GhostNet ist ein elektronischer Spionagevirus, vermutlich aus China eingeschleust, das zum Zeitpunkt der Aufdeckung mindestens 1295 Computer in 103 Ländern infiltriert hatte. Computer von Banken, Botschaften, Außenministerien und anderen Regierungsstellen und mindestens einer der NATO, sowie Computer der tibetischen Exilzentren des Dalai Lama in Indien, Brüssel, London und New York City wurden infiziert.[1]

Aufdeckung

Bearbeiten

GhostNet wurde von Forschern des Munk Centre für Internationale Studien der Universität Toronto in Zusammenarbeit mit dem Computer-Labor der Universität Cambridge nach 10-monatiger Untersuchung aufgedeckt, und seine Wirkungsweise wurde von der New York Times am 29. März 2009 beschrieben.[1][2] Der Ausgangspunkt der Ermittlungen waren Anschuldigungen der tibetischen Exilgemeinde bezüglich chinesischer Cyber-Spionage gegen sie; die diesbezüglichen Nachforschungen ergaben, dass viel mehr Geräte infiziert bzw. gezielt angegriffen worden waren.

Der Computervirus ist imstande, die eingebaute Webcam und die Tonaufzeichnungsfunktionen infizierter Computer zwecks Raumüberwachung in Betrieb zu setzen. Das Virus befähigt zudem einen Angreifer, Malware an bestimmte weitere Empfänger per E-Mail über den infizierten Rechner zu versenden, wodurch das Netz expandiert, indem Computer im Kommunikations-Umkreis des befallenen Rechners infiziert werden können.[1]

Betroffene

Bearbeiten

Gehackte Systeme wurden in Botschaften von Deutschland, Indien, Südkorea, Indonesien, Rumänien, Zypern, Malta, Thailand, Taiwan, Portugal und Pakistan sowie in den Außenministerien der Philippinen, des Iran sowie von Bangladesch, Lettland, Indonesien, Brunei, Barbados und Bhutan entdeckt.[3][4]

Bisher wurde jedoch kein Nachweis gefunden, dass auch Regierungsämter der Vereinigten Staaten oder Großbritanniens infiltriert wurden, wenngleich ein NATO-Computer einen halben Tag lang und die Computer der indischen Botschaft in Washington, D.C. infiltriert worden waren.[4][5][6]

Es gibt keine offiziellen Hinweise darauf, dass öffentliche Stellen oder Behörden der Volksrepublik China in dieses Spionage-Netzwerk verstrickt sind bzw. waren. Die chinesische Regierung hat jede Verantwortung von sich gewiesen.[3] Die Ermittler meinen, dass die Spionagetätigkeit entweder eine auf Gewinn ausgerichtete Operation von in China ansässigen Privatleuten sein könnte oder aber von sogenannten „patriotischen Hackern“ herrühre. Es bestehe allerdings sogar die Möglichkeit, dass Nachrichtendienste ganz anderer Länder die Urheber der Attacke sind.[1]

„Bewährte Methoden“

Bearbeiten

Für Marc Henauer, der bei der schweizerischen Melde- und Analysestelle Informationssicherung MELANI das operative Lagezentrum leitet, stellt die Entdeckung des GhostNet keine Überraschung dar. Internetspionage aus dem „nordostasiatischen Raum“ sei seit Jahren ein Problem. Auch wenn bei dieser jüngsten Attacke technisch keine grundlegend neuen Verfahren zum Einsatz gekommen seien, müsse man wachsam bleiben, wird er in einem Zeitungsbericht zitiert[7].

Gh0stRat

Bearbeiten

Gh0stRat bzw. GhostRat ist ein Trojaner für Windows, den chinesische GhostNet-Betreiber dazu verwandten, sich in einige der sensibelsten Computernetze der Welt zu hacken.[8] Es handelt sich um ein Cyberspionage-Programm. Die Bezeichnung „Rat“ ist eine Abkürzung für den englischen Begriff Remote Administration Tool, welcher häufig mit trojanischen Pferden in Verbindung gebracht wird.

GhostNet versucht, ausgewählten Empfängern über infizierte Rechner eine Malware mittels Dateianhang unterzuschieben, um so weitere Rechner zu infizieren.[9] Derart infizierte Rechner laden sich laut Infowar Monitor (IWM), den Trojaner Gh0stRat herunter, der den Angreifern eine umfassende Echtzeitkontrolle des Rechners erlaubt.[10] Derartige Rechner können durch ihre Hacker gesteuert und beobachtet werden, bis hin zur Möglichkeit, angeschlossene Kameras und Mikrophone einzuschalten und so im Fokus des befallenen Gerätes auch den Standort auszuspionieren.

„Ghostnet klingt wie etwas, was John le Carré erdichten würde.“

Jewgenij Mozorow: The Fog of Cyberwar, April 2009[11]

Einzelnachweise

Bearbeiten
  1. a b c d Vast Spy System Loots Computers in 103 Countries, The New York Times, 28. März 2009. Abgerufen im 29. März 2009 
  2. Charmaine Noronha: Researchers: Cyber spies break into govt computers, Associated Press, 29. März 2009 
  3. a b Major cyber spy network uncovered, BBC News, 29. März 2009 
  4. a b Canadians find vast computer spy network: report, Reuters, 28. März 2009. Abgerufen im 29. März 2009 
  5. Spying operation by China infiltrated computers: Report (Memento des Originals vom 1. April 2009 im Internet Archive), The Hindu, 29. März 2009. Abgerufen am 29. März 2009 
  6. ‘World’s biggest cyber spy network’ snoops on classified documents in 103 countries, The Times, 29. März 2009 
  7. Der Spion, der aus der Datenleitung kam: Hacker-Attacken aus China nutzen bewährte Techniken. In: Neue Zürcher Zeitung. vom 1. April 2009
  8. Cyberspies’ code a click away – Simple Google search quickly finds link to software for Ghost Rat program used to target governments. In: Toronto Star. Toronto, Ontario, Canada 31. März 2009 (online [abgerufen am 4. April 2009]).
  9. Vast Spy System Loots Computers in 103 Countries, The New York Times, 28. März 2009. Abgerufen am 29. März 2009 
  10. Chinese hackers ‘using ghost network to control embassy computers’, The Times, 29. März 2009 
  11. The Fog of Cyberwar: NATO military strategists are waking up to the threat from online attacks. (Memento vom 2. Mai 2009 im Internet Archive) In: Newsweek. vom 27. April 2009)
Bearbeiten

Gh0stRat

Bearbeiten