Tot ce trebuie să știți despre operațiunea Aurora

În ianuarie 2010, Google a dezvăluit că a devenit victima unui atac cibernetic sofisticat originar din China. Atacatorii au vizat rețeaua corporativă a Google, ceea ce a dus la furtul de proprietate intelectuală și accesul la conturile Gmail ale activiștilor pentru drepturile omului. Pe lângă Google, atacul a vizat și peste 30 de companii din sectoarele fintech, media, internet și chimie.

Aceste atacuri au fost efectuate de grupul chinez Elderwood și ulterior denumite de experții în securitate operațiunea Aurora. Deci, ce sa întâmplat de fapt? Cum s-a realizat? Și care au fost consecințele operațiunii Aurora?

Ce este Operațiunea Aurora?

Operațiunea Aurora a fost o serie de atacuri cibernetice vizate împotriva a zeci de organizații, printre care Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace și Dow Chemicals, printre altele. Google a împărtășit mai întâi detalii despre atacuri într-o postare pe blog care a susținut că acestea sunt atacuri sponsorizate de stat.

La scurt timp după anunțul Google, alte peste 30 de firme au dezvăluit că același adversar a încălcat rețelele lor corporative.

Numele atacurilor provine de la referințele din malware la un folder numit „Aurora” găsit de cercetătorii MacAfee pe unul dintre computerele folosite de atacatori.

Cum a fost efectuat atacul?

Această operațiune de spionaj cibernetic a fost inițiată folosind tehnica spear-phishing. Inițial, utilizatorii vizați au primit o adresă URL rău intenționată într-un e-mail sau un mesaj instantaneu care a inițiat o serie de evenimente. Pe măsură ce utilizatorii făceau clic pe adresa URL, i-ar duce la un site web care executa cod JavaScript rău intenționat.

Codul JavaScript a exploatat o vulnerabilitate în Microsoft Internet Explorer care era destul de necunoscută la acea vreme. Astfel de vulnerabilități sunt adesea numite „exploatații de zi zero”.

Exploatarea zero-day a permis malware-ului să ruleze în Windows și să creeze o ușă în spate pentru infractorii cibernetici preia controlul asupra sistemului și fură acreditările, proprietatea intelectuală sau orice altceva ar fi fost căutarea.

Care a fost scopul operațiunii Aurora?

Operațiunea Aurora a fost un atac extrem de sofisticat și de succes. Dar adevăratele motive din spatele atacului rămân neclare. Când Google a dezvăluit bomba Aurora, a declarat următoarele motive și consecințe:

• Furtul de proprietate intelectuală: Atacatorii au vizat infrastructura corporativă, ceea ce a dus la furtul de proprietate intelectuală.
• Spionajul cibernetic: De asemenea, a spus că atacurile au făcut parte dintr-o operațiune de spionaj cibernetic care a încercat să se infiltreze în conturile Gmail ale dizidenților chinezi și ale activiștilor pentru drepturile omului.

Cu toate acestea, câțiva ani mai târziu, un director senior al Institutul Microsoft pentru Tehnologie Avansată a declarat că atacurile au fost de fapt menite să cerceteze guvernul SUA, să verifice dacă acesta a descoperit identitatea agenților chinezi sub acoperire care își îndeplineau atribuțiile în Statele Unite.

De ce a atras atât de multă atenție operațiunea Aurora?

Operațiunea Aurora este un atac cibernetic larg discutat din cauza naturii atacurilor. Iată câteva puncte cheie care îl fac să iasă în evidență:

• Aceasta a fost o campanie foarte țintită în care atacatorii au avut informații detaliate despre țintele lor. Acest lucru ar putea sugera implicarea unei organizații mai mari și chiar a unor actori ai statului național.
• Incidentele cibernetice au loc tot timpul, dar multe companii nu vorbesc despre ele. Pentru o companie la fel de sofisticată precum Google, a ieși și a o dezvălui în public este o mare problemă.
• Mulți experți în securitate consideră guvernul chinez responsabil pentru atacuri. Dacă zvonurile sunt adevărate, atunci ai o situație în care un guvern atacă entitățile corporative într-un mod niciodată expus până acum.

Consecința Operațiunii Aurora

La patru luni după atacuri, Google a decis să-și închidă operațiunile în China. S-a încheiat Google.com.cn și a redirecționat tot traficul către Google.com.hk — o versiune Google pentru Hong Kong, deoarece Hong Kong menține legi diferite față de China continentală.

De asemenea, Google și-a restructurat abordarea pentru a atenua șansele ca astfel de incidente să se repete. A implementat arhitectură zero-trust numit BeyondCorp, care sa dovedit a fi o decizie bună.

Multe companii oferă inutil privilegii de acces ridicate, care le permit să facă modificări în rețea și să opereze fără restricții. Deci, dacă un atacator găsește o cale către un sistem cu privilegii la nivel de administrator, poate folosi cu ușurință aceste privilegii.

Modelul zero-trust funcționează pe principiile accesului cu cel mai mic privilegiu și nano-segmentarea. Este o nouă modalitate de a stabili încrederea în care utilizatorii pot accesa doar acele părți ale rețelei de care au cu adevărat nevoie. Deci, dacă acreditările unui utilizator sunt compromise, atacatorii pot accesa doar instrumentele și aplicațiile disponibile pentru acel utilizator.

Mai târziu, multe alte firme au început să adopte paradigma zero-trust prin reglementarea accesului la instrumente și aplicații sensibile în rețelele lor. Scopul este de a verifica fiecare utilizator și de a îngreuna atacatorii să provoace daune pe scară largă.

Apărarea împotriva operațiunii Aurora și a atacurilor similare

Atacurile operațiunii Aurora au dezvăluit că și organizațiile cu resurse semnificative precum Google, Yahoo și Adobe pot fi în continuare victimizate. Dacă marile companii IT cu finanțare enormă pot fi piratate, atunci firmele mai mici cu mai puține resurse vor avea dificultăți să se apere împotriva unor astfel de atacuri. Totuși, Operațiunea Aurora ne-a învățat și anumite lecții importante care ne pot ajuta să ne apărăm de atacuri similare.

Atenție la ingineria socială

Atacurile au evidențiat riscul elementului uman în securitatea cibernetică. Oamenii sunt principalii propagatori ai atacurilor, iar natura de inginerie socială a clicurilor pe linkuri necunoscute nu sa schimbat.

Pentru a se asigura că atacurile de tip Aurora nu se mai repetă, companiile trebuie să revină la elementele de bază ale securității informațiilor. Ei trebuie să educe angajații cu privire la practicile sigure de securitate cibernetică și la modul în care interacționează cu tehnologia.

Natura atacurilor a devenit atât de sofisticată încât chiar și unui profesionist experimentat în securitate îi este greu să o facă distinge o adresă URL bună de una rău intenționată.

Utilizați criptarea

VPN-urile, serverele proxy și mai multe straturi de criptare pot fi folosite pentru a ascunde comunicațiile rău intenționate dintr-o rețea.

Pentru a detecta și a preveni comunicațiile computerelor compromise, toate conexiunile la rețea trebuie monitorizate, în special cele care ies în afara rețelei companiei. Identificarea activității anormale în rețea și monitorizarea volumului de date care iese de la un computer poate fi o modalitate bună de a-i evalua starea de sănătate.

Executați prevenirea execuției datelor

O altă modalitate de a minimiza amenințările de securitate este să rulați Data Execution Prevention (DEP) pe computer. DEP este o caracteristică de securitate care împiedică rularea scripturilor neautorizate în memoria computerului dumneavoastră.

Îl puteți activa accesând Sistem și securitate > Sistem > Setări avansate de sistem în Panoul de control.

Activarea funcției DEP va îngreuna atacatorii să efectueze atacuri asemănătoare Aurora.

Aurora și calea înainte

Lumea nu a fost niciodată mai expusă riscurilor atacurilor sponsorizate de stat ca acum. Deoarece majoritatea companiilor se bazează acum pe o forță de muncă de la distanță, menținerea securității este mai dificilă ca niciodată.

Din fericire, companiile adoptă rapid abordarea de securitate zero-trust care funcționează pe principiul de a nu avea încredere în nimeni fără o verificare continuă.

Dezmințit: 6 mituri despre securitatea cu încredere zero

Modelul Zero Trust este o modalitate eficientă de limitare a încălcării datelor, dar există prea multe concepții greșite cu privire la implementarea acestuia.

Citiți în continuare

Despre autor