Een mogelijk Chinees spionagenetwerk heeft meer dan 1200 computers van regeringen en activistische groepen in 103 landen met malware besmet, om zo vertrouwelijke e-mails en documenten te stelen. Canadese onderzoekers ontdekten het grootschalige GhostNet, vernoemd naar het Gh0st Trojaanse paard dat de aanvallers voor de infectie gebruikten. In totaal gaat het om 1295 computers van overheidsinstanties, Niet-gouvernementele organisaties en ander groeperingen, waaronder de Dalai Lama. Taiwan (148), Vietnam (130) en Verenigde Staten (113) werden het zwaarst getroffen. De rest van de geïnfecteerde landen bevindt zich voornamelijk in Azië.

De eerste ontdekte infectie dateerde van 22 mei 2007. Volgens de onderzoekers gaat het in 30% van de besmette computers om zeer waardevolle diplomatieke, politieke, economische en militaire systemen. Het netwerk kwam aan het licht bij een onderzoek naar de computers van de Dalai Lama. Aanvallers hadden toegang tot de mailserver gekregen en konden zo alle e-mails onderscheppen.

E-mailbijlage
Voor het infecteren van de systemen gebruikten de aanvallers een besmette bijlage die de slachtoffers openden of lokten hen naar een kwaadaardige website die de malware installeerde. Eenmaal toegang tot het systeem was het onder andere mogelijk om de webcam en microfoon van de computer in te schakelen, om zo gesprekken in de betreffende kamer op te nemen. Het netwerk van besmette computers werd via vier servers bestuurd, waarvan er drie zich in China bevonden. De andere was in de VS geparkeerd.

China?
De interface voor het besturen van het netwerk was in het Chinees, maar dat is volgens de onderzoekers geen bewijs dat de Chinese overheid ook achter de operatie zit. Een ander land of inlichtingendienst die de schuld op China zou willen afschuiven zou dit op deze manier vrij eenvoudig kunnen doen. Toch is er een aantal incidenten die Chinese betrokkenheid vermoeden. Zo stuurde de Dalai Lama eens e-mail met een uitnodiging naar een buitenlandse diplomaat. Ze werd echter door de Chinese overheid benaderd die haar aanmoedigde om niet op de uitnodiging in te gaan. Een andere vrouw die met Tibetaanse ballingen werkte, kreeg van de Chinese inlichtingendienst een volledig uitgewerkt transcript van al haar e-mailwisselingen. China ontkent echter alle betrokkenheid.

Tor
IT-journaliste Kim Zetter vermoedt dat er mogelijk een verband is met het onderscheppen van ambassade e-mail via Tor in 2007. Een Zweedse onderzoeker ontdekte toen inloggegevens van talloze ambassades en mensenrechtenorganisaties die via het Tor-netwerk gelekt werden. Ondanks een waarschuwing naar de ambassades dat hun computers mogelijk besmet waren, reageerde er geen enkele op de e-mail van Zetter.

Snooping Dragon
Twee andere onderzoekers die ook aan het onderzoek van GhostNet werkte, richtte zich voornamelijk op de geïnfecteerde computers van de Dalai Lama. Volgens de twee staat het vast dat China achter de aanvallen zit, vandaar ook de naam van hun rapport "The snooping dragon: social-malware surveillance of the Tibetan movement." Medewerkers van de Dalai Lama ontvingen regelmatig e-mails met geinfecteerde .doc en .pdf bestanden die een rootkit op het systeem installeerde.

"We hebben in deze aanvulling beschreven hoe Chinese spionnen het netwerk van de Dalai Lama infecteerde. Ze gebruikten social engineering om op talloze machines rootkits te installeren en vervolgens vertrouwelijke gegevens te stelen. Mensen in Tibet zijn hierdoor mogelijk om het leven gekomen." De infecties mogen dan zijn opgeruimd, de aanvallen laten zien hoe moeilijk het is om vertrouwelijke informatie te beschermen tegen een vijand die social engineering gebruikt om malware te installeren.