ghost net - گوست نت

جزئیات بیشتر در مورد گوست نت:

* وجود این شبکه به صورت علمی ثابت شده که آلودگی آن حداقل در 1295 رایانه از 103 کشور جهان ثبت شده. نزدیک به 30% این رایانه ها در مراکز پراهمیت دیپلماتیک، سیاسی، اقتصادی و نظامی قرار دارند.

* شواهد نفوذ گسترده گوست نت در دفاتر و مراکز اطلاعاتی تبت و وابستگاه دالای لاما ثبت شده است.

* مستند سازی و مهندسی معکوس عملکرد سیستم گوست نت – شامل بردارها، هدفها، نحوه انتقال و بازیابی اطلاعات و سیستم کنترل از راه دور آن – شبکه ای بسیار پیچیده و غیر قابل کشف را تصویر می سازد که قادر است کنترل کامل رایانه های هدف را در دست بگیرد.

* موج گسترده ای از دستگیری ها در تبت توسط نیروهای اطلاعاتی دولتی چین انجام شده. بسیاری از دستگیر شدگان در بازجویی با اطلاعاتی مواجه شدند که حاوی کلیه مکاتبات، گپ های اینترنتی و گاه مکالمات صوتی و ویدئویی آنها در اینترنت طی چند سال اخیر بوده است.

* مطالعات به صورت بررسی موضوعی از رایانه های تبت آغاز شده بود. تحقیقات ابتدا به صورت یک پروژه علمی بود که به درخواست مراجع تبتی توسط محققیق secdev روی رایانه های آنها انجام شد. این تحقیقات شامل کنترل کلیه ورود و خروج اطلاعات و شناسایی نقاط ضعف امنیتی این رایانه ها بود. تحقیقات از ژوئن 2008 شروع شد و گزارش نهایی آن دیروز (29 مارس 2009) منتشر شده است.

* تحقیقات اولیه به صورت نصب نرم افزار کنترل ارسال و دریافت اطلاعات شروع شد. این نرم افزار کلیه ارتباطات، اطلاعات ارسال شده و مقصد اطلاعات را ثبت می نمود. جمع آوری اطلاعات منجر به کشف چهار سرور کنترل و شش سرور صدور فرمان شد. سرورها موقعیت یابی و محاصره شدند، سپس با کنترل کلیه تماسهای دریافت شده توسط آن سرورها فهرست کامل تری از رایانه های آلوده شده به دست آمد.

* اطلاعات به صورت کاملاً رمز نویسی شده در قالب فایلهای شبه گرافیکی منتقل می شده. ویروس روی کامپیوتر آلوده شده بدون هیچ نشانهء خاصی فعال شده و موقعیت خود را به سرور کنترلی اعلام می نماید. سپس سرور کنترلی کد ارتباطی خاصی را به ویروس مخابره و ویروس با استفاده از آن کد ارتباطی، دستوراتی را از سرور فرمان دانلود و اجرا می نماید. با استفاده از این روش ویروس کلیه فایلها و ارتباطات رایانه را مونیتور، ضبط و مخابره می نماید. بر اساس موقعیت و محل رایانهء آلوده شده، نوع فرمان، نوع اطلاعات مورد جستجو و مخابره شده متفاوت بوده است.

* محققان برای ردیابی نحوه انتقال اطلاعات، نامه های تقلبی و فایلهای قابل ردیابی خاصی را روی رایانه های مشکوک قراردادند و سپس اطلاعات ارسال شده توسط رایانه را بررسی نمودند. نامه های درج شده با اختلاف زمانی بسیار اندکی توسط بد-افزار (malware) اسکن، رمز نویسی و ارسال نمود.

* در مرحله بعدی با استفاده از یک رایانه به صورت طعمه، بد-افزارها از سرور دانلود واجرا شدند. اطلاعات دریافت و ارسال شده از این رایانهء طعمه، بیست و شش سرور مختلف را نشان داد که همگی به صورت کنترل از راه دور فرمان می گرفته اند. این سرورها سپس به سرورهای دیگری که شامل چهار سرور کنترلی و شش سرور فرمان/کنترل بودند، متصل می شوند.

* بد-افزار نصب شده روی رایانهء قربانی، ضمن اعلام آمادگی به سرور کنترلی، کلیه آدرسهای ایمیل ضبط شده در تاریخچه ها و دفترچه تلفنهای داخل رایانه را بازیابی و به سرور کنترلی ارسال می نماید. سرور کنترلی با ارسال یک ایمیل تقلبی به ایمیل های بازیابی شده و با آدرس فرستنده ای از همان فهرست، فایل pdf یا word خاصی را ارسال می نماید که در زمان دانلود شدن تبدیل به یک فایل قابل اجرا شده (exe) و دریافت کنندهء جدید را آلوده می نماید.

* بد-افزار بعد از آلوده سازی و اعلام آمادگی، یک نسخه از نرم افزار ghost-Rat را دانلود و اجرا می نماید. این نرم افزار قادر است کلیه امکانات و اطلاعات داخل رایانه را از طریق یک رابط کاربر روی رایانه ای دیگر در اختیار کاربر دیگری قرار دهد. به این ترتیب هکر قادر است به کلیه اطلاعات داخل رایانهء قربانی دستیابی پیدا کند، آنها را کپی کند، دستکاری کند یا حذف کند. همچنین کلیه پورتهای ارتباطی مانند میکروفون، دوربین (وب کم)، اسکنر و... را قابل کنترل از راه دور می سازد.

* ردیابی ارتباطات برقرار شده روی سرورهای مظنون ارتباط آنها با 1295 رایانهء آلوده شده را در 103 کشور مختلف فاش کرد. 397 عدد از این رایانه های در مراکز حساس قرار گرفته اند. 536 رایانه از اینترنت پرسرعت و نامحدود استفاده می نمودند و بقیه رایانه های آلوده به دلیل استفاده از آی-پی موقت قابل شناسایی یا طبقه بندی نبوده اند.

* فهرست رایانه های آلوده شامل سازمان ها و ارگانهایی از قبیل:

- آسه آن

- بانک توسعه آسیا

- آسوشیتد پرس

- تلویزیون ونزوئلا

- وزارت امور خارجه اندونزی

- وزارت امور خارجه فیلیپین

- وزارت امور خارجه بنگلادش، باربادوس، بوتان، برونئی، لاتویا

- وزارت امور خارجه ایران

 - وزارت ارتباطات برونئی

- دفتر نخست وزیر لائوس

- شبکه دانشگاهی روسیه

- بیش از سی سفارت خانه از کشورهای مختلف (در کشورهای مختلف) – بطور عمده سفارت هندوستان، مالزی، مالتا، رومانی و تایوان در کشورهای مختلف از قبلی انگلستان، آمریکا، ایتالیا، کوبا و...

* بد-افزار نصب شده، پس از اسکن و تخلیه کلیه اطلاعات مفید مورد توجه سرور فرمان، اطلاعات و رکوردهای دریافت و ارسال شده را پاک نموده و سپس خود را نیز از آن رایانه پاک می نماید. بطوری که هیچ ردی از آلودگی و سرقت اطلاعات از خود بجا نمی گذارد.

* این موضوع که دقیقا چه افراد یا گروهی از اطلاعات سرقت شده استفاده می کنند، هنوز مشخص نشده است.