์ที่ติดเชื้อ ทำให้ผู้โจมตีสามารถทำการสอดแนมได้^{[ 7 ]}

ต้นทาง

นักวิจัยจาก IWM ระบุว่าพวกเขาไม่สามารถสรุปได้ว่ารัฐบาลจีนเป็นผู้รับผิดชอบเครือข่ายสอดแนม^{[ 14 ]}อย่างไรก็ตาม รายงานจากนักวิจัยที่มหาวิทยาลัยเคมบริดจ์ระบุว่าพวกเขาเชื่อว่ารัฐบาลจีนอยู่เบื้องหลังการแทรกแซงที่พวกเขาได้วิเคราะห์ที่สำนักงานของดาไลลามะ^{[ 8 ]}

นักวิจัยยังตั้งข้อสังเกตถึงความเป็นไปได้ที่ GhostNet อาจเป็นปฏิบัติการที่ดำเนินการโดยพลเมืองเอกชนในประเทศจีนเพื่อผลกำไรหรือเพื่อเหตุผลรักชาติ หรือสร้างขึ้นโดยหน่วยงานข่าวกรองจากประเทศอื่น เช่น รัสเซียหรือสหรัฐอเมริกา^{[ 7 ]}รัฐบาลจีนระบุว่าจีน "ห้ามอาชญากรรมทางไซเบอร์ทุกประเภทอย่างเด็ดขาด" ^{[ 1 ]}^{[ 10 ]}

รายงาน "Ghostnet Report" บันทึกการติดเชื้อที่ไม่เกี่ยวข้องกันหลายกรณีในองค์กรที่เกี่ยวข้องกับทิเบต นอกเหนือจากการติดเชื้อ Ghostnet แล้ว โดยใช้ที่อยู่อีเมลที่ให้ไว้ในรายงาน IWM สก็อตต์ เจ. เฮนเดอร์สัน สามารถติดตามผู้ดำเนินการติดเชื้อรายหนึ่ง (ที่ไม่ใช่ Ghostnet) ไปยังเมืองเฉิงตูได้เขาระบุว่าแฮ็กเกอร์เป็นชายอายุ 27 ปีที่เคยศึกษาที่มหาวิทยาลัยวิทยาศาสตร์และเทคโนโลยีอิเล็กทรอนิกส์แห่งประเทศจีนและปัจจุบันเชื่อมโยงกับกลุ่มแฮ็กเกอร์ใต้ดินของ จีน ^{[ 15 ]}

แม้จะไม่มีหลักฐานที่แน่ชัดว่ารัฐบาลจีนเป็นผู้รับผิดชอบต่อการบุกรุกเป้าหมายที่เกี่ยวข้องกับทิเบต แต่นักวิจัยที่เคมบริดจ์ก็พบการกระทำของเจ้าหน้าที่รัฐบาลจีนที่สอดคล้องกับข้อมูลที่ได้รับจากการบุกรุกคอมพิวเตอร์ เหตุการณ์หนึ่งดังกล่าวเกี่ยวข้องกับนักการทูตที่ถูกกดดันจากปักกิ่งหลังจากได้รับอีเมลเชิญเข้าพบดาไลลามะจากตัวแทนของเขา^{[ 8 ]}

เหตุการณ์อีกเหตุการณ์หนึ่งเกี่ยวข้องกับหญิงชาวทิเบตคนหนึ่งที่ถูกเจ้าหน้าที่หน่วยข่าวกรองจีนสอบสวนและถูกแสดงบันทึกการสนทนาออนไลน์ของเธอ^{[ 14 ]}^{[ 16 ]}อย่างไรก็ตาม ยังมีคำอธิบายอื่นๆ ที่เป็นไปได้สำหรับเหตุการณ์นี้ Drelwa ใช้QQและโปรแกรมส่งข้อความโต้ตอบแบบทันทีอื่นๆ เพื่อสื่อสารกับผู้ใช้อินเทอร์เน็ตชาวจีน ในปี 2551 IWM พบว่า TOM-Skype ซึ่งเป็น Skype เวอร์ชันภาษาจีน ได้บันทึกและจัดเก็บข้อความที่แลกเปลี่ยนระหว่างผู้ใช้ เป็นไปได้ว่าทางการจีนได้รับบันทึกการสนทนาผ่านช่องทางเหล่านี้^{[ 17 ]}

นักวิจัยของ IWM ยังพบว่าเมื่อตรวจพบ GhostNet จะถูกควบคุมอย่างสม่ำเสมอจากที่อยู่ IP ที่ตั้งอยู่บนเกาะไห่หนานประเทศจีน และชี้ให้เห็นว่าไห่หนานเป็นที่ตั้งของศูนย์ข่าวกรองสัญญาณหลิงสุ่ยและกรมเทคนิคที่สามของกองทัพปลดปล่อยประชาชนจีน^{[ 4 ]}ยิ่งไปกว่านั้น เซิร์ฟเวอร์ควบคุมหนึ่งในสี่ของ GhostNet ยังถูกเปิดเผยว่าเป็นเซิร์ฟเวอร์ของรัฐบาล^{[ 18 ]}

ดูเพิ่มเติม

ลิงก์ภายนอก

กลุ่ม SecDev
ห้องปฏิบัติการพลเมือง (Citizen Lab)ที่มหาวิทยาลัยโทรอนโต
การติดตาม GhostNet: การสืบสวนเครือข่ายจารกรรมทางไซเบอร์ (รายงาน Infowar Monitor (SecDev และ Citizen Lab), 29 มีนาคม 2552)
F-Secureสำเนารายงานฉบับ PDF
เครื่องมือตรวจสอบสงครามข้อมูล - การติดตามแสนยานุภาพทางไซเบอร์ (มหาวิทยาลัยโทรอนโต ประเทศแคนาดา/ศูนย์มังค์)
ทวิตเตอร์: อินโฟวอร์มอนิเตอร์
เคลลี่, แคธัล (31 มีนาคม 2552). "รหัสของสายลับไซเบอร์อยู่แค่ปลายนิ้วคลิก - การค้นหาใน Google ง่ายๆ ก็พบลิงก์ไปยังซอฟต์แวร์ของโปรแกรม Ghost Rat ที่ใช้โจมตีรัฐบาล" . โทรอนโต สตาร์ (แคนาดา) . โทรอนโต, ออนแทรีโอ, แคนาดา. สืบค้นเมื่อ4 เมษายน 2552 .
ลี, ปีเตอร์ (8 เมษายน 2552). "การปะทะกันทางไซเบอร์บนยอดเขาสูงของโลก" . เอเชียไทมส์ออนไลน์ . เก็บถาวรจากต้นฉบับเมื่อวันที่ 10 เมษายน 2552 . สืบค้นเมื่อ9 เมษายน 2552 .
บอดเมอร์, คิลเกอร์, คาร์เพนเตอร์ และ โจนส์ (2012). การหลอกลวงแบบย้อนกลับ: การตอบโต้การฉวยโอกาสจากภัยคุกคามทางไซเบอร์แบบเป็นระบบ. นิวยอร์ก: McGraw-Hill Osborne Media. ISBN 0071772499, ISBN 978-0071772495

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[

[

[

ว่า

[

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]