Ahora que está tan de moda el espionaje con esto de la película Duplicity, la Universidad de Toronto ha publicado un interesante documento de investigación sobre «GhostNet«, una botnet concebida para un objetivo muy concreto: el espionaje.

A pesar de que la idea original es la de una botnet, su objetivo no es crecer exponencialmente y adquirir más nodos para aumentar su poder, en este caso las víctimas eran tratadas de forma muy personalizada y atendiendo a su importancia. Mientras una botnet puede oscilar entre los 30.000 y más de 100.000 bots, el número de  máquinas infectadas en «GhostNet» es de solo 1.295, una población casi insignificante.

Esta investigación fue efectuada por el «Information Warfare Monitor«, alianza del think tank de seguridad canadiense «DevSec Group», la Universidad de Cambridge y «Citizen Lab«, a raíz de las acusaciones al gobierno chino por ciberespionaje al gobierno tibetano.

Desde junio de 2008 hasta marzo de 2009, fueron auditados los equipos y redes en las distintas oficinas que el gobierno en el exilio del Tibet posee distribuidas en diferentes países. En el análisis de la información obtenida hallaron los interfaces de varios servidores de control y se percataron de que lo que tenían delante era solo la punta del iceberg. Entre los nodos que componen «GhostNet» se hallaban
ordenadores de los ministerios, embajadas y cancillerías de países como
Irán, Alemania, Portugal, India, Estados Unidos, Corea del Sur, etc.
Hasta un total de 103 países fueron contabilizados, aunque solo el 30% del total de nodos fue marcado como objetivos de alto valor.

Las máquinas eran infectadas por un troyano denominado «gh0st RAT» capaz de obtener un control completo del huésped, entre otras posibilidades, apagar y encender dispositivos como cámaras o micrófonos y capturar audio y vídeo. La ingeniería social empleada en el ataque daba a entender que previamente se estudiaba a la víctima aprovechándose de la información capturada a otros infectados y usándola como parte de un engaño donde tanto el asunto como el remitente de un correo electrónico eran conocidos por el receptor.

Aunque el 70% de los servidores del control de la red se sitúan en China y el evidente carácter político de los objetivos, el informe final no responsabiliza directamente al gobierno Chino de la autoría, al contrario que el informe paralelo de la universidad de Cambridge que lo incrimina y relaciona directamente.

Fuente: Hispasec

Be Sociable, Share!