Analitycy zaangażowani w projekt badawczy Information Warfare Monitor, utworzony w ramach SecDev Group oraz naukowcy z uniwersytetu w Toronto w czerwcu 2008 r. podjęli wysiłki mające rozwiać wątpliwości na temat domniemanej działalności chińskich hakerów wymierzonej w mieszkańców Tybetu, a nawet samego dalajlamę (jak pamiętamy, w marcu 2008 r. wybuchła tam fala protestów przeciw chińskiej polityce w regionie). Pierwszy etap prac polegał na gromadzeniu informacji, drugi - na ich analizie.

Greg Walton z Information Warfare Monitor i Shishir Nagaraja z Uniwersytetu w Cambridge na zaproszenie biura dalajlamy odwiedzili latem ub. roku placówkę organizacji w Indiach, aby sprawdzić doniesienia o domniemanych włamaniach na komputery. Po przybyciu na miejsce stwierdzili, że miały one rzeczywiście miejsce - pecety były bowiem zainfekowane złośliwym oprogramowaniem. Walton po powrocie do Toronto podzielił się spostrzeżeniami z kolegami z IWM. Jeden z nich, Nart Villeneuve, w plikach tworzonych przez złośliwe programy wykrył dziwny ciąg 22 znaków - przeszukanie Google'a skierowało go na trop grupy komputerów na wyspie Hainan (ulokowano tam bazę chińskiego wywiadu oraz niektóre jednostki armii) oraz strony WWW. To ostatnie odkrycie, jak się potem okazało, było kluczowe dla dalszych badań. Był to bowiem serwis kontrolujący zainfekowane komputery, który - jak czytamy w raporcie - umożliwiał napastnikowi (napastnikom) wysyłanie instrukcji do kontrolowanych pecetów i otrzymywanie z nich danych".

Strona nie była zabezpieczona hasłem. Dzięki temu badacze odkryli listę niemal 1,3 tys. pecetów zainfekowanych i pracujących w ramach sieci GhostNet, wśród któych zidentyfikowali maszyny należące do ministerstw spraw zagranicznych takich państw jak Łotwa, Indonezja, Filipiny, Iran; ambasad Korei Południowej, Indii, Rumunii, Tajlandii, Tajwanu, Portugalii, Niemiec, Portugalii; organizacji ASEAN (Stowarzyszenie Narodów Azji Południowo-Wschodniej); Azjatyckiego Banku Rozwoju oraz NATO.

Ukryty microchip do szpiegowania w każdym komputerze?
Wszystkie komputery na dzisiejszym rynku są złożone z komponentów wyprodukowanych w Chinach. A każde z urządzeń jest potajemnie wyposażone w ukryty microchip, który może zostać użyty przez chiński wywiad wojskowy - twierdzi Robert Edinger, były agent FBI. Czy jest to kolejna teoria spiskowa, czy powód do lęku o nasze bezpieczeństwo?

Na komputery, nad którymi hakerzy przejęli kontrolę, pobierany był trojan o nazwie gh0st RAT (RAT - Remote Access Tool) umożliwiający sterowanie pecetem w czasie rzeczywistym. Infekcje komputerów przebiegały dwutorowo: użytkownik klikał załącznik do wiadomości e-mail lub link w wiadomości, kierujący do strony WWW rozpowszechniającej trojana. Śledztwo dowiodło, że na komputerze GhostNetu haker mógł zrobić dosłownie wszystko - przeszukiwać zasoby lokalne, kopiować i usuwać dokumenty, przechwytywać hasła oraz potajemnie sterować podłączonymi urządzeniami, np. kamerą internetową czy mikrofonem.

Ustalono również, że korespondencja elektroniczna, kopiowana z komputerów w biurach dalajlamy, przesyłana była na komputery zlokalizowane w chińskiej prowincji Syczuan, gdzie działa oddział wywiadu ChRL, rozpracowujący uchodźców z Tybetu.

Na chiński rząd jako na inicjatora całego przedsięwzięcia może też wskazywać liczba komputerów zaatakowanych w państwach azjatyckich, będących bliższymi lub dalszymi sąsiadami Chin. Zdaniem autorów raportu Tracking 'GhostNet': Investigating a Cyber Espionage Network należy jednak brać pod uwagę również i inne wytłumaczenia - sieć GhostNet równie dobrze mogli stworzyć "zwykli" cyberprzestępcy bądź też służby innego państwa, podszywające się pod Chińczyków dla zmylenia tropu.

W związku ze śledztwem dotyczącym inwigilacji Tybetańczyków dwaj naukowcy z uniwersytetu w Cambridge - wspomniany już S. Nagaraja oraz Ross Anderson - opublikowali niezależnie od kolegów z Toronto wyniki własnych prac, zebrane w dokumencie pd tytułem "The Snooping Dragon". Brytyjczycy winą za ataki na biuro dalajlamy obarczają już bezpośrednio "agentów chińskiego rządu" i ostrzegają, że taktyka zastosowana przez Chińczyków zostanie wkrótce spopularyzowana.

Rządy działają jak cyberprzestępcy?

Eksperci są zgodni, że metody cyberprzestępcze (np. ataki typu DDoS) to narzędzie coraz częściej wykorzystywane przez rządy w walce politycznej. W Chinach, Rosji i USA opracowano już konkretne doktryny działań militarnych i politycznych w Internecie. Amerykanie planują np. tworzenie wojskowych botnetów, zaś Rosjanie zamierzają zaprzęgać do współpracy zwykłych internautów, publikując w Sieci odpowiednie instrukcje, podobnie jak to miało miejsce w wypadku incydentu estońskiego z maja 2007 r. (warto w tym miejscu wspomnieć, że do ataków sprzed prawie dwóch lat niedawno przyznał się aktywista prokremlowskiej nacjonalistycznej organizacji młodzieżowej "Nasi").

W Chinach doktryna wojny w Sieci rozwijana jest od końca poprzedniej dekady w ramach projektu modernizacji sił zbrojnych. Zgodnie z pojęciem wojny asymetrycznej, w wypadku starcia zbrojnego Chin ze Stanami Zjednoczonymi przewagę wynikającą z dominacji militarnej Ameryki można zmniejszyć atakując jej systemy teleinformatyczne. Chińska technologia jest już na tyle rozwinięta, że umożliwia im prowadzenie zaawansowanej wojny elektronicznej z USA, zaś celem ataków chińskich hakerów padają zarówno komputery rządowe, jak i te wykorzystywane w przemyśle (w 2005 roku w ich ręce wpadły materiały NASA, dotyczące m.in. systemu napędowego rakiet, baterii słonecznych oraz zbiorników paliwa).