Operacja Aurora - Operation Aurora

Nie mylić z testem generatora Aurora .
Operacja Aurora
Data czerwiec–grudzień 2009
Lokalizacja
Nie określono – wystąpiło na skalę światową.
Wynik Incydent dyplomatyczny między Stanami Zjednoczonymi a Chinami
Wojownicy

 Stany Zjednoczone

 Chiny
Ofiary i straty
Skradziona własność intelektualna Google

Operacja Aurora była seria cyberataków prowadzonych przez zaawansowanych trwałych zagrożeń , takich jak Grupa Elderwood z siedzibą w Pekinie , Chiny , z więzów do Armii Ludowo-Wyzwoleńczej . Pierwsze publicznie ujawnione przez Google 12 stycznia 2010 r. w poście na blogu ataki rozpoczęły się w połowie 2009 r. i trwały do ​​grudnia 2009 r.

Atak był wymierzony w dziesiątki innych organizacji, z których Adobe Systems , Akamai Technologies , Juniper Networks i Rackspace publicznie potwierdziły, że były celem. Według doniesień mediów, wśród celów znalazły się również Yahoo , Symantec , Northrop Grumman , Morgan Stanley i Dow Chemical .

W wyniku ataku Google stwierdził na swoim blogu, że planuje obsługiwać w Chinach całkowicie nieocenzurowaną wersję swojej wyszukiwarki „zgodnie z prawem, jeśli w ogóle” i przyznał, że jeśli nie będzie to możliwe, może opuścić Chiny i zamknąć chińskie biura. Oficjalne chińskie źródła twierdziły, że było to częścią strategii opracowanej przez rząd USA.

Atak został nazwany „Operacją Aurora” przez Dmitri Alperovitch , wiceprezes Threat Research w firmie McAfee zajmującej się cyberbezpieczeństwem . Badania przeprowadzone przez McAfee Labs wykazały, że „Aurora” była częścią ścieżki pliku na komputerze atakującego, która była zawarta w dwóch plikach binarnych szkodliwego oprogramowania, które według McAfee były powiązane z atakiem. „Uważamy, że ta nazwa była wewnętrzną nazwą, którą napastnicy nadali tej operacji” – powiedział w poście na blogu dyrektor ds. technologii McAfee, George Kurtz.

Według McAfee, głównym celem ataku było uzyskanie dostępu do repozytoriów kodu źródłowego i ich potencjalna modyfikacja w tych firmach zajmujących się zaawansowanymi technologiami, bezpieczeństwem i obroną. „[ SCM ] były szeroko otwarte” – mówi Alperovitch. „Nikt nigdy nie myślał o ich zabezpieczeniu, ale były to pod wieloma względami klejnoty koronne większości z tych firm – o wiele cenniejsze niż jakiekolwiek dane finansowe lub dane umożliwiające identyfikację, które mogą mieć i poświęcają tyle czasu i wysiłku na ochronę”.

Historia

Kwiaty pozostawione poza siedzibą Google China po ogłoszeniu, że mogą opuścić kraj

12 stycznia 2010 r. Google ujawnił na swoim blogu, że padł ofiarą cyberataku. Firma poinformowała, że ​​atak miał miejsce w połowie grudnia i pochodził z Chin. Google stwierdził, że zaatakowano ponad 20 innych firm; inne źródła od tamtego czasu podają, że celem były ponad 34 organizacje. W wyniku ataku firma Google poinformowała, że ​​dokonuje przeglądu swojej działalności w Chinach. Tego samego dnia sekretarz stanu USA Hillary Clinton wydała krótkie oświadczenie, w którym potępiła ataki i zwróciła się o odpowiedź ze strony Chin.

13 stycznia 2010 r. agencja informacyjna All Headline News poinformowała, że Kongres Stanów Zjednoczonych planuje zbadać zarzuty Google, jakoby rząd chiński wykorzystywał usługi firmy do szpiegowania obrońców praw człowieka.

W Pekinie goście zostawiali kwiaty przed biurem Google. Jednak zostały one później usunięte, a chiński ochroniarz stwierdził, że jest to „nielegalny hołd kwiatowy”. Chiński rząd nie wydał jeszcze formalnej odpowiedzi, chociaż anonimowy urzędnik stwierdził, że Chiny poszukują więcej informacji na temat zamiarów Google.

Zaangażowani napastnicy

Dowody techniczne, w tym adresy IP, nazwy domen, sygnatury złośliwego oprogramowania i inne czynniki, pokazują, że Elderwood stał za atakiem Operacji Aurora. Grupa „Elderwood” została nazwana przez firmę Symantec po zmiennej kodu źródłowego używanej przez atakujących, a firma Dell Secureworks określa ją jako „Beijing Group” . Grupa uzyskała część kodu źródłowego Google, a także dostęp do informacji o chińskich aktywistach. Elderwood zaatakował również wiele innych firm z sektora żeglugi, aeronautyki, broni, energetyki, produkcji, inżynierii, elektroniki, finansów i oprogramowania.

Oznaczenie „APT” dla chińskich cyberprzestępców odpowiedzialnych za atakowanie Google to APT17.

