Wszystko, co musisz wiedzieć o operacji Aurora

W styczniu 2010 roku Google ujawniło, że stało się ofiarą wyrafinowanego cyberataku pochodzącego z Chin. Osoby atakujące zaatakowały sieć korporacyjną Google, co spowodowało kradzież własności intelektualnej i dostęp do kont Gmail działaczy na rzecz praw człowieka. Oprócz Google celem ataku było również ponad 30 firm z sektora fintech, mediów, internetu i chemicznego.

Ataki te zostały przeprowadzone przez chińską grupę Elderwood, a później nazwane przez ekspertów ds. bezpieczeństwa operacją Aurora. Więc co się właściwie stało? Jak to się odbyło? A jakie były następstwa operacji Aurora?

Czym jest operacja Aurora?

Operacja Aurora była serią ukierunkowanych cyberataków przeciwko dziesiątkom organizacji, w tym między innymi Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace i Dow Chemicals. Google najpierw udostępnił szczegóły ataków w poście na blogu, w którym stwierdzono, że były to ataki sponsorowane przez państwo.

Wkrótce po ogłoszeniu przez Google ponad 30 innych firm ujawniło, że ten sam przeciwnik włamał się do ich sieci korporacyjnych.

Nazwa ataków pochodzi od odniesień w złośliwym oprogramowaniu do folderu o nazwie „Aurora” znalezionego przez badaczy MacAfee na jednym z komputerów wykorzystywanych przez atakujących.

Jak przeprowadzono atak?

Ta cyberszpiegowska operacja została zainicjowana przy użyciu technika spear-phishingu. Początkowo zaatakowani użytkownicy otrzymali złośliwy adres URL w wiadomości e-mail lub wiadomości błyskawicznej, co zapoczątkowało serię zdarzeń. Gdy użytkownicy klikali adres URL, przenosił ich do witryny, która wykonywała kolejny złośliwy kod JavaScript.

Kod JavaScript wykorzystywał lukę w programie Microsoft Internet Explorer, która w tamtym czasie była dość nieznana. Takie luki są często określane jako „exploity dnia zerowego”.

Exploit zero-day umożliwił uruchomienie szkodliwego oprogramowania w systemie Windows i skonfigurowanie tylnego wejścia dla cyberprzestępców, aby przejąć kontrolę nad systemem i wykraść dane uwierzytelniające, własność intelektualną lub cokolwiek innego szukam.

Jaki był cel operacji Aurora?

Operacja Aurora była wysoce wyrafinowanym i udanym atakiem. Jednak prawdziwe powody ataku pozostają niejasne. Kiedy Google ujawnił bombę Aurora, podał następujące przyczyny i konsekwencje:

• Kradzież własności intelektualnej: Osoby atakujące zaatakowały infrastrukturę korporacyjną, co skutkowało kradzieżą własności intelektualnej.
• Cyber ​​szpiegostwo: Powiedział również, że ataki były częścią operacji cyberszpiegowskiej, która miała na celu infiltrację kont Gmail chińskich dysydentów i obrońców praw człowieka.

Jednak kilka lat później starszy dyrektor Instytut Zaawansowanych Technologii firmy Microsoft stwierdził, że ataki miały na celu sondowanie rządu USA, aby sprawdzić, czy wykrył tożsamość tajnych chińskich agentów wykonujących swoje obowiązki w Stanach Zjednoczonych.

Dlaczego operacja Aurora przyciągnęła tak wiele uwagi?

Operacja Aurora jest szeroko omawianym cyberatakiem ze względu na charakter ataków. Oto kilka kluczowych punktów, które go wyróżniają:

• Była to wysoce ukierunkowana kampania, w której napastnicy mieli dokładne dane wywiadowcze na temat swoich celów. Może to wskazywać na zaangażowanie większej organizacji, a nawet aktorów państw narodowych.
• Incydenty cybernetyczne zdarzają się cały czas, ale wiele firm o nich nie mówi. Dla firmy tak wyrafinowanej, jak Google, ujawnianie i ujawnianie jej publicznie to wielka sprawa.
• Wielu ekspertów ds. bezpieczeństwa oskarża chiński rząd o odpowiedzialność za ataki. Jeśli plotki są prawdziwe, to mamy do czynienia z sytuacją, w której rząd atakuje podmioty korporacyjne w sposób, który nigdy wcześniej nie został ujawniony.

Następstwa operacji Aurora

Cztery miesiące po atakach firma Google zdecydowała się zamknąć swoją działalność w Chinach. Zakończył Google.com.cn i przekierował cały ruch na Google.com.hk — wersję Google dla Hongkongu, ponieważ Hongkong ma inne prawa niż Chiny kontynentalne.

