Operation Aurora

Operation Aurora är kodnamnet  för en lång rad kinesiska cyberattacker som började under andra halvan av 2009 och påstås ha fortsatt till februari 2010 [1] .

Dessa incidenter offentliggjordes av Google den 12 januari 2010. Som det verkade i början var kärnan i attackerna selektivt nätfiske riktat mot företagsanställda, genom vilket information samlades in om deras nätverksaktivitet och informationsresurser [2] . Senare visade det sig dock att förutom Google drabbades mer än 200 stora amerikanska företag under dessa händelser, från vilka källkoderna för den skapade programvaran stals via Internet [3] .

Namnet "Aurora" kom från namnet på en fil på en av de attackerande datorerna [4] . Direktören för den amerikanska nationella säkerhetsbyrån K. Alexander bedömde omfattningen av dessa händelser som "den största omfördelningen av välstånd i mänsklighetens historia." Denna anklagelse framfördes i samband med Kinas påstådda benägenhet för ständig cyberstöld och cyberspionage [5] [6] .

Allmän information

Enligt Symantecs specialister kan arrangörerna av Aurora betraktas som ett slags cybergemenskap, som i amerikanska dokument klassificeras som Elderwood. Denna grupp har sannolikt någon koppling till Kinas regering och är med största sannolikhet involverad i dess underrättelseverksamhet i cyberrymden . Sådana slutsatser gjordes på grundval av en analys av egenskaperna hos hackares aktivitet, såväl som den skadliga kod de använder, IP-adresser och domännamn. Namnet "Elderwood" kommer från namnet på en av variablerna i källkoden som används av angripare [7] .

Enligt slutsatsen från Googles experter började det som amerikanerna kallade Operation Aurora med spear phishing, genom vilket Googles anställda fiskades fram information om sina aktiviteter och om de tjänsteresurser som var tillgängliga för dem [7] .

Som ett resultat av "Aurora" lyckades hackare komma nära arkivet för källkoden för Google Corporation. Detta gjorde det i sin tur möjligt att i hemlighet modifiera programvara på komprometterade maskiner och manipulera företagskällor på olika sätt, som att spionera på klienter eller skapa nya sårbarheter i nätverk som litade på offrets programvara. Den komprometterade koden inkluderade enligt uppgift "Gaia"-systemet, avsett för de användare som anslutit till flera Google-tjänster med ett enda lösenord [2] [7] .

Under utredningen visade det sig att utbudet av berörda föremål visade sig vara så stort att det avsevärt komplicerade den tillförlitliga bedömningen av angriparnas motiv och avsikter. Troligtvis var ett av deras prioriterade mål kinesiska dissidenter som tog upp frågan om medborgerliga rättigheter och friheter i Kina. Bara möjligheten att fjärråtkomst till datorer för människorättsförsvarare äventyrade deras filer och kommunikation via Gmail. Man drog slutsatsen att nivån på informationsdominans som uppnåddes på detta sätt gjorde det möjligt för de kinesiska myndigheterna att upprätthålla politisk stabilitet i sitt land [2] .

Fokus på företagens mål i olika branscher tyder dock på att det är troligt att hackarnas avsikter inte var begränsade till den inrikespolitiska agendan. Bland offren fanns minst tre dussin stora amerikanska företag associerade med informations- och rymdutveckling, såsom Symantec Corporation , Yahoo , Adobe , Northrop Grumman Corporation och Dow Chemical [2] [8] . Utöver dem drabbades investeringsbanken " Morgan Stanley " [7] och Adobe tillkännagav stölden av källkoderna för dess utveckling och personuppgifter från 38 miljoner av dess kunder [6] . Det antas att det totala antalet berörda företag uppgår till tusentals [2] [8] .

Offentlig ramaskri och bedömning

Informationshypen kring Aurora nådde nivån för diskussioner i kongressen och uttalanden från chefen för det amerikanska utrikesdepartementet [9] .

Teknisk analys gjorde det möjligt för oss att ge en grov uppskattning av arsenalen av utnyttjande som är involverade i APT- operationer [8] . Angriparnas fokus på industri- och finansspionage ledde till slutsatsen att detta är ett arbetssätt som är typiskt för den kinesiska sidan. Mest troligt hade ökningen av cyberaktivitet i samband med Operation Aurora något att göra med en annan serie cyberattacker, som kallades "Operation Shady Rat" ( eng.  Shady RAT , 2006). En undersökning av de IP-adresser som var inblandade i dessa incidenter ledde till intervall associerade med DDoS- attacker mot mål i Sydkorea och USA sommaren 2009. Att spåra mönstren för deras användning bekräftade antagandet att de utfördes av samma personer [2] .

Experter hävdar att det troligen är de bästa universiteten i Kina inom informationsteknik som ligger bakom denna serie av evenemang. Shanghai Transportation University och Shandong Lanxiang Vocational School har utnämnts till de främsta misstänkta , trots att deras ledarskap starkt förnekar all inblandning i dessa cyberattacker. Ett antal experter föreslår att dessa allmänna utbildningsinstitutioner är förknippade med formationerna av de kinesiska väpnade styrkorna , som är speciellt skärpta för uppgifterna att bedriva strategiskt och ekonomiskt cyberspionage, till exempel enhet 61398 [2] [10]

Det officiella Peking förnekade dock all inblandning av den kinesiska staten i cyberattacker, och förklarade dem som försök från några studenter att förbättra sina datorkunskaper [11] .

Teknisk sida

Spionprogrammet som angriparna använde skapades på en hög teknisk nivå, och för dess hemliga användning användes kryptering av den körbara koden och andra sofistikerade teknologier [12] . I det ögonblick när ett potentiellt offer, beläget i ett slutet företagsnätverk, besökte ett onlinebete, laddades ett skadligt JavaScript- skript ner och lanserades på hennes maskin, som laddade ner en speciell trojansk applikation Trojan.Hydraq genom en webbläsares sårbarhet . Denna applikation kunde träffa flera av de senaste versionerna av den populära webbläsaren Internet Explorer på en gång på persondatorer som kör Windows 7 , Windows Vista och Windows XP [7] operativsystem . Trojanen sparade sig själv på den infekterade maskinen i en mapp som heter "Aurora" [12] .

För att penetrera offrets dator användes 0- dagars minnesåtkomstsårbarhet av typen " använd  -efter-fri " i webbläsaren Internet Explorer, vilket ledde till kränkningar av strukturen för HTML - objekt. Med den här metoden kunde angriparna placera den skadliga koden på adresserna som släpptes av objekten när de raderades. Drive-by-nedladdning blev ett  sätt att attackera användarens maskin , som ett resultat av vilket maskinen blev infekterad [13] . Denna typ av attack gjorde det möjligt att ignorera säkerhetsinställningarna för en webbläsare, och efter att ha penetrerat det lokala nätverket, kringgå organisationens säkerhetsprotokoll och få tillgång till systemet [12] . Därefter använde hackarna fjärrkontrollverktyg för att samla in information om användaren och hans filer, utan att sluta skicka meddelanden med länkar till online honeypot [7] .

Se även

• Kinas militära cyberoperationer
• titan regn

Anteckningar

1. ↑ Sambaluk, 2019 , Operation Aurora, sid. 66.
2. ↑ 1 2 3 4 5 6 7 Springer, 2017 , Operation Aurora, sid. 214-216.
3. ↑ Johnson, 2012 , Informationssystem och teknologi, sid. 120.
4. ↑ Harris, 2016 , Corporate Counteratack, sid. 269.
5. ↑ Harris, 2016 , Skapa en cyberarmé, sid. 100.
6. ↑ 1 2 Markov, 2016 , sid. 70.
7. ↑ 1 2 3 4 5 6 Sambaluk, 2019 , Operation Aurora, sid. 67.
8. ↑ 1 2 3 Harris, 2016 , Corporate Counteratack, sid. 271.
9. ↑ Agrawal, Campoe, Pierce, 2014 , Introduktion, s. 9.
10. ↑ Agrawal, Campoe, Pierce, 2014 , Introduktion, s. 9, 10.
11. ↑ Agrawal, Campoe, Pierce, 2014 , Introduktion, s. tio.
12. ↑ 1 2 3 Ghosh, Turrini, 2010 , Malicious Code, sid. 46.
13. ↑ Sud, Enbody, 2013 , sid. 41.

Källor

• A.S. Markov. Krönikor om cyberkrig och den största omfördelningen av välstånd i historien // Cybersäkerhetsfrågor: tidskrift. - 2016. - V. 14, nr 1. - S. 68-74.
• A. Sud, R. Enbody. Riktade cyberattacker // Öppna system. DBMS": journal. - 2013. - T. 190, nr 4. - S. 41-45.
• S. Harris. Cyberwar@: Femte operationsplatsen. - M .  : "Alpina facklitteratur", 2016. - 390 s. - BBC  65.290s51: 68.23-2 . — UDC  007:341.326.12 . - ISBN 978-5-91671-495-1 .
• Conflict in the 21st Century: The Impact of Cyber ​​​​Warfare, Social Media and Technology: [ eng. ]  / NM Sambaluk. - ABC-CLIO, 2019. - ISBN 978-1-4408-6000-3 .
• Cyberbrott: A Multidisciplinary Analysis: [ eng. ]  / S. Ghosh, E. Turrini. - Springer, 2010. - ISBN 978-3-642-13546-0 .
• Informationssäkerhet och IT-riskhantering: [ eng. ]  / M. Agrawal, A. Campoe, E. Pierce. - Wiley, 2014. - ISBN 978-1-118-33589-5 .
• Encyclopedia of Cyber ​​​​Warfare: [ eng. ]  / PJ Springer. - ABC-CLIO, 2017. - ISBN 978-1-4408-4425-6 .
• Makt, nationell säkerhet och omvälvande globala händelser: utmaningar som Amerika, Kina och Iran står inför: [ eng. ]  / Thomas A. Johnson. - CRC Press, 2012. - ISBN 9781439884225 .