Операция «Аврора»

редактировать
Серия кибератак, проведенных китайскими злоумышленниками
Операция «Аврора»
Датаиюнь – декабрь 2009 г.
МестоположениеНе указано - произошло в мировом масштабе.
РезультатДипломатический инцидент между США и Китаем
Воюющие стороны

Соединенные Штаты

Китай

Жертвы и потери
Yahoo! интеллектуальная собственность украдена

Операция «Аврора» представляла собой серию кибератак, проведенных постоянными угрозами повышенной сложности, такими как Elderwood Group, базирующаяся в Пекин, Китай, со связями с Народно-освободительной армией. Впервые публично раскрытые Google 12 января 2010 г. в записи блога, атаки начались в середине 2009 г. и продолжались до декабря 2009 г.

Атака была нацелены на десятки других организаций, из которых Adobe Systems, Akamai Technologies, Juniper Networks и Rackspace публично подтвердили, что они были. По сообщениям СМИ, Yahoo, Symantec, Northrop Grumman, Morgan Stanley, Dow Chemical и BlackBerry также были среди целей.

В результате атаки Google заявила в своем блоге, что планирует использовать полностью без цензуры версию своей поисковой системы в Китае «в рамках закона, если вообще», и признал, что, если это невозможно, он может покинуть Китай и закрыть свои китайские офисы. Официальные китайские источники утверждали, что это было частью стратегии, разработанной правительством США.

Атака была названа «Операцией Аврора» Дмитрием Альперовичем, вице-президентом по исследованию угроз компании кибербезопасности McAfee. Исследование, проведенное McAfee Labs, обнаружило, что «Аврора» была частью пути к файлу на машине злоумышленника, который был включен в два из вредоносных программ двоичных файлов, которые, по словам McAfee, были связаны с атакой. «Мы полагаем, что это было внутреннее имя, которое злоумышленник дал этой операции», - сказал в своем блоге технический директор McAfee Джордж Курц.

Согласно McAfee, основная цель атаки заключалась в том, чтобы получить доступ и потенциально изменить исходный код репозиториев в этих компаниях-подрядчиках, занимающихся высокими технологиями, безопасностью и обороной. «[SCM ] были широко открыты, - говорит Альперович. «Никто никогда не думал о том, чтобы защитить их, но они были жемчужиной большинства этих компаний во многих отношениях - гораздо более ценными, чем любые финансовые или идентифицируемые данные, которые они могут иметь и на защиту которых они тратят так много времени и усилий» <242.>Содержание

  • 1 История
  • 2 Участвующие злоумышленники
  • 3 Анализ атак
  • 4 Реакция и последствия
  • 5 См. Также
  • 6 Ссылки
  • 7 Внешние ссылки

История

Цветы остались возле штаб-квартиры Google China после того, как она объявила о том, что она может покинуть страну.

12 января 2010 года Google сообщил в своем блоге, что он стал жертвой кибератаки. Компания сообщила, что атака произошла в середине декабря и исходила из Китая. Google заявил, что нападению подверглись более 20 других компаний; другие источники с тех пор указали, что нападениями стали более 34 организаций. В результате атаки Google заявила, что пересматривает свой бизнес в Китае. В тот же день госсекретарь США Хиллари Клинтон выступила с кратким заявлением, осуждающим атаки и требуя ответа от Китая.

13 января 2010 г. информационное агентство All Headline News сообщило, что Конгресс США планирует расследовать утверждения Google о том, что китайское правительство использовало сервис компании для слежки за правозащитниками.

В Пекине посетители оставляли цветы возле офиса Google. Однако позже они были удалены, и китайский охранник заявил, что это «незаконный подношение цветов». Правительство Китая еще не дало официального ответа, хотя анонимное должностное лицо заявило, что Китай хочет получить дополнительную информацию о намерениях Google.

Злоумышленники задействовали

Технические доказательства, включая IP-адреса, доменные имена, вредоносное ПО подписи и другие факторы показывают, что за атакой операции «Аврора» стоял Элдервуд. Группа «Элдервуд» была названа Symantec в честь переменной исходного кода, используемой злоумышленниками, и упоминается как «Пекинская группа» в компании Dell Secureworks. Группа получила часть исходного кода Google, а также доступ к информации о китайских активистах. Elderwood также нацелился на множество других компаний в сфере судоходства, аэронавтики, вооружений, энергетики, производства, машиностроения, электроники, финансов и программного обеспечения.

Обозначение "APT" для китайских злоумышленников, ответственных за атаки на Google, - APT17

Elderwood специализируется на атаках и проникновении в поставщиков оборонной промышленности второго уровня, которые производят электронные или механические компоненты для ведущих оборонных компаний. Затем эти фирмы становятся кибер-«ступенькой» для доступа к ведущим оборонным подрядчикам. Одна из процедур атаки, используемая Элдервудом, заключается в заражении законных веб-сайтов, посещаемых сотрудниками целевой компании, - так называемая атака «водяной дыры», подобно тому как львы застревают в водопое для своей добычи. Элдервуд заражает эти менее защищенные сайты вредоносным ПО, которое загружается на компьютер, который нажимает на сайт. После этого группа выполняет поиск в сети, к которой подключен зараженный компьютер, находя и затем загружая электронные письма руководителей и важные документы о планах, решениях, приобретениях и дизайне продуктов компании.

Анализ атак

В своем блоге Google заявил, что часть его интеллектуальной собственности была украдена. Он предполагал, что злоумышленники были заинтересованы в доступе к учетным записям Gmail китайских диссидентов. Согласно Financial Times, две учетные записи, используемые Ай Вэйвэем, подверглись атаке, их содержимое было прочитано и скопировано; его банковские счета были расследованы агентами государственной безопасности, которые утверждали, что он находился под следствием по "неустановленным предполагаемым преступлениям". Однако злоумышленники могли просматривать сведения только о двух учетных записях, и эти сведения ограничивались такими вещами, как тема и дата создания учетных записей.

Эксперты по безопасности сразу отметили изощренность атаки. Через два дня после того, как атака стала достоянием общественности, McAfee сообщила, что злоумышленники использовали предполагаемые уязвимости нулевого дня (нефиксированные и ранее неизвестные разработчикам целевой системы) в Internet Explorer и окрестили атаку «Операция Аврора». Спустя неделю после отчета McAfee Microsoft выпустила исправление проблемы и признала, что им было известно о дыре в безопасности, использованной с сентября. Дополнительные уязвимости были обнаружены в Perforce, программном обеспечении для редактирования исходного кода, используемом Google для управления их исходным