Elderwood specjalizuje się w atakowaniu i infiltracji dostawców drugorzędnego przemysłu obronnego, którzy wytwarzają komponenty elektroniczne lub mechaniczne dla czołowych firm zbrojeniowych. Firmy te stają się następnie „odskocznią” w cyberprzestrzeni, aby uzyskać dostęp do najlepszych wykonawców w dziedzinie obronności. Jedną z procedur ataku stosowaną przez Elderwood jest infekowanie legalnych stron internetowych odwiedzanych przez pracowników firmy docelowej – tak zwany atak „wodopoju”, tak jak lwy wytyczają wodopoj dla swojej ofiary. Elderwood infekuje te mniej bezpieczne witryny złośliwym oprogramowaniem, które pobiera się na komputer, który kliknie w witrynie. Następnie grupa przeszukuje sieć, do której podłączony jest zainfekowany komputer, wyszukując, a następnie pobierając e-maile dyrektorów oraz krytyczne dokumenty dotyczące planów firmy, decyzji, przejęć i projektów produktów.

Analiza ataku

W swoim wpisie na blogu Google stwierdził, że część jego własności intelektualnej została skradziona. Sugerował, że napastnicy byli zainteresowani dostępem do kont Gmail chińskich dysydentów . Według Financial Times , dwa konta używane przez Ai Weiwei zostały zaatakowane, ich zawartość została przeczytana i skopiowana; jego konta bankowe zostały zbadane przez agentów bezpieczeństwa państwa, którzy twierdzili, że był objęty dochodzeniem w sprawie „nieokreślonych podejrzeń o popełnienie przestępstwa”. Jednak osoby atakujące były w stanie wyświetlić szczegóły tylko na dwóch kontach, a szczegóły te ograniczały się do takich rzeczy, jak temat i data utworzenia konta.

Eksperci od bezpieczeństwa natychmiast zauważyli wyrafinowanie ataku. Dwa dni po upublicznieniu ataku firma McAfee poinformowała, że ​​osoby atakujące wykorzystały rzekome luki dnia zerowego (nienaprawione i wcześniej nieznane twórcom systemów docelowych) w przeglądarce Internet Explorer i nazwały atak „Operacją Aurora”. Tydzień po raporcie McAfee Microsoft wydał poprawkę dotyczącą problemu i przyznał, że wiedział o luce bezpieczeństwa używanej od września. Dodatkowe luki w zabezpieczeniach zostały znalezione w Perforce , oprogramowaniu do zmiany kodu źródłowego używanym przez Google do zarządzania kodem źródłowym.

Firma iDefense Labs firmy VeriSign twierdziła, że ​​ataków dokonali „agenci państwa chińskiego lub jego pełnomocnicy”.

Według depeszy dyplomatycznej ambasady USA w Pekinie chińskie źródło poinformowało, że chińskie Biuro Polityczne kierowało włamaniem do systemów komputerowych Google. Telegram sugerował, że atak był częścią skoordynowanej kampanii prowadzonej przez „działaczy rządowych, ekspertów ds. bezpieczeństwa publicznego i internetowych banitów rekrutowanych przez chiński rząd”. Raport sugerował, że była to część trwającej kampanii, w której napastnicy „włamywali się do komputerów rządu amerykańskiego i zachodnich sojuszników, Dalajlamy i amerykańskich firm od 2002 roku”. Według doniesień The Guardian na temat wycieku, ataki były „organizowane przez wysokiego rangą członka Biura Politycznego, który wpisał swoje nazwisko do globalnej wersji wyszukiwarki i znalazł artykuły krytykujące go osobiście”.

Gdy system ofiary został naruszony, połączenie typu backdoor, które podszywało się pod połączenie SSL, nawiązywało połączenia z serwerami dowodzenia i kontroli działającymi w Illinois, Teksasie i Tajwanie, w tym z maszynami, które działały pod skradzionymi kontami klientów Rackspace . Maszyna ofiary rozpoczęła następnie eksplorację chronionego intranetu korporacyjnego, którego była częścią, w poszukiwaniu innych podatnych na ataki systemów, a także źródeł własności intelektualnej, w szczególności zawartości repozytoriów kodów źródłowych .

Uważano, że ataki zakończyły się definitywnie 4 stycznia, kiedy serwery dowodzenia i kontroli zostały wyłączone, chociaż w tym momencie nie wiadomo, czy atakujący celowo je zamknęli. Jednak ataki nadal miały miejsce w lutym 2010 roku.

Odpowiedź i następstwa

Rządy Niemiec, Australii i Francji publicznie wydały ostrzeżenia dla użytkowników Internet Explorera po ataku, zalecając im korzystanie z alternatywnych przeglądarek przynajmniej do czasu naprawy luki w zabezpieczeniach. Rządy Niemiec, Australii i Francji uznały wszystkie wersje Internet Explorera za podatne lub potencjalnie podatne na ataki.

