GhostNet

GhostNet wurde von Forschern des Munk Centre für Internationale Studien der Universität Toronto in Zusammenarbeit mit dem Computer-Labor der Universität Cambridge nach 10-monatiger Untersuchung aufgedeckt, und seine Wirkungsweise wurde von der New York Times am 29. März 2009 beschrieben.[1][2] Der Ausgangspunkt der Ermittlungen waren Anschuldigungen der tibetischen Exilgemeinde bezüglich chinesischer Cyber-Spionage gegen sie; die diesbezüglichen Nachforschungen aber resultierten in der Erkenntnis eines weit umfangreicheren Netzes infizierter Geräte.

Das Virus ist imstande, die eingebaute Kamera und die Tonaufzeichnungsfunktionen infizierter Computer zwecks Raumüberwachung in Betrieb zu setzen. Das System befähigt zudem seine Überwacher, Malware an bestimmte Empfänger über die Nutzdaten („Payload“) gestohlener E-Mails und Adressen zu versenden, wodurch das Netz expandiert, indem immer mehr Computer infiziert werden können.[1]
Betroffene [Bearbeiten]

Gehackte Systeme wurden in Botschaften von Indien, Südkorea, Indonesien, Rumänien, Zypern, Malta, Thailand, Taiwan, Portugal, Deutschland und Pakistan sowie in den Außenministerien der Philippinen, des Iran sowie von Bangladesch, Lettland, Indonesien, Brunei, Barbados und Bhutan entdeckt.[3][4]

Bisher wurde jedoch kein Nachweis gefunden, dass auch Regierungsämter der Vereinigten Staaten oder Großbritanniens infiltriert wurden, wenngleich ein NATO-Computer einen halben Tag lang und die Computer der indischen Botschaft in Washington D. C. infiltriert worden waren.[4][5][6]

Es gibt keinen Hinweis darauf, dass offizielle Stellen oder Behörden der Volksrepublik China in dieses Spionage-Netzwerk verstrickt sind bzw. waren. Die chinesische Regierung hat jede Verantwortung von sich gewiesen.[3] Die Ermittler meinen, dass die Spionagetätigkeit entweder eine auf Gewinn ausgerichtete Operation von in China ansässigen Privatleuten sein könnte oder aber von sogenannten „patriotischen Hackern“ herrühre. Es bestehe allerdings sogar die Möglichkeit, dass Nachrichtendienste ganz anderer Länder die Urheber der Attacke sind.[1]
„Bewährte Methoden“ [Bearbeiten]

Für Marc Henauer, der bei der schweizerischen Melde- und Analysestelle Informationssicherung MELANI das operative Lagezentrum leitet, stellt die Entdeckung des Ghostnet keine Überraschung dar. Internetspionage aus dem „nordostasiatischen Raum“ sei seit Jahren ein Problem. Auch wenn bei dieser jüngsten Attacke technisch keine grundlegend neuen Verfahren zum Einsatz gekommen seien, müsse man wachsam bleiben, wird er in einem Zeitungsbericht zitiert[7].
Gh0stRat [Bearbeiten]

Gh0stRat bzw GhostRat ist ein Trojaner für Windows, den chinesische GhostNet-Betreiber dazu verwandten, sich in einige der sensibelsten Computernetze der Welt zu hacken.[8] Es handelt sich um ein Cyber-Spying-Programm. Die Bezeichnung Ratte spielt auf die Fähigkeit der Software als "ferngesteuerter Trojaner" an.

GhostNet versucht, ausgewählten Empfängern Malware via Dateianhänge an E-Mails mit gestohlenen Adressen unterzuschieben, um so weitere Rechner zu infizieren[9]. Derart infizierte Rechner laden sich laut Infowar Monitor (IWM), den Trojaner Gh0stRat herunter, der den Angreifern eine umfassende Echtzeitkontrolle des Rechners erlaubt[10]. Derartige Rechner können durch ihre Hacker gesteuert und beobachtet werden, bis hin zur Möglichkeit, angeschlossene Kameras und Mikrophone einzuschalten und so im Fokus des befallenen Gerätes auch den Standort auszuspionieren.