Operace Aurora

Operace Aurora je kódové označení  pro dlouhou sérii čínských kybernetických útoků , které začaly v druhé polovině roku 2009 a údajně pokračovaly až do února 2010 [1] .

Tyto incidenty byly zveřejněny společností Google 12. ledna 2010. Jak se na začátku zdálo, podstatou útoků byl selektivní phishing zaměřený na firemní zaměstnance, jehož prostřednictvím byly shromažďovány informace o jejich síťové aktivitě a informačních zdrojích [2] . Později se však ukázalo, že při těchto událostech utrpělo kromě Googlu i více než 200 velkých amerických společností, kterým byly prostřednictvím internetu odcizeny zdrojové kódy vytvořeného softwaru [3] .

Název „Aurora“ pochází z názvu souboru na jednom z útočících počítačů [4] . Ředitel americké Národní bezpečnostní agentury K. Alexander zhodnotil rozsah těchto událostí jako „největší přerozdělení bohatství v historii lidstva“. Toto obvinění bylo vzneseno v souvislosti s údajným sklonem pevninské Číny k neustálým kybernetickým krádežím a kybernetické špionáži [5] [6] .

Obecné informace

Podle specialistů Symantecu lze organizátory Aurory považovat za druh kybernetické komunity, která je v amerických dokumentech klasifikována jako Elderwood. Tato skupina má pravděpodobně určité spojení s vládou ČLR a je s největší pravděpodobností zapojena do jejích zpravodajských operací v kyberprostoru . Takové závěry byly učiněny na základě analýzy charakteristik činnosti hackerů a také škodlivého kódu, který používají, IP adres a doménových jmen. Název „Elderwood“ pochází z názvu jedné z proměnných ve zdrojovém kódu používané útočníky [7] .

Podle závěru expertů Google začalo to, co Američané nazvali Operation Aurora, spear phishingem, pomocí kterého byli zaměstnanci Googlu vyloveni informace o jejich aktivitách a o zdrojích služeb, které mají k dispozici [7] .

V důsledku "Aurora" se hackerům podařilo dostat se do blízkosti úložiště zdrojového kódu společnosti Google Corporation. To zase umožnilo skrytě upravovat software na kompromitovaných strojích a různými způsoby manipulovat s firemními zdroji, jako je špehování klientů nebo vytváření čerstvých zranitelností v sítích, které důvěřovaly softwaru oběti. Napadený kód údajně obsahoval systém „Gaia“, určený pro uživatele, kteří se připojovali k několika službám Google pomocí jediného hesla [2] [7] .

Při vyšetřování se ukázalo, že okruh zasažených objektů se ukázal být natolik široký, že výrazně zkomplikoval spolehlivé posouzení motivů a úmyslů útočníků. S největší pravděpodobností byli jedním z jejich prioritních cílů čínští disidenti, kteří se zabývali otázkou občanských práv a svobod v ČLR. Pouhá možnost vzdáleného přístupu k počítačům obránců lidských práv kompromitovala jejich soubory a komunikaci prostřednictvím Gmailu. Došlo se k závěru, že úroveň informační převahy dosažená tímto způsobem umožnila orgánům ČLR udržovat politickou stabilitu ve své zemi [2] .

Zaměření na korporátní cíle v různých obchodních sektorech však naznačuje, že je pravděpodobné, že záměry hackerů nebyly omezeny na domácí politickou agendu. Mezi oběťmi byly nejméně tři desítky velkých amerických korporací spojených s rozvojem informací a letectví, jako Symantec Corporation , Yahoo , Adobe , Northrop Grumman Corporation a Dow Chemical [2] [8] . Kromě nich utrpěla investiční banka „ Morgan Stanley[7] a společnost Adobe oznámila krádež zdrojových kódů svého vývoje a osobních údajů 38 milionů svých zákazníků [6] . Předpokládá se, že celkový počet postižených společností se pohybuje v tisících [2] [8] .

Veřejné pobouření a hodnocení

Informační humbuk kolem Aurory dosáhl úrovně diskusí v Kongresu a prohlášení šéfa amerického ministerstva zahraničí [9] .

Technická analýza nám umožnila poskytnout hrubý odhad arzenálu exploitů zapojených do operací APT [8] . Zaměření útočníků na průmyslovou a finanční špionáž vedlo k závěru, že jde o způsob práce typický pro čínskou stranu. Nárůst kybernetické aktivity spojený s operací Aurora měl s největší pravděpodobností něco společného s další sérií kybernetických útoků, která se jmenovala „Operace Shady Rat“ ( eng.  Shady RAT , 2006). Zkoumání IP adres zapojených do těchto incidentů vedlo k rozsahům spojeným s DDoS útoky proti cílům v Jižní Koreji a USA v létě 2009. Sledování vzorců jejich použití potvrdilo předpoklad, že je prováděly stejné osoby [2] .

Odborníci tvrdí, že za touto sérií událostí s největší pravděpodobností stojí nejlepší univerzity v ČLR v oblasti informačních technologií. Mezi hlavní podezřelé byly jmenovány Shanghai Transportation University a Shandong Lanxiang Vocational School, a to navzdory skutečnosti, že jejich vedení důrazně popírá jakoukoli účast na těchto kyberútocích. Řada odborníků naznačuje, že tyto všeobecné vzdělávací instituce jsou spojeny s formacemi čínských ozbrojených sil , které jsou speciálně zaměřeny na úkoly provádění strategické a ekonomické kybernetické špionáže, například jednotka 61398 [2] [10]

Oficiální Peking však jakékoli zapojení čínského státu do kybernetických útoků popřel a vysvětlil je jako pokusy některých studentů zlepšit své počítačové dovednosti [11] .

Technická stránka

Spyware používaný útočníky byl vytvořen na vysoké technické úrovni a pro jeho skryté použití bylo použito šifrování spustitelného kódu a další sofistikované technologie [12] . V okamžiku, kdy potenciální oběť, umístěná v uzavřené podnikové síti, navštívila online návnadu, byl na jejím počítači stažen a spuštěn škodlivý skript JavaScript , který prostřednictvím zranitelnosti webového prohlížeče stáhl speciální trojskou aplikaci Trojan.Hydraq . Tato aplikace byla schopna zasáhnout několik nejnovějších verzí oblíbeného prohlížeče Internet Explorer najednou na osobních počítačích s operačními systémy Windows 7 , Windows Vista a Windows XP [7] . Trojan se na infikovaném počítači uložil do složky s názvem „Aurora“ [12] .

K proniknutí do počítače oběti byla použita zranitelnost 0day memory access typu " use  -after-free " prohlížeče Internet Explorer, což vedlo k narušení struktury HTML objektů. Pomocí této metody byli útočníci schopni umístit škodlivý kód na adresy, které byly objekty uvolněny při jejich odstranění. Drive-by download se stalo  způsobem útoku na počítač uživatele , v důsledku čehož došlo k infekci [13] . Tento typ útoku umožnil ignorovat bezpečnostní nastavení webového prohlížeče a po průniku do lokální sítě obejít bezpečnostní protokol organizace a získat přístup do systému [12] . Následně hackeři pomocí nástrojů dálkového ovládání sbírali informace o uživateli a jeho souborech, aniž by přestali posílat zprávy s odkazy na online honeypot [7] .

Viz také

Poznámky

  1. Sambaluk, 2019 , Operace Aurora, str. 66.
  2. 1 2 3 4 5 6 7 Springer, 2017 , Operace Aurora, str. 214-216.
  3. Johnson, 2012 , Informační systémy a technologie, s. 120.
  4. Harris, 2016 , Firemní protiútok, str. 269.
  5. Harris, 2016 , Vytvoření kybernetické armády, s. 100.
  6. 1 2 Markov, 2016 , str. 70.
  7. 1 2 3 4 5 6 Sambaluk, 2019 , Operace Aurora, str. 67.
  8. 1 2 3 Harris, 2016 , Firemní protiútok, str. 271.
  9. Agrawal, Campoe, Pierce, 2014 , Úvod, str. 9.
  10. Agrawal, Campoe, Pierce, 2014 , Úvod, str. 9, 10.
  11. Agrawal, Campoe, Pierce, 2014 , Úvod, str. deset.
  12. 1 2 3 Ghosh, Turrini, 2010 , Škodlivý kód, str. 46.
  13. Sud, Enbody, 2013 , str. 41.

Zdroje