W ogłoszeniu z 14 stycznia 2010 r. Microsoft poinformował, że osoby atakujące Google i inne amerykańskie firmy wykorzystywały oprogramowanie, które wykorzystuje dziurę w Internet Explorerze. Luka dotyczy przeglądarki Internet Explorer w wersjach 6, 7 i 8 w systemach Windows 7, Vista, Windows XP, Server 2003, Server 2008 R2, a także w IE 6 Service Pack 1 w systemie Windows 2000 Service Pack 4.

Kod exploita przeglądarki Internet Explorer wykorzystany w ataku został udostępniony w domenie publicznej i został włączony do narzędzia do testowania penetracji Metasploit Framework . Kopia exploita została przesłana do Wepawet, usługi służącej do wykrywania i analizowania szkodliwego oprogramowania internetowego obsługiwanego przez grupę ds. bezpieczeństwa komputerowego z Uniwersytetu Kalifornijskiego w Santa Barbara. „Publiczne wydanie kodu exploita zwiększa prawdopodobieństwo rozległych ataków z wykorzystaniem luki w przeglądarce Internet Explorer” — powiedział o ataku George Kurtz, dyrektor ds. technicznych firmy McAfee. „Obecnie publiczny kod komputerowy może pomóc cyberprzestępcom w tworzeniu ataków wykorzystujących lukę w zabezpieczeniach systemów Windows”.

Firma ochroniarska Websense poinformowała, że ​​zidentyfikowała „ograniczone publiczne wykorzystanie” niezałatanej luki w zabezpieczeniach IE w atakach drive-by na użytkowników, którzy wpadli na złośliwe witryny internetowe. Według Websense wykryty przez niego kod ataku jest taki sam, jak exploit, który został upubliczniony w zeszłym tygodniu. „Użytkownicy Internet Explorera stoją obecnie w obliczu realnego i aktualnego zagrożenia z powodu publicznego ujawnienia luki w zabezpieczeniach i uwolnienia kodu ataku, co zwiększa prawdopodobieństwo powszechnych ataków” – powiedział George Kurtz, dyrektor ds. technologii w McAfee, w aktualizacji bloga . Potwierdzając te spekulacje, firma Websense Security Labs 19 stycznia zidentyfikowała dodatkowe witryny korzystające z exploita. Według doniesień Ahnlab, drugi adres URL był rozpowszechniany za pośrednictwem sieci Instant Messenger Misslee Messenger, popularnego klienta komunikatorów internetowych w Korei Południowej.

Badacze opracowali kod ataku, który wykorzystuje lukę w zabezpieczeniach Internet Explorer 7 (IE7) i IE8 — nawet wtedy, gdy jest włączony zalecany przez firmę Microsoft środek ochronny ( Data Execution Prevention (DEP)). Według Dino Dai Zovi, badacza luk w zabezpieczeniach, „nawet najnowszy IE8 nie jest zabezpieczony przed atakiem, jeśli działa w systemie Windows XP z dodatkiem Service Pack 2 (SP2) lub starszym, albo w systemie Windows Vista RTM (wydanie do produkcji). Microsoft wysłał w styczniu 2007 r.”

Microsoft przyznał, że wykorzystana luka bezpieczeństwa była im znana od września. Prace nad aktualizacją zostały potraktowane priorytetowo iw czwartek, 21 stycznia 2010 r., Microsoft opublikował łatkę bezpieczeństwa mającą na celu przeciwdziałanie tej słabości, opublikowanym na niej opartym exploitom oraz wielu innym zgłoszonym przez użytkowników lukom w zabezpieczeniach. Nie stwierdzili, czy którykolwiek z tych ostatnich został wykorzystany lub opublikowany przez exploita, ani czy miał on jakiś szczególny związek z operacją Aurora, ale cała zbiorcza aktualizacja została uznana za krytyczną dla większości wersji systemu Windows, w tym Windows 7.

Badacze bezpieczeństwa kontynuowali badanie ataków. HBGary , firma zajmująca się bezpieczeństwem, opublikowała raport, w którym twierdzili, że znaleźli pewne znaczące znaczniki, które mogą pomóc w identyfikacji twórcy kodu. Firma stwierdziła również, że kod jest oparty na języku chińskim, ale nie może być powiązany z żadnym podmiotem rządowym.

19 lutego 2010 r. ekspert ds. bezpieczeństwa badający cyberatak na Google stwierdził, że osoby stojące za atakiem były również odpowiedzialne za cyberataki dokonane na kilka firm z listy Fortune 100 w ciągu ostatnich półtora roku. Wyśledzili również atak z powrotem do jego miejsca pochodzenia, które wydaje się być dwiema chińskimi szkołami, Uniwersytetem Jiao Tong w Szanghaju i Szkołą Zawodową Lanxiang . Jak podkreśla The New York Times , obie te szkoły mają powiązania z chińską wyszukiwarką Baidu , rywalem Google China . Zarówno Lanxiang Vocational, jak i Jiaotong University zaprzeczyli temu zarzutowi.

W marcu 2010 r. firma Symantec , która pomagała badać atak na Google, zidentyfikowała Shaoxing jako źródło 21,3% wszystkich (12 miliardów) szkodliwych wiadomości e-mail wysyłanych na całym świecie.

Zobacz też

Bibliografia

Linki zewnętrzne