Die Entdeckung des Ghostnet ist das Ergebnis beispielhafter Detektivarbeit und forensischer Analyse. Als die IWM-Wissenschaftler mit ihrer Arbeit an einzelnen mit Gh0st Rat infizierten Rechnern begannen und schließlich auf die Ghostnet-Kontrollserver stießen, wussten sie anfangs nicht, was sie erwarten würde.
In ihrem Bericht schreiben die Forscher: „In dieser Phase konnten wir durch die Analyse der Daten aus dem Büro des Dalai Lama webbasierte Administrationsschnittstellen auf dem Kontrollserver finden und auf diese zugreifen. Diese Server enthalten Links zu anderen Command-and-Control-Servern, so dass wir weitere solcher Server ausfindig machen konnten.“
Sobald sie in die Kontrollserver eingedrungen waren, konnten sich die IWM-Wissenschaftler allmählich ein Bild davon machen, wie viele Computer ins Ghostnet eingebunden waren. Der Untersuchungsbericht stellt dazu fest: „Insgesamt fanden wir 1295 infizierte Computer in 103 Ländern. Wir konnten mit Sicherheit 397 der 1295 infizierten Computer (26,7 Prozent) identifizieren und mussten jeden als hochrangiges Ziel einstufen. Das war notwendig, weil sie entweder von großer Bedeutung für die Beziehungen zwischen China und Tibet, Taiwan oder Indien waren oder weil es sich dabei um Computer von Botschaften im Ausland, diplomatischen Missionen, Ministerien oder internationalen Organisationen handelte.“
Weiterführende Informationen
Ein Podcast von Jesse Brown (CBC.ca) mit dem Titel Exposing the world’s biggest cyberspy ring gibt weitere interessante Details. Darin interviewt er Mitglieder des IWM-Teams, die direkt an diesem Projekt beteiligt waren. Ebenfalls empfehlenswert ist der offizielle IWM-Bericht Tracking Ghostnet: Investigating a Cyber Espionage Network. Er enthält eine umfangreiche Schilderung des gesamten Untersuchungs- und Ermittlungsverfahrens. Die Zitate in diesem Artikel sind allesamt diesem Bericht entnommen.
Abschließende Gedanken
Man hat das Gefühl, dass sich das Internet allmählich zu einem Kriegsschauplatz entwickelt. Wie verbreitet ist diese Art der elektronischen Spionage? Wer ist davon betroffen? Oder sollte man eher fragen, wer nicht davon betroffen ist? Das Ganze ist eine ziemlich bedrückende Angelegenheit. Aber dennoch machen Organisationen wie der IWM Hoffnung. Durch ihren unermüdlichen Einsatz machen sie das Internet zu einem sichereren Ort.
Sie nutzen keine Schwachstelle. Stattdessen wird die Kryptobörse ByBit mithilfe manipulierter Benutzeroberflächen und Social Engineering…
Mit Jamming Attacks überlagern Angreifer die legitime Kommunikation, wodurch Nutzer eine Dienstverweigerung erfahren.
Der API-Wildwuchs in Unternehmen ist ein beliebter Angriffsvektor für Cyberattacken, warnt Markus Müller, CTO von…
Bedrohungsakteure setzen häufig auf eine Mobile-First-Strategie. Smartphone-Nutzer werden Opfer von SMS-Phishing, Voice-Phishing, E-Mail-Phishing, App-basiertem Phishing…
DOCKCASE hat den traditionellen Hub mit einem integrierten SSD-Gehäusea auf die nächste Stufe gehoben.
Neue Datenplattform ermöglicht Unternehmen des produzierenden Gewerbes eine bessere Datenqualität und -Erfassung – Kluft zwischen…