Bereits vor einiger Zeit waberte das Thema
GhostNet durch die Medien und wurde jetzt Ende März 2010 einmal mehr aktuell. Auf den Internetseiten der Firma
F-Secure Inc. gibt es zu dieser Thematik ein aktuelles Paper mit dem Titel "
Shadows in the Cloud - Investigating Cyber Espionage 2.0" (PDF, ca. 1 MB). Man hat das
GhostNet weiter analysiert und auch jede Menge interessanter Aspekte gefunden. Unter anderem zum Thema
Cloud Computing. Das Paper existiert zudem auch als Webversion unter
http://shadows-in-the-cloud.net.
Es geht im Allgemeinen um die Problematik des
Cloud Computing. Besser gesagt: Um die Möglichkeiten, die Kriminelle unter anderem nutzen können, um abgegriffene Daten zu speichern. Als Beispiel wird hier das 2009 gefundene und als solches benannte
GhostNet angeführt. Hier sind von 1.295 Computern aus 103 Ländern Informationen abgeflossen. 30% dieser PCs wurden als hochrangige Ziele eingestuft. Unter anderem das Büro des
Dalai Lama oder Computer der
indischen Regierung bzw. der
UN. Nachdem der erste Bericht veröffentlicht wurde, gingen viele der "Kontrollserver" offline, aber lange nicht alle. Daher konnten zum Beispiel auch viele der Briefe aus dem Büro des
Dalai Lama rekonstruiert werden. Vermutungen von vielen Seiten gingen diesbezüglich ja Richtung
China, da hier viele dieser "Kontrollserver" beheimatet waren.
Ausgewertet hat man in den weiteren Untersuchungen nun die Punkte
- DNS Sinkholing
- Malware Analysis
- Command and Control Server Topography
- Victim Identification
- Data Recovery
In den folgenden Kapiteln des Papers wird beschrieben, wie man genau vorgegangen ist und was man alles berücksichtigt hat. Unter anderem stand einer der Server auch in
Deutschland, der Rest allerdings in den
USA. Untersucht wird auch der Punkt des "Patriotic Hacking". Alles in allem ein Paper, das sich Interessierte durchaus mal durchlesen sollten. Zumal die Links im Anhang auch recht umfangreich sind. Der Großteil davon frei verfügbar im Netz.
Links zum Thema:
