Операция Аврора - Operation Aurora

Операция Аврора
ДатаИюнь – декабрь 2009 г.
Место расположения
Не указано - произошло в мировом масштабе.
РезультатДипломатический инцидент между США и Китаем
Воюющие стороны

 Соединенные Штаты

 Китай

Жертвы и потери
Yahoo! интеллектуальная собственность украденный[1]

Операция Аврора была серия кибератаки проводится сложные постоянные угрозы таких как Elderwood Group, базирующаяся в Пекин, Китай, со связями с Народно-освободительная армия.[2] Впервые публично обнародовано Google 12 января 2010 г. в г. блог почтовый,[1] атаки начались в середине 2009 года и продолжались до декабря 2009 года.[3]

Атака была направлена ​​на десятки других организаций, из которых Adobe Systems,[4] Akamai Technologies,[5] Juniper Networks[6] и Rackspace[7] публично подтвердили, что они стали мишенью. По сообщениям СМИ, Yahoo, Symantec, Northrop Grumman, Морган Стенли,[8] Dow Chemical,[9] и Ежевика [10] также были среди целей.

В результате атаки Google заявил в своем блоге, что планирует полностью без цензуры версия своей поисковой системы в Китае «в рамках закона, если это вообще возможно», и признала, что, если это невозможно, она может покинуть Китай и закрыть свои китайские офисы.[1] Официальные китайские источники утверждали, что это было частью стратегии, разработанной правительством США.[11]

Атака получила название «Операция Аврора». Дмитрий Альперович, Вице-президент по исследованию угроз в компании по кибербезопасности McAfee. Исследования McAfee Labs обнаружили, что «Аврора» была частью Путь файла на машине злоумышленника, который был включен в два из вредоносное ПО двоичные файлы Макафи сказал, что они были связаны с атакой. «Мы полагаем, что это было внутреннее имя, которое злоумышленник дал этой операции», - сказал в своем блоге технический директор McAfee Джордж Курц.[12]

Согласно McAfee, основной целью атаки было получение доступа и возможное изменение исходный код репозиториев в этих компаниях-подрядчиках в области высоких технологий, безопасности и обороны. "[The СКМ ] были широко открыты, - говорит Альперович. - Никто никогда не думал о том, чтобы их обезопасить, но все же они были жемчужинами большинства этих компаний во многих отношениях - гораздо более ценными, чем любые финансовые или личные данные, которые они могут иметь и тратить так много времени и сил на защиту ".[13]

История

Цветы остались снаружи Google Китай штаб-квартира после его объявления может покинуть страну

12 января 2010 года Google сообщил в своем блоге, что стал жертвой кибератаки. Компания сообщила, что атака произошла в середине декабря и исходила из Китая. Google заявил, что нападению подверглись более 20 других компаний; другие источники с тех пор указали, что нападениями стали более 34 организаций.[9] В результате атаки Google заявила, что пересматривает свой бизнес в Китае.[1] В тот же день, Государственный секретарь США Хиллари Клинтон выступил с кратким заявлением, в котором осудил теракты и потребовал ответа от Китая.[14]

13 января 2010 г. агентство новостей Все заголовки новостей сообщил, что Конгресс США планирует расследовать утверждения Google о том, что китайское правительство использовало сервис компании для слежки за правозащитниками.[15]

В Пекин посетители оставляли цветы за пределами офиса Google. Однако позже они были удалены, и китайский охранник заявил, что это «незаконный подношение цветов».[16] Правительство Китая еще не дало официального ответа, хотя анонимный чиновник заявил, что Китай хотел бы получить дополнительную информацию о намерениях Google.[17]

Вовлеченные злоумышленники

Технические свидетельства, включая IP-адреса, доменные имена, сигнатуры вредоносных программ и другие факторы, показывают, что за атакой операции «Аврора» стоял Элдервуд. Группа "Элдервуд" названа Symantec после переменной исходного кода, используемой злоумышленниками, и именуются корпорацией Dell "Пекинская группа" Secureworks. Группа получила часть исходного кода Google, а также доступ к информации о китайских активистах.[18] Elderwood также нацелился на многие другие компании в секторах судоходства, авиации, вооружений, энергетики, производства, машиностроения, электроники, финансов и программного обеспечения.[2][19]

Обозначение "APT" для китайских злоумышленников, ответственных за атаки на Google, - APT17.[20]

Elderwood специализируется на атаках и проникновении в поставщиков оборонной промышленности второго уровня, которые производят электронные или механические компоненты для ведущих оборонных компаний. Затем эти фирмы становятся кибер-«ступенькой» для доступа к ведущим оборонным подрядчикам. Одна из процедур атаки, используемая Элдервудом, заключается в заражении законных веб-сайтов, посещаемых сотрудниками целевой компании, - так называемая атака «водяной дыры», подобно тому как львы застревают в водопое для своей добычи. Элдервуд заражает эти менее защищенные сайты вредоносным ПО, которое загружается на компьютер, который нажимает на сайт. После этого группа ищет внутри сети, к которой подключен зараженный компьютер, находя и затем загружая электронные письма руководителей и важные документы о планах компании, решениях, приобретениях и дизайне продуктов.[2]

Анализ атак

В своем сообщении в блоге Google заявил, что некоторые из его интеллектуальная собственность был украден. Предполагалось, что злоумышленники были заинтересованы в доступе Gmail счета китайских диссиденты. Согласно Financial Times, две учетные записи, используемые Ай Вэйвэй подверглись нападению, их содержание прочитано и скопировано; его банковские счета были расследованы агентами государственной безопасности, которые утверждали, что он находился под следствием по "неустановленным подозрениям в преступлениях".[21] Однако злоумышленники могли просматривать сведения только о двух учетных записях, и эти сведения были ограничены такими вещами, как тема и дата создания учетных записей.[1]

Специалисты по безопасности сразу отметили изощренность атаки.[12] Через два дня после того, как атака стала достоянием гласности, McAfee сообщила, что злоумышленники использовали предполагаемые нулевой день уязвимости (нефиксированные и ранее неизвестные разработчикам целевой системы) в Internet Explorer и окрестили атаку «Операцией Аврора». Через неделю после отчета McAfee, Microsoft выпустил исправление проблемы,[22] и признали, что знали об использованной дыре в безопасности с сентября.[23] Дополнительные уязвимости были обнаружены в Волей случая, программное обеспечение для редактирования исходного кода, используемое Google для управления исходным кодом.[24][25]

VeriSign Лаборатория iDefense Labs заявила, что атаки были совершены «агентами китайского государства или его доверенными лицами».[26]

В соответствии с дипломатическая телеграмма из посольства США в Пекине китайский источник сообщил, что Китайское Политбюро направил вторжение в компьютерные системы Google. В телеграмме говорилось, что атака была частью скоординированной кампании, проводимой «правительственными агентами, экспертами по общественной безопасности и интернет-преступниками, нанятыми китайским правительством».[27] В отчете говорилось, что это было частью продолжающейся кампании, в ходе которой злоумышленники «взломали Американское правительство компьютеров и западных союзников, Далай Лама и американский бизнес с 2002 года ".[28] В соответствии с Хранитель Сообщая об утечке, атаки были «организованы высокопоставленным членом Политбюро, который ввел свое имя в глобальную версию поисковой системы и нашел статьи, критикующие его лично».[29]

После того, как система жертвы была взломана, бэкдорное соединение, маскировавшееся под SSL подключение сделал подключения к командование и контроль серверы, работающие в Иллинойсе, Техасе и Тайване, включая машины, которые были украдены Rackspace счета клиентов. Затем машина жертвы начала исследовать защищенную корпоративную интрасеть, частью которой она была, искать другие уязвимые системы, а также источники интеллектуальной собственности, в частности, содержимое репозитории исходного кода.

Считалось, что атаки окончательно прекратились 4 января, когда были отключены серверы управления и контроля, хотя на данный момент неизвестно, намеренно ли злоумышленники отключили их.[30] Однако по состоянию на февраль 2010 года нападения все еще происходили.[3]

Ответ и последствия

Правительства Германии, Австралии и Франции публично предупредили пользователей Internet Explorer после атаки, посоветовав им использовать альтернативные браузеры, по крайней мере, до тех пор, пока не будет исправлена ​​дыра в безопасности.[31][32][33] Правительства Германии, Австралии и Франции сочли все версии Internet Explorer уязвимыми или потенциально уязвимыми.[34][35]

В сообщении от 14 января 2010 г. Microsoft сообщила, что злоумышленники, нацеленные на Google и другие компании США, использовали программное обеспечение, которое использует брешь в Internet Explorer. Уязвимость затрагивает версии Internet Explorer 6, 7 и 8 в Windows 7, Vista, Windows XP, Server 2003, Server 2008 R2, а также IE 6 с пакетом обновления 1 (SP1) в Windows 2000 с пакетом обновления 4 (SP4).[36]

Код эксплойта Internet Explorer, использованный при атаке, был передан в общественное достояние и включен в Metasploit Framework инструмент для тестирования на проникновение. Копия эксплойта была загружена в Wepawet, службу для обнаружения и анализа вредоносных программ в Интернете, управляемую группой компьютерной безопасности Калифорнийского университета в Санта-Барбаре. «Публичный выпуск кода эксплойта увеличивает вероятность широкомасштабных атак с использованием уязвимости Internet Explorer, - сказал об атаке Джордж Курц, технический директор McAfee. «Теперь общедоступный компьютерный код может помочь киберпреступникам организовать атаки, использующие уязвимость для компрометации систем Windows».[37]

Охранное предприятие Websense заявила, что выявила «ограниченное публичное использование» незащищенной уязвимости IE в атаках, направленных против пользователей, которые попали на вредоносные веб-сайты.[38] Согласно Websense, обнаруженный им код атаки совпадает с обнаруженным на прошлой неделе эксплойтом.[требуется разъяснение ] «Пользователи Internet Explorer в настоящее время сталкиваются с реальной и реальной опасностью из-за публичного раскрытия уязвимости и выпуска кода атаки, что увеличивает вероятность широкомасштабных атак», - сказал Джордж Курц, технический директор McAfee. обновление блога.[39] Подтверждая это предположение, 19 января Websense Security Labs выявила дополнительные сайты, использующие эксплойт.[40] Согласно сообщениям Ahnlab, второй URL-адрес был распространен через сеть обмена мгновенными сообщениями Misslee Messenger, популярного клиента обмена мгновенными сообщениями в Южной Корее.[40]

Исследователи создали код атаки, который использует уязвимость в Internet Explorer 7 (IE7) и IE8, даже когда рекомендуемые Microsoft защитные меры (Предотвращение выполнения данных (DEP)) включен.[сомнительный ] По словам Дино Дай Зови, исследователя уязвимостей системы безопасности, «даже новейший IE8 небезопасен от атак, если он работает в Windows XP с пакетом обновления 2 (SP2) или более ранней версии, или в Windows Vista RTM (от выпуска до производства), версия Microsoft выпустила товар в январе 2007 года. "[41]

Microsoft признала, что использованная дыра в безопасности была им известна с сентября.[23] Работа над обновлением была приоритетной[42] а в четверг, 21 января 2010 г., Microsoft выпустила исправление безопасности, направленное на устранение этой уязвимости, опубликованных на ее основе эксплойтов и ряда других уязвимостей, о которых сообщалось в частном порядке.[43] Они не сообщали, использовались ли или публиковались какие-либо из последних эксплуататоров и имели ли они какое-либо конкретное отношение к операции Aurora, но все накопительное обновление было названо критическим для большинства версий Windows, включая Windows 7.

Исследователи безопасности продолжили расследование атак. HBGary, охранная фирма, выпустила отчет, в котором утверждала, что обнаружила несколько важных маркеров, которые могут помочь идентифицировать разработчика кода. Фирма также сообщила, что код основан на китайском языке, но не может быть привязан к какой-либо государственной структуре.[44]

19 февраля 2010 года эксперт по безопасности, расследующий кибератаку на Google, заявил, что люди, стоящие за атакой, также несут ответственность за кибератаки, совершенные на несколько компаний из списка Fortune 100 за последние полтора года. Они также отследили атаку до ее источника, которым, по всей видимости, были две китайские школы, Шанхайский университет Цзяо Тонг и Ланьсянское профессиональное училище.[45] Как подчеркнул Нью-Йорк Таймс, обе эти школы связаны с китайской поисковой системой Baidu, соперник Google Китай.[46] И Lanxiang Professional, и Jiaotong University опровергли обвинения.[47][48]

В марте 2010 г. Symantec, который помогал расследовать атаку на Google, идентифицировал Шаосин как источник 21,3% всех (12 миллиардов) вредоносных писем, отправленных по всему миру.[49]

Чтобы предотвратить будущие кибератаки, такие как операция «Аврора», Амитай Эциони из Института исследований общинной политики предложил, чтобы Соединенные Штаты и Китай согласились на политику взаимно гарантированной сдержанности в отношении киберпространства. Это будет включать в себя предоставление обоим государствам возможности принимать меры, которые они считают необходимыми для своей самообороны, при одновременном согласии воздерживаться от наступательных шагов; это также повлечет за собой проверку этих обязательств.[50]

Смотрите также

Рекомендации

  1. ^ а б c d е «Новый подход к Китаю». Google Inc., 12 января 2010 г.. Получено 17 января 2010.
  2. ^ а б c Клейтон, Марк (14 сентября 2012 г.). «Похищение деловых секретов США: эксперты идентифицируют две огромные кибер-банды в Китае». Christian Science Monitor. Получено 24 февраля 2013.
  3. ^ а б "'Атаки Aurora все еще продолжаются, следователи обращаются к создателям вредоносных программ ». Темное чтение. DarkReading.com. 2010-02-10. Получено 2010-02-13.
  4. ^ «Adobe исследует проблему безопасности корпоративной сети». 2010-01-12. Получено 17 января 2010.
  5. ^ «9 лет спустя: от операции« Аврора »до нулевого доверия». Темное чтение. DarkReading.com. 2019-02-20. Получено 2020-05-09.
  6. ^ «Juniper Networks расследует кибератаки». MarketWatch. 2010-01-15. Получено 17 января 2010.
  7. ^ «Ответ Rackspace на кибератаки». Архивировано из оригинал 18 января 2010 г.. Получено 17 января 2010.
  8. ^ "Утечка электронной почты HBGary утверждает, что Morgan Stanley был взломан". Получено 2 марта 2010.
  9. ^ а б Ча, Ариана Ынджунг; Эллен Накашима (14 января 2010 г.). "Кибератака Google China - часть масштабной шпионской кампании, - говорят эксперты". Вашингтон Пост. Получено 17 января 2010.
  10. ^ Паддон, Дэвид. «BlackBerry раскрывает хакерскую кампанию, поддерживаемую Китаем». Канадская пресса. Получено 8 апреля 2020.
  11. ^ Хилле, Катрин (20 января 2010 г.). "Китайские СМИ атакуют Google Белого дома'". Financial Times. Получено 20 января 2010.
  12. ^ а б Курц, Джордж (14 января 2010 г.). «Операция« Аврора »« Хит Google, другие ». McAfee, Inc. Архивировано с оригинал 11 сентября 2012 г.. Получено 17 января 2010.
  13. ^ Зеттер, Ким (03.03.2010). "'Хакеры Google имели возможность изменять исходный код ». Проводной. Получено 4 марта 2010.
  14. ^ Клинтон, Хиллари (12 января 2010 г.). «Заявление о деятельности Google в Китае». Государственный департамент США. Архивировано из оригинал на 2010-01-16. Получено 17 января 2010.
  15. ^ "Конгресс расследует обвинения Google в китайском интернет-шпионаже". Все заголовки новостей. 13 января 2010. Архивировано с оригинал 28 марта 2010 г.. Получено 13 января 2010.
  16. ^ Оснос, Эван (14 января 2010 г.). "Китай и Google:" Незаконное приношение цветов"". Житель Нью-Йорка. Получено 10 ноября 2020.
  17. ^ «Китайское правительство ищет информацию о намерениях Google». China Daily. Синьхуа. 2010-01-13. Получено 18 января 2010.
  18. ^ Накашима, Эллен. «Китайские хакеры, взломавшие Google, получили доступ к конфиденциальным данным, - заявляют официальные лица США». ВашингтонПост. Получено 5 декабря 2015.
  19. ^ Райли, Майкл; Дюна Лоуренс (26 июля 2012 г.). «Хакеры, связанные с армией Китая, замечены от ЕС до Вашингтона» Bloomberg. Получено 24 февраля 2013.
  20. ^ Герц, Билл. «Новое подразделение китайской разведки связано с программой масштабного кибершпионажа». Вашингтон Фри Маяк. Получено 5 ноября 2019.
  21. ^ Андерлини, Джамиль (15 января 2010 г.). "Неизвестные гости китайского диссидента"'". Financial Times.
  22. ^ «Рекомендации по безопасности Microsoft (979352)». Microsoft. 2010-01-21. Получено 26 января 2010.
  23. ^ а б Нарайн, Райан. Microsoft знала об уязвимости IE нулевого дня с сентября прошлого года, ZDNet, 21 января 2010 г. Проверено 28 января 2010 г.
  24. ^ «Защита ваших критически важных активов, уроки, извлеченные из« Операции Аврора », McAfee Labs и McAfee Foundstone Professional Services» (PDF). wired.com.
  25. ^ "'Хакеры Google имели возможность изменять исходный код ». Проводной. Получено 27 июля 2016.
  26. ^ Пол, Райан (14 января 2010 г.). «Исследователи идентифицируют командные серверы, стоящие за атакой Google». Ars Technica. Получено 17 января 2010.
  27. ^ Шейн, Скотт; Лерен, Эндрю В. (28 ноября 2010 г.). "Кабели, полученные WikiLeaks, проливают свет на секретные дипломатические каналы". Нью-Йорк Таймс. Получено 28 ноября 2010.
  28. ^ Скотт Шейн и Эндрю В. Лерен (28 ноября 2010 г.). «Утечка кабелей предлагает грубый взгляд на дипломатию США». Нью-Йорк Таймс. Получено 2010-12-26. Взлом Google был частью скоординированной кампании компьютерного саботажа, проведенной правительственными агентами, частными экспертами по безопасности и интернет-преступниками, нанятыми китайским правительством. Они взламывают компьютеры американского правительства и компьютеров западных союзников, Далай-ламы и американских предприятий с 2002 года ...
  29. ^ Утечка телеграмм посольства США спровоцировала мировой дипломатический кризис Хранитель 28 ноября 2010 г.
  30. ^ Зеттер, Ким (14 января 2010 г.). "Хакерская атака Google была сверхсложной, новые подробности". Проводной. Получено 23 января 2010.
  31. ^ One News (19 января 2010 г.). "Франция и Германия предупреждают пользователей Internet Explorer". ТВНЗ. Получено 22 января 2010.
  32. ^ Relax News (18 января 2010 г.). «Почему вы должны изменить свой интернет-браузер и как выбрать лучший для себя». Независимый. Лондон. Получено 22 января 2010.
  33. ^ «Правительство выдает предупреждение о безопасности IE». ABC (Австралия). 19 января 2010 г.. Получено 27 июля 2016.
  34. ^ NZ Herald Staff (19 января 2010 г.). "Франция и Германия предостерегают от использования Internet Explorer". The New Zealand Herald. Получено 22 января 2010.
  35. ^ Гован, Фиона (18 января 2010 г.). «Германия предостерегает от использования Microsoft Internet Explorer». Дейли Телеграф. Лондон. Получено 22 января 2010.
  36. ^ Миллс, Элинор (14 января 2010 г.). «Новая дыра IE использовалась в атаках на американские фирмы». CNET. Получено 22 января 2010.
  37. ^ «Код нулевого дня Internet Explorer становится общедоступным». Инфобезопасность. 18 января 2010 г.. Получено 22 января 2010.
  38. ^ «Лаборатории безопасности - Новости и обзоры безопасности - Raytheon - Forcepoint». Получено 27 июля 2016.
  39. ^ Кейзер, Грегг. «Хакеры используют новейший эксплойт IE в атаках наездников». Получено 27 июля 2016.
  40. ^ а б «Лаборатории безопасности - Новости и обзоры безопасности - Raytheon - Forcepoint». Получено 27 июля 2016.
  41. ^ Кейзер, Грегг (19 января 2010 г.). «Исследователи делают ставку, создают эксплойты для IE7, IE8». Computerworld. Получено 22 января 2010.
  42. ^ «Безопасность - ZDNet». Получено 27 июля 2016.
  43. ^ «Бюллетень по безопасности Microsoft MS10-002 - Критический». Получено 27 июля 2016.
  44. ^ "Охота на Создателя Авроры". TheNewNewInternet. 13 февраля 2010 г.. Получено 13 февраля 2010.(Мертвая ссылка)
  45. ^ Марков, Джон; Барбоза, Дэвид (18 февраля 2010 г.). «Две китайские школы, как утверждается, причастны к интернет-атакам». Нью-Йорк Таймс. Получено 26 марта 2010.
  46. ^ "Атака Google Aurora исходила от китайских школ". itproportal. 19 февраля 2010 г.. Получено 19 февраля 2010.
  47. ^ Аредди, Джеймс Т. (4 июня 2011 г.). "Повара, которые шпионят? Отслеживание хакеров Google в Китае" - через www.wsj.com.
  48. ^ Университет, Цзяо Тонг. "Университет Цзяо Тонг - 【Shanghai Daily】 Киберэксперт критикует" шпионский "отчет". en.sjtu.edu.cn.
  49. ^ Шеридан, Майкл, "Китайский город - всемирный центр хакеров", Лондон Санди Таймс, 28 марта 2010 г.
  50. ^ Этциони, Амитаи, «MAR: модель американо-китайских отношений», Дипломат, 20 сентября 2013 г., [1].

внешняя ссылка