das Büro des Dalai Lama hatte die Forscher der Ghostnetstudie um Hilfe gebeten. Gemeinsam mit der ShadowServer-Foundation konnten sie ein weitreichendes Spionagenetz identifizieren und unterwandern. Der Infrastrukturkern liegt in Chinas Chengdu, Sitz einer bekannten Militärgeheimdienstbasis. Vermutlich haben Hacker die Initiative dieser Spionage ergriffen und die erbeuteten Informationen an das chinesische Militär verkauft. Es wurden mehrere valide email-Adressen die in chinesischen Hackerforen verwandt wurden enttarnt.

Der Ausgang des Netzwerks waren kompromittierte Rechner des Büros des Dalai Lamas, das Netzwerk reichte jedoch von kompromittierten Rechnern der UNO, NY University, Litauen, bis zu Verwaltungsrechner in Indien, der Indian Times und der indischen Eisenbahn.

Die Forscher konnten versch. gehackte Dokumente identifizieren, darunter auch VISA-Dokumente von sicherheitskritischem Personal der NATO, was über Indien nach Afghanistan einreiste, Korrespondenz des Dalai Lamas uvm.

Die Angriffe selbst wurden durch weithin bekannte Sicherheitslücken mit *.pdf und Micrsosoft-Office Dokumenten ausgeführt, aufbauend auf eine verteilte Infrastruktur, die Blogs, Twitter und Yahoo-Mailaccounts als Relaisstationen nutzten um weiteren Schadcode nachzuladen und die Kernrechner zu verstecken.

Die volle Studie „Shadows In The Cloud: Investigating Cyber Espionage 2.0“ ist hier zu finden.