Die Entdeckung des Ghostnet ist das Ergebnis beispielhafter Detektivarbeit und forensischer Analyse. Als die IWM-Wissenschaftler mit ihrer Arbeit an einzelnen mit Gh0st Rat infizierten Rechnern begannen und schließlich auf die Ghostnet-Kontrollserver stießen, wussten sie anfangs nicht, was sie erwarten würde.
In ihrem Bericht schreiben die Forscher: „In dieser Phase konnten wir durch die Analyse der Daten aus dem Büro des Dalai Lama webbasierte Administrationsschnittstellen auf dem Kontrollserver finden und auf diese zugreifen. Diese Server enthalten Links zu anderen Command-and-Control-Servern, so dass wir weitere solcher Server ausfindig machen konnten.“
Sobald sie in die Kontrollserver eingedrungen waren, konnten sich die IWM-Wissenschaftler allmählich ein Bild davon machen, wie viele Computer ins Ghostnet eingebunden waren. Der Untersuchungsbericht stellt dazu fest: „Insgesamt fanden wir 1295 infizierte Computer in 103 Ländern. Wir konnten mit Sicherheit 397 der 1295 infizierten Computer (26,7 Prozent) identifizieren und mussten jeden als hochrangiges Ziel einstufen. Das war notwendig, weil sie entweder von großer Bedeutung für die Beziehungen zwischen China und Tibet, Taiwan oder Indien waren oder weil es sich dabei um Computer von Botschaften im Ausland, diplomatischen Missionen, Ministerien oder internationalen Organisationen handelte.“
Weiterführende Informationen
Ein Podcast von Jesse Brown (CBC.ca) mit dem Titel Exposing the world’s biggest cyberspy ring gibt weitere interessante Details. Darin interviewt er Mitglieder des IWM-Teams, die direkt an diesem Projekt beteiligt waren. Ebenfalls empfehlenswert ist der offizielle IWM-Bericht Tracking Ghostnet: Investigating a Cyber Espionage Network. Er enthält eine umfangreiche Schilderung des gesamten Untersuchungs- und Ermittlungsverfahrens. Die Zitate in diesem Artikel sind allesamt diesem Bericht entnommen.
Abschließende Gedanken
Man hat das Gefühl, dass sich das Internet allmählich zu einem Kriegsschauplatz entwickelt. Wie verbreitet ist diese Art der elektronischen Spionage? Wer ist davon betroffen? Oder sollte man eher fragen, wer nicht davon betroffen ist? Das Ganze ist eine ziemlich bedrückende Angelegenheit. Aber dennoch machen Organisationen wie der IWM Hoffnung. Durch ihren unermüdlichen Einsatz machen sie das Internet zu einem sichereren Ort.
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.
Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…