Google zrestrukturyzowało również swoje podejście, aby zmniejszyć prawdopodobieństwo ponownego wystąpienia takich incydentów. Wdrożył architektura zero zaufania o nazwie BeyondCorp, co okazało się dobrą decyzją.

Wiele firm niepotrzebnie zapewnia podwyższone przywileje dostępu, które pozwalają im wprowadzać zmiany w sieci i działać bez ograniczeń. Tak więc, jeśli atakujący znajdzie drogę do systemu z uprawnieniami na poziomie administratora, może łatwo nadużyć tych uprawnień.

Model zerowego zaufania działa na zasady najmniej uprzywilejowanego dostępu oraz nanosegmentacja. To nowy sposób budowania zaufania, dzięki któremu użytkownicy mogą uzyskać dostęp tylko do tych części sieci, których naprawdę potrzebują. Tak więc, jeśli dane uwierzytelniające użytkownika zostaną naruszone, atakujący mogą uzyskać dostęp tylko do narzędzi i aplikacji dostępnych dla tego konkretnego użytkownika.

Później wiele innych firm zaczęło przyjmować paradygmat zerowego zaufania, regulując dostęp do wrażliwych narzędzi i aplikacji w swoich sieciach. Celem jest weryfikacja każdego użytkownika i utrudnienie atakującym spowodowanie rozległych szkód.

Obrona przed operacją Aurora i podobnymi atakami

Ataki w ramach operacji Aurora ujawniły, że nawet organizacje dysponujące znacznymi zasobami, takie jak Google, Yahoo i Adobe, mogą nadal paść ofiarą. Jeśli duże firmy IT dysponujące ogromnymi funduszami mogą zostać zhakowane, mniejsze firmy z mniejszymi zasobami będą miały trudności z obroną przed takimi atakami. Jednak Operacja Aurora nauczyła nas również pewnych ważnych lekcji, które mogą nam pomóc w obronie przed podobnymi atakami.

Uważaj na socjotechnikę

Ataki uwypukliły ryzyko elementu ludzkiego w cyberbezpieczeństwie. Ludzie są głównymi propagatorami ataków, a socjotechniczna natura klikania nieznanych linków nie uległa zmianie.

Aby mieć pewność, że ataki podobne do Aurory się nie powtórzą, firmy muszą wrócić do podstawy bezpieczeństwa informacji. Muszą edukować pracowników w zakresie bezpiecznych praktyk cyberbezpieczeństwa i interakcji z technologią.

Charakter ataków stał się tak wyrafinowany, że nawet wytrawny specjalista od bezpieczeństwa ma trudności z odróżnić dobry adres URL od złośliwego.

Użyj szyfrowania

Sieci VPN, serwery proxy i wiele warstw szyfrowania mogą służyć do ukrywania złośliwej komunikacji w sieci.

Aby wykryć i uniemożliwić komunikację z zainfekowanymi komputerami, wszystkie połączenia sieciowe muszą być monitorowane, w szczególności te wychodzące poza sieć firmy. Identyfikowanie nieprawidłowej aktywności sieciowej i monitorowanie ilości danych wychodzących z komputera może być dobrym sposobem oceny jego stanu.

Uruchom zapobieganie wykonywaniu danych

Innym sposobem zminimalizowania zagrożeń bezpieczeństwa jest uruchomienie na komputerze funkcji Data Execution Prevention (DEP). DEP to funkcja bezpieczeństwa, która zapobiega uruchamianiu nieautoryzowanych skryptów w pamięci komputera.

Możesz to włączyć, przechodząc do System i zabezpieczenia > System > Zaawansowane ustawienia systemu w Panelu sterowania.

Włączenie funkcji DEP utrudni atakującym przeprowadzanie ataków typu Aurora.

Aurora i droga naprzód

Świat nigdy nie był bardziej narażony na ryzyko ataków sponsorowanych przez państwo, jak jest teraz. Ponieważ większość firm polega teraz na zdalnej sile roboczej, utrzymanie bezpieczeństwa jest trudniejsze niż kiedykolwiek.

Na szczęście firmy szybko przyjmują podejście zerowego zaufania, które działa na zasadzie nieufania nikomu bez ciągłej weryfikacji.

Obalane: 6 mitów na temat bezpieczeństwa Zero Trust

Model Zero Trust jest skutecznym sposobem ograniczania naruszeń danych, ale istnieje zbyt wiele nieporozumień dotyczących jego implementacji.

Czytaj dalej

O autorze