Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Не путать с тестом генератора полярных сияний .
Операция Аврора
ДатаИюнь – декабрь 2009 г.
Место расположения
Не указано - произошло в мировом масштабе.
РезультатДипломатический инцидент между США и Китаем
Воюющие стороны

 Соединенные Штаты

 Китай

Жертвы и потери
Yahoo! кража интеллектуальной собственности [1]

Операция «Аврора» представляла собой серию кибератак, проведенных постоянными передовыми угрозами, такими как группа Elderwood, базирующаяся в Пекине , Китай , связанная с Народно-освободительной армией . [2] Во- первых публично раскрыта Google 12 января 2010 года в блоге пост, [1] начал атаки в середине 2009 года и продолжалось до декабря 2009 года [3]

Атака была направлена на десятки других организаций, из которых Adobe Systems , [4] Akamai Technologies , [5] Juniper Networks [6] и Rackspace [7] публично подтвердили , что они были направлены. По сообщениям СМИ, Yahoo , Symantec , Northrop Grumman , Morgan Stanley , [8] и Dow Chemical [9] также были среди целей.

В результате атаки Google заявил в своем блоге, что планирует использовать полностью не прошедшую цензуру версию своей поисковой системы в Китае «в рамках закона, если это вообще возможно», и признал, что, если это будет невозможно, он может покинуть Китай и закрыть свои китайские офисы. [1] Официальные китайские источники утверждали, что это было частью стратегии, разработанной правительством США. [10]

Атака была названа «Операцией Аврора» Дмитрием Альперовичем , вице-президентом по исследованию угроз компании McAfee по кибербезопасности . Исследование, проведенное McAfee Labs, обнаружило, что «Аврора» была частью пути к файлу на машине злоумышленника, который был включен в два двоичных файла вредоносного ПО, которые, по словам McAfee, были связаны с атакой. «Мы полагаем, что это было внутреннее имя, которое злоумышленник дал этой операции», - сказал в своем блоге технический директор McAfee Джордж Курц. [11]

Согласно McAfee, основной целью атаки было получение доступа и возможное изменение репозиториев исходного кода в этих компаниях-подрядчиках, занимающихся высокими технологиями, безопасностью и обороной. «[ SCM ] были широко открыты», - говорит Альперович. «Никто никогда не думал о том, чтобы защитить их, но они были жемчужиной большинства этих компаний во многих отношениях - гораздо более ценными, чем любые финансовые или личные данные, которые они могут иметь и на защиту которых они тратят так много времени и усилий». [12]

История [ править ]

Цветы остались возле штаб-квартиры Google China после того, как компания объявила о том, что она может покинуть страну

12 января 2010 года Google сообщил в своем блоге, что стал жертвой кибератаки. Компания сообщила, что атака произошла в середине декабря и исходила из Китая. Google заявил, что нападению подверглись более 20 других компаний; другие источники с тех пор указали, что нападениями стали более 34 организаций. [9] В результате атаки Google заявила, что пересматривает свой бизнес в Китае. [1] В тот же день госсекретарь США Хиллари Клинтон выступила с кратким заявлением, в котором осудила теракты и потребовала ответа от Китая. [13]

13 января 2010 года информационное агентство All Headline News сообщило, что Конгресс США планирует расследовать утверждения Google о том, что правительство Китая использовало сервис компании для слежки за правозащитниками. [14]

В Пекине посетители оставляли цветы возле офиса Google. Однако позже они были удалены, и китайский охранник заявил, что это «незаконный подношение цветов». [15] Правительство Китая еще не дало официального ответа, хотя анонимный чиновник заявил, что Китай хотел получить дополнительную информацию о намерениях Google. [16]

Злоумышленники [ править ]

Технические свидетельства, включая IP-адреса, доменные имена, сигнатуры вредоносных программ и другие факторы, показывают, что за атакой операции «Аврора» стоял Элдервуд. Группа «Элдервуд» была названа Symantec в честь переменной исходного кода, используемой злоумышленниками, и именуется компанией Dell Secureworks «Пекинская группа» . Группа получила часть исходного кода Google, а также доступ к информации о китайских активистах. [17] Элдервуд также нацелился на множество других компаний в секторах судоходства, аэронавтики, вооружений, энергетики, производства, машиностроения, электроники, финансов и программного обеспечения. [2] [18]

Обозначение "APT" для китайских злоумышленников, ответственных за атаки на Google, - APT17. [19]

Elderwood специализируется на атаках и проникновении в поставщиков оборонной промышленности второго уровня, которые производят электронные или механические компоненты для ведущих оборонных компаний. Затем эти фирмы становятся кибер-«ступенькой» для доступа к ведущим оборонным подрядчикам. Одна из процедур атаки, используемая Элдервудом, заключается в заражении законных веб-сайтов, посещаемых сотрудниками целевой компании, - так называемая атака «водяной дыры», подобно тому, как львы вырывают водопой для своей добычи. Элдервуд заражает эти менее защищенные сайты вредоносным ПО, которое загружается на компьютер, который нажимает на сайт. После этого группа ищет внутри сети, к которой подключен зараженный компьютер, находя и затем загружая электронные письма руководителей и важные документы о планах компании, решениях, приобретениях и дизайне продуктов. [2]

Анализ атак [ править ]

В своем сообщении в блоге Google заявил, что часть его интеллектуальной собственности была украдена. Предполагалось, что злоумышленники были заинтересованы в доступе к Gmail- аккаунтам китайских диссидентов . По данным Financial Times , два аккаунта, которыми пользовался Ай Вэйвэй, подверглись атаке, их содержимое было прочитано и скопировано; его банковские счета были расследованы агентами государственной безопасности, которые утверждали, что он находился под следствием по "неустановленным предполагаемым преступлениям". [20] Однако злоумышленники могли просматривать сведения только о двух учетных записях, и эти сведения были ограничены такими вещами, как тема и дата создания учетных записей. [1]

Специалисты по безопасности сразу отметили изощренность атаки. [11] Через два дня после того, как атака стала достоянием общественности, McAfee сообщила, что злоумышленники использовали предполагаемые уязвимости нулевого дня (незафиксированные и ранее неизвестные разработчикам целевой системы) в Internet Explorer и окрестили атаку «Операцией Аврора». Спустя неделю после отчета McAfee Microsoft выпустила исправление проблемы [21] и признала, что им было известно о дыре в безопасности, использованной с сентября. [22] Дополнительные уязвимости были обнаружены в Perforce , программном обеспечении для редактирования исходного кода, используемом Google для управления своим исходным кодом. [23] [24]

Лаборатория iDefense Labs компании VeriSign заявила, что атаки были совершены «агентами китайского государства или его доверенными лицами». [25]

Согласно дипломатической телеграмме из посольства США в Пекине, китайский источник сообщил, что китайское Политбюро руководило вторжением в компьютерные системы Google. В телеграмме говорилось, что атака была частью скоординированной кампании, проводимой «правительственными агентами, экспертами по общественной безопасности и интернет-преступниками, нанятыми китайским правительством». [26] В отчете говорилось, что это было частью продолжающейся кампании, в ходе которой злоумышленники « с 2002 года взламывают компьютеры американского правительства и западных союзников, Далай-ламы и американские предприятия». [27] По данным The GuardianСообщая об утечке, атаки были «организованы высокопоставленным членом Политбюро, который ввел свое имя в глобальную версию поисковой системы и нашел статьи, критикующие его лично». [28]

Как только система жертвы была скомпрометирована, бэкдор-соединение, маскирующееся под SSL- соединение , устанавливало соединения с серверами управления и контроля, работающими в Иллинойсе, Техасе и Тайване, включая машины, которые работали под украденными учетными записями клиентов Rackspace . Затем машина жертвы начала исследовать защищенную корпоративную интрасеть, частью которой она была, искать другие уязвимые системы, а также источники интеллектуальной собственности, в частности, содержимое репозиториев исходного кода .

Считалось, что атаки окончательно закончились 4 января, когда были отключены серверы управления и контроля, хотя на данный момент неизвестно, отключили ли злоумышленники их намеренно. [29] Однако по состоянию на февраль 2010 года нападения все еще происходили. [3]

Ответ и последствия [ править ]

Правительства Германии, Австралии и Франции публично предупредили пользователей Internet Explorer после атаки, посоветовав им использовать альтернативные браузеры, по крайней мере, до тех пор, пока не будет исправлена ​​дыра в безопасности. [30] [31] [32] Правительства Германии, Австралии и Франции сочли все версии Internet Explorer уязвимыми или потенциально уязвимыми. [33] [34]

В сообщении от 14 января 2010 г. Microsoft сообщила, что злоумышленники, нацеленные на Google и другие американские компании, использовали программное обеспечение, которое использует брешь в Internet Explorer. Уязвимость затрагивает версии Internet Explorer 6, 7 и 8 в Windows 7, Vista, Windows XP, Server 2003, Server 2008 R2, а также IE 6 с пакетом обновления 1 (SP1) в Windows 2000 с пакетом обновления 4. [35]

Код эксплойта Internet Explorer, использованный в атаке, стал общественным достоянием и включен в инструмент тестирования на проникновение Metasploit Framework . Копия эксплойта была загружена в Wepawet, сервис для обнаружения и анализа вредоносных программ в Интернете, управляемый группой компьютерной безопасности Калифорнийского университета в Санта-Барбаре. «Публичный выпуск кода эксплойта увеличивает вероятность широко распространенных атак с использованием уязвимости Internet Explorer», - сказал об атаке Джордж Курц, технический директор McAfee. «Теперь общедоступный компьютерный код может помочь киберпреступникам организовать атаки, использующие уязвимость для компрометации систем Windows». [36]

Компания Websense, занимающаяся безопасностью, заявила, что выявила «ограниченное публичное использование» незащищенной уязвимости IE в атаках, направленных против пользователей, которые попали на вредоносные веб-сайты. [37] Согласно Websense, обнаруженный им код атаки совпадает с эксплойтом, обнародованным на прошлой неделе. [ требуется пояснение ] «Пользователи Internet Explorer в настоящее время сталкиваются с реальной и реальной опасностью из-за публичного раскрытия уязвимости и выпуска кода атаки, что увеличивает вероятность широкомасштабных атак», - сказал в блоге Джордж Курц, технический директор McAfee. обновление . [38] Подтверждая это предположение, 19 января Websense Security Labs выявила дополнительные сайты, использующие эксплойт.[39] Согласно сообщениям Ahnlab, второй URL-адрес был распространен через сеть обмена мгновенными сообщениями Misslee Messenger, популярного клиента обмена мгновенными сообщениями в Южной Корее. [39]

Исследователи создали код атаки, который использует уязвимость в Internet Explorer 7 (IE7) и IE8, даже если включена рекомендованная Microsoft защитная мера ( предотвращение выполнения данных (DEP)). [ сомнительно - обсудить ] По словам Дино Дай Зови, исследователя уязвимостей системы безопасности, «даже новейший IE8 небезопасен от атак, если он работает в Windows XP с пакетом обновления 2 (SP2) или более ранней версии, или в Windows Vista RTM (выпуск до производство), версию, которую Microsoft выпустила в январе 2007 года ». [40]

Microsoft признала, что использованная дыра в безопасности была им известна с сентября. [22] Работа над обновлением была приоритетной [41], и в четверг, 21 января 2010 г., Microsoft выпустила исправление безопасности, направленное на устранение этой уязвимости, опубликованных на ее основе эксплойтов и ряда других уязвимостей, о которых сообщалось в частном порядке. [42] Они не указали, использовались ли или публиковались какие-либо из последних злоумышленников и имели ли они какое-либо конкретное отношение к операции Aurora, но все накопительное обновление было названо критическим для большинства версий Windows, включая Windows 7.

Исследователи безопасности продолжили расследование атак. Фирма по обеспечению безопасности HBGary опубликовала отчет, в котором утверждала, что обнаружила несколько важных маркеров, которые могут помочь идентифицировать разработчика кода. Фирма также сообщила, что код основан на китайском языке, но не может быть привязан к какой-либо государственной структуре. [43]

19 февраля 2010 года эксперт по безопасности, расследующий кибератаку на Google, заявил, что люди, стоящие за атакой, также несут ответственность за кибератаки, совершенные на несколько компаний из списка Fortune 100 за последние полтора года. Они также отследили атаку до ее источника, которым, по всей видимости, были две китайские школы, Шанхайский университет Цзяо Тонг и Профессиональное училище Ланьсян . [44] Как подчеркивает The New York Times , обе эти школы связаны с китайской поисковой системой Baidu , конкурентом Google China . [45] И Ланьсянский профессиональный колледж, и университет Цзяотун опровергли обвинения. [46] [47]

В марте 2010 года Symantec , которая участвовала в расследовании атаки на Google, определила Shaoxing как источник 21,3% всех (12 миллиардов) вредоносных писем, отправленных по всему миру. [48]

Чтобы предотвратить будущие кибератаки, такие как операция «Аврора», Амитаи Эциони из Института исследований политики сообщества предложил, чтобы Соединенные Штаты и Китай согласились на политику взаимно гарантированной сдержанности в отношении киберпространства. Это будет включать в себя предоставление обоим государствам возможности принимать меры, которые они считают необходимыми для своей самообороны, при одновременном согласии воздерживаться от наступательных шагов; это также повлечет за собой проверку этих обязательств. [49]

См. Также [ править ]

  • Деятельность китайской разведки в других странах
  • Операции китайской разведки в США
  • Кибервойна
  • Экономический и промышленный шпионаж
  • GhostNet
  • Honker Union
  • Титановый дождь
  • Вулканбот

Ссылки [ править ]

  1. ^ a b c d e "Новый подход к Китаю" . Google Inc. 2010-01-12 . Проверено 17 января 2010 года .
  2. ^ a b c Клейтон, Марк (14 сентября 2012 г.). «Кража деловых секретов США: эксперты идентифицируют две огромные кибер-банды в Китае» . Монитор христианской науки . Проверено 24 февраля 2013 года .
  3. ^ a b « Атаки « Авроры »все еще продолжаются, следователи обращаются к создателям вредоносных программ» . Темное чтение . DarkReading.com. 2010-02-10 . Проверено 13 февраля 2010 .
  4. ^ «Adobe исследует проблему безопасности корпоративной сети» . 2010-01-12. Архивировано из оригинала на 2010-01-14.
  5. ^ «9 лет спустя: от операции« Аврора »до нулевого доверия» . Темное чтение . DarkReading.com. 2019-02-20 . Проверено 9 мая 2020 .
  6. ^ "Juniper Networks расследует кибератаки" . MarketWatch. 2010-01-15 . Проверено 17 января 2010 года .
  7. ^ «Ответ Rackspace на кибератаки» . Архивировано из оригинала 18 января 2010 года . Проверено 17 января 2010 года .
  8. ^ "Утечка электронной почты HBGary утверждает, что Morgan Stanley был взломан" . Дата обращения 2 марта 2010 .
  9. ^ a b Ча, Ариана Ынджунг; Эллен Накашима (14 января 2010 г.). «Эксперты говорят, что кибератака Google China является частью масштабной шпионской кампании» . Вашингтон Пост . Проверено 17 января 2010 года .
  10. ^ Хилле, Катрин (2010-01-20). «Китайские СМИ нанесли удар по« ​​Google Белого дома » » . Financial Times . Проверено 20 января 2010 года .
  11. ^ a b Курц, Джордж (14 января 2010 г.). «Операция« Аврора »« Гугл, другие » . McAfee, Inc. Архивировано из оригинала 11 сентября 2012 года . Проверено 17 января 2010 года .
  12. ^ Зеттер, Ким (2010-03-03). « Google“хакеров Возможность Alter исходного кода» . Проводной . Проверено 4 марта 2010 года .
  13. Клинтон, Хиллари (12 января 2010 г.). «Заявление о деятельности Google в Китае» . Государственный департамент США. Архивировано из оригинала на 2010-01-16 . Проверено 17 января 2010 года .
  14. ^ "Конгресс по расследованию обвинений Google в китайском интернет-шпионаже" . Все заголовки новостей . 13 января 2010. Архивировано из оригинала 28 марта 2010 года . Проверено 13 января 2010 года .
  15. ^ Оснос, Evan (14 января 2010). "Китай и Google:" Незаконная дань уважения цветкам " " . Житель Нью-Йорка . Дата обращения 10 ноября 2020 .
  16. ^ "Китайское правительство ищет информацию о намерениях Google" . China Daily . Синьхуа. 2010-01-13 . Проверено 18 января 2010 года .
  17. ^ Накашима, Эллен. «Китайские хакеры, взломавшие Google, получили доступ к конфиденциальным данным, - заявляют официальные лица США» . WashingtonPost . Дата обращения 5 декабря 2015 .
  18. ^ Райли, Майкл; Дюна Лоуренс (26 июля 2012 г.). "Хакеры, связанные с армией Китая, наблюдаются от ЕС до округа Колумбия" Bloomberg . Проверено 24 февраля 2013 года .
  19. ^ Герц, Билл. «Новое подразделение китайской разведки связано с программой массового кибершпионажа» . Вашингтонский свободный маяк . Дата обращения 5 ноября 2019 .
  20. ^ Anderlini Джамиль (15 января 2010). «Китайский диссидент„неизвестные гости » . Financial Times .
  21. ^ "Microsoft Security Advisory (979352)" . Microsoft. 2010-01-21 . Проверено 26 января 2010 года .
  22. ^ a b Нарайн, Райан. Microsoft знала об уязвимости нулевого дня IE с сентября прошлого года , ZDNet, 21 января 2010 г. Проверено 28 января 2010 г.
  23. ^ «Защита ваших критически важных активов, уроки, извлеченные из« Операции Аврора », McAfee Labs и McAfee Foundstone Professional Services» (PDF) . wired.com .
  24. ^ « Google“хакеры Возможность Alter Исходный код» . Проводной . Проверено 27 июля +2016 .
  25. ^ Пол, Райан (14 января 2010 г.). «Исследователи идентифицируют командные серверы, стоящие за атакой Google» . Ars Technica . Проверено 17 января 2010 года .
  26. ^ Шейн, Скотт; Лерен, Эндрю В. (28 ноября 2010 г.). «Кабели, полученные WikiLeaks, проливают свет на секретные дипломатические каналы» . Нью-Йорк Таймс . Проверено 28 ноября 2010 года .
  27. Скотт Шейн и Эндрю В. Лерен (28 ноября 2010 г.). «Утечка кабелей предлагает грубый взгляд на дипломатию США» . Нью-Йорк Таймс . Проверено 26 декабря 2010 . Взлом Google был частью скоординированной кампании компьютерного саботажа, проведенной правительственными агентами, частными экспертами по безопасности и преступниками в Интернете, нанятыми китайским правительством. Они взламывают компьютеры американского правительства и компьютеров западных союзников, Далай-ламы и американских предприятий с 2002 года ...
  28. ^ Утечка кабелей посольства США вызывает глобальный дипломатический кризис The Guardian 28 ноября 2010 г.
  29. ^ Zetter, Ким (2010-01-14). «Хакерская атака Google была сверхсложной, новые подробности» . Проводной . Проверено 23 января 2010 года .
  30. One News (19 января 2010 г.). «Франция, Германия предупреждают пользователей Internet Explorer» . ТВНЗ . Проверено 22 января 2010 года .
  31. ^ Relax News (18 января 2010 г.). «Почему стоит сменить браузер и как выбрать лучший» . Независимый . Лондон . Проверено 22 января 2010 года .
  32. ^ "Правительство выпускает предупреждение о безопасности IE" . ABC (Австралия). 19 января 2010 . Проверено 27 июля +2016 .
  33. NZ Herald Staff (19 января 2010 г.). «Франция и Германия предостерегают против Internet Explorer» . The New Zealand Herald . Проверено 22 января 2010 года .
  34. Гован, Фиона (18 января 2010 г.). «Германия предостерегает от использования Microsoft Internet Explorer» . Дейли телеграф . Лондон . Проверено 22 января 2010 года .
  35. Миллс, Элинор (14 января 2010 г.). «Новая дыра IE использовалась в атаках на американские фирмы» . CNET . Проверено 22 января 2010 года .
  36. ^ «Код нулевого дня Internet Explorer становится общедоступным» . Инфобезопасность. 18 января 2010 . Проверено 22 января 2010 года .
  37. ^ «Лаборатории безопасности - Новости и обзоры безопасности - Raytheon - Forcepoint» . Проверено 27 июля +2016 .
  38. ^ Кейзер, Грегг. «Хакеры используют новейшие эксплойты IE в атаках с проезжей части» . Проверено 27 июля +2016 .
  39. ^ a b «Лаборатории безопасности - Новости и обзоры безопасности - Raytheon - Forcepoint» . Проверено 27 июля +2016 .
  40. Кейзер, Грегг (19 января 2010 г.). «Исследователи заранее создают эксплойты для IE7, IE8» . Компьютерный мир . Проверено 22 января 2010 года .
  41. ^ "Безопасность - ZDNet" . Проверено 27 июля +2016 .
  42. ^ «Бюллетень безопасности Microsoft MS10-002 - критический» . Проверено 27 июля +2016 .
  43. ^ "Охота на Создателя Авроры" . TheNewNewInternet. 13 февраля 2010 . Проверено 13 февраля 2010 года .(Мертвая ссылка)
  44. ^ Марков, Джон; Барбоза, Дэвид (18 февраля 2010 г.). «Две китайские школы, как утверждается, причастны к онлайн-атакам» . Нью-Йорк Таймс . Проверено 26 марта 2010 года .
  45. ^ "Атака Google Aurora исходила из китайских школ" . itproportal. 19 февраля 2010 . Проверено 19 февраля 2010 года .
  46. ^ Areddy, Джеймс Т. (4 июня 2011). «Повара, которые шпионят? Отслеживание хакеров Google в Китае» - через www.wsj.com.
  47. ^ Университет, Цзяо Тонг. «Университет Цзяо Тонг - 【Shanghai Daily】 Киберэксперт критикует« шпионский »отчет» . en.sjtu.edu.cn .
  48. Шеридан, Майкл, «Китайский город - всемирный хакерский центр», London Sunday Times , 28 марта 2010 г.
  49. ^ Этциони, Amitai, "MAR: модель для американо-китайских отношений" The Diplomat , 20 сентября 2013, [1] .

Внешние ссылки [ править ]

  • Инсайдеры Google China могли помочь с атакой news.cnet.com
  • Операция «Аврора» - начало эпохи сверхсложных хакерских атак! Sporkings.com 18 января 2010 г.
  • В Google We Trust Почему противостояние компании с Китаем может изменить будущее Интернета. Рафаль Рогозински дал интервью Джессике Рамирес из Newsweek 29 января 2010 г.
  • Недавние кибератаки - больше, чем кажется на первый взгляд? Sporkings.com 19 февраля 2010 г.
  • Хакеры "Google" получили возможность изменить исходный код Wired.com 3 марта 2010 г.
  • Код "Аврора" годами распространялся на английских сайтах. Где связь с Китаем?
  • Гросс, Майкл Джозеф, « Enter the Cyber-dragon », Vanity Fair , сентябрь 2011 г.
  • Бодмер, С., Килгер, М., Карпентер, Г., и Джонс, Дж. (2012). Обратный обман: противодействие организованной киберугрозе . Нью-Йорк: McGraw-Hill Osborne Media. ISBN 0-07-177249-9 , ISBN 978-0-07-177249-5  
  • Эксплойт Operation Aurora в Internet Explorer - вживую!
  • Обзор McAfee Operation Aurora
  • Операция Аврора, объясненная CNET