GhostNet

GhostNet הוא שמה של פרשת פריצה והשתלטות מרחוק על לפחות 1,295 מחשבים ב-103 מדינות, כרבע מהם, החזיקו מידע רגיש. מקור הפריצה וההשתלטות זוהה ברפובליקה העממית של סין. פרשה זו נחשפה בשלהי חודש מרץ 2009.

גילוי[עריכת קוד מקור | עריכה]

פרשה זו התגלתה וכונתה בשם זה על ידי חוקרים מאוניברסיטת טורונטו שבקנדה יחד עם חוקרים מאוניברסיטת קיימברידג'. תחילת פרשה זו לאחר שעלה חשד כי גופי הביון הסינים מחזיקים תכתובות דואר אלקטרוני ומידע רב על פעילותם של הדלאי למה ושל ארגונים שונים של הקהילה הטיבטית הגולה. בעקבות כך עלה חשד כי השלטונות הסינים הצליחו לחדור למחשביהם של הדלאי למה ושל גופים טיבטים, ומשם מקור המידע. החוקרים שבדקו את המחשבים החשודים, גילו כי הם חלק קטן מקבוצה גדולה יותר של מחשבים שנפרצה על ידי קבוצה שמקורה בסין.

גופים שמחשביהם נפרצו[עריכת קוד מקור | עריכה]

בין המחשבים שנפרצו מחשבי שגרירויות ומשרדי החוץ של מדינות רבות, ביניהם: הודו, אינדונזיה, קוריאה הדרומית, קפריסין, רומניה, מלטה, תאילנד, טאיוואן, גרמניה, פקיסטן, פורטוגל, איראן, בנגלדש, לטביה, הפיליפינים, בהוטן, בורונדי וברבדוס. עד לסוף מרץ לא נמצאה הוכחה לחדירה למחשבים של גופים מארצות הברית, אנגליה וישראל.

מעורבות אפשרית של הממשל הסיני בפריצה[עריכת קוד מקור | עריכה]

החוקרים טוענים כי הם מצאו עדויות לפיהם נעשה שימוש על ידי גורמים ממשלתיים סיניים במידע שהגיע מהמחשבים שנפרצו, לדוגמה ניסיון של דיפלומטים סיניים למנוע ביקור של אישים שונים שקיבלו הזמנה לביקור מהדלאי למה. במקרה נוסף נאסרה בסין אשה שבאה לביקור בטיבט, ובמהלך חקירתה הראו לה החוקרים הסיניים חלקים מתכתובת המייל האישית שלה.

בעוד החוקרים מאוניברסיטת קיימברידג' משוכנעים כי הממשל הסיני עומד מאחורי הפריצה, החוקרים מאוניברסיטת טורונטו סבורים כי אין מספיק הוכחות למעורבות של הממשל הסיני בפרשה, וכי ייתכן שמאחורי הפריצה עומדים קבוצות אזרחים סיניות הפועלות ממניעים כלכליים או פטריוטים, או אף על ידי גופי ביון ממדינות אחרות.

טכניקת הפריצה וההשתלטות[עריכת קוד מקור | עריכה]

הפריצה הראשונית הייתה כנראה למחשבי אחד הארגונים הטיבטים, ולאחר הפריצה וההשתלטות עליהם הם שימשו מקור לשליחת מיילים אליהם צורף קובץ זדוני לצורך פריצה לגופים רבים אחרים. הפריצה בוצעה באמצעות קובץ סטנדרטי מסוג Doc, Xls, Ppt או Pdf שנוסף למייל שנשלח מהמחשבים הפרוצים, והכיל בתוכו קוד זדוני שניצל פרצת אבטחה בתוכנה הקוראת את הקובץ, ובאמצעותה הצליחה תוכנה זדונית ('רושעה') להפעיל את עצמה ולהשתלט על מחשב הנמען.

המייל נשלח כביכול על ידי אדם המוכר לנמען, אך למעשה נשלח על ידי מי שהשתלט על המחשב, תוך שהוא מנצל את ההיכרות בין המכותב המדומה לנמען, היכרות היוצרת מצג שווא של אמינות המייל והקובץ המצורף אליו. (דרך פעולה זו מכונה 'הנדסה חברתית') דרך נוספת שננקטה על מנת ליצור אמינות למייל המזויף הייתה ניסוח קפדני וזהיר של תוכן המייל, ומתן שם תמים ככל האפשר לקובץ המצורף.

לאחר ההשתלטות על המחשב יצרה הרושעה קשר עם מחשבים שונים בסין, שיכלו באמצעותה להשתלט מרחוק על המחשב ולקרוא את המידע שבתוכו, להתקין בו תוכניות זדוניות נוספות ולתת הוראות המשך לרושעה. חלק מיכולות הרושעה היו להשתלט על מצלמת אינטרנט ועל מיקרופון שהיו מחוברים למחשב הנשלט, ולשדר באמצעותם את המתרחש במקום בו ממוקם המחשב הנשלט למחשב השולט.

הרושעה שבה השתמשו על מנת להשתלט על המחשבים הייתה בעיקר גרסה של תוכנת הסוס הטרויאני הסינית 'Gh0st RAT', אך לעיתים היה שימוש גם בתוכנות השתלטות נוספות.

קישורים חיצוניים[עריכת קוד מקור | עריכה]

• הדו"ח הציבורי של חוקרי אוניברסיטת טורונטו על GhostNet (באנגלית).
• האקרים פרצו לארגונים ב-103 מדינות - קפטן אינטרנט.