I et år fulgte kinesiske hackere med i, hvad Dalai Lama, Tibets eksil-leder, skrev i sine emails. Nu fortæller en rapport, hvordan amerikanske og canadiske forskere overvågede kinesernes luren.
Overvågningen af de it-kriminelle er "et fint, velkoordineret arbejde," siger den danske sikkerhedsekspert Peter Kruse fra it-sikkerhedsfirmaet Csis.
Det er forskere fra Information Warfare Monitor samt frivillige it-detektiver fra Shadowserver Foundation, der i en rapport fortæller om et hackernetværk, som de har navngivet ”Shadow Network”. Hackerne har ifølge rapporten base i den kinesiske storby Chengdu, men de kan ikke påvise, at spionerne har forbindelse til den kinesiske regering. Hovedfokus for spionagen har været asiatiske lande. Af de 139 inficerede computere, forskerne har dokumenteret, var 62 placeret i Indien. Nogle var også placeret i Vesten, blandt andet fandt forskerne 14 inficerede computere i USA.
Peter Kruse understreger, at der ikke er beviser for, at den kinesiske stat står bag spionagen.
"Der er rigig mange mennesker i Kina og mange dygtige hackere. Mange har deres egne små forretninger og tjener fine penge på det. Det behøver ikke være statsstøttet spionage. Mange af kineserne er også patrioter, og derfor er det ikke overraskende, at Tibet og Dalai Lama er mål," siger it-sikkerhedseksperten.
Men Kina kan godt stå bag.
"Når det er sagt, skal man ikke undervurdere den magt, Kina vil få over de næste år. Kina har det rette fokus og ved godt, at det at uddanne mennesker til at kunne udføre hackerangreb er et godt våben at have. Det er der flere andre lande, der gør. Det er blandt andet Nordkorea og USA, ved vi," fortsætter han.
Foruden Dalai Lamas emails har spionerne fået adgang til hemmelige informationer fra indiske firmaer, forskere og myndigheder, blandt andet diplomatisk hemmeligstemplet korrespondance. Spionerne har desuden fået adgang til informationer om indiske våbensystemer. Det drejer sig om missilsystemet Pechora, missilsystemet Iron Dome og artilleriprojektet Shakti. Rapporten fortæller, at der allerede er offentlig tilgængelig information om disse våbensystemer, men at ”det indikerer, at angriberne har fået adgang til individer, der har hemmelig viden om disse systemer.”
For at få fat på dokumentation mod hackerne har forskerne brugt forskellige tekniske metoder. Efterforskerne benyttede metoden "DNS sink holing". Denne metode går ud på at finde domæner, som hackere tidligere har benyttet som command and control servere, men af en eller anden årsag stoppet med at bruge. Ved at overtage disse domæner, kan efterforskere opsnappe information, som inficerede computere stadig sender til hackernes gamle domæner. På den måde får efterforskere viden om hackernes værktøjer og ofre.
Forskerne har også undersøget spionernes malware, der mestendels var filer med endelserne PDF, DOC, PPT, og EXE. Forskerne fik også fat på stjålne dokumenter, blandt andet ved at få adgang til ”drop zones”, hvor hackerne automatisk deponerede deres bytte.
For at kunne følge spionernes arbejde helt tæt på, fik efterforskerne lov til at overvåge computere, der tilhørte Dalai Lamas kontor. Her fik efterforskerne øje på en computer, der var inficeret og havde kontakt med en command and control server. Via Lamaens firewall overvågede de internettrafikken og fandt en anden computer, der også var inficeret og kommunikerede med den samme spionserver. I laboratoriet analyserede forskerne den information, som de inficerede computere ufrivilligt udvekslede med hackernetværket. Sådan kunne forskerne skabe et overblik over hackernes metoder.
Peter Kruse mener, at forskerne har udført et fint stykke arbejde, hvor de har brugt allerede kendte og nyttige metoder til at overvåge de it-kriminelle.
"Til gengæld er det interessant, at de bliver mere og mere idealiserede på den måde, at de bekæmper det onde med midler, som måske er på kanten med loven. Det kan for eksempel være at få adgang til en command and control server ved at omgå en validering, eksempelvis brugernavn og password i forbindelse med en webapplikation. Det er ulovligt ifølge både dansk og amerikansk lovgivning," siger Peter Kruse.
Han fortæller, at de private organisationer og netværk, der står bag den aktuelle rapport, ikke har lov til at bryde loven, men at forskellige landes efterretningsvæsener kan få lov til det i nogle situationer.
Rapporten beviser ikke, at dokumenterne nødvendigvis alle er nappet fra indiske myndigheder. De kan være hugget fra private computere. Desuden har spionerne via de indiske myndigheder fået adgang til informationer om rejseplaner for diplomater fra andre lande.
”Det handler ikke blot om, at du kun er så sikker, som det svageste led i dit eget netværk,” siger en af undersøgerne, Rafal Rohozinski, til New York Times.
”I en sammenkoblet verden er du kun så sikker, som det svageste led i den globale informationskæde,” fortsætter han.
Rapporten er opfølger til sidste års rapport af nogle af de samme forskere, der for et år siden afslørede et lignende kinesisk hackernetværk, Ghostnet. Da forskerne for et år siden fortalte om den kinesiske spionage, gik flere af spionernes servere offline, fortæller den nye rapport. Forskerne forsøgte derefter at fortsætte deres efterforskning af kinesiske hackere. Det nye netværk, Shadow Network, er tilsyneladende ikke identisk med Ghostnet, men minder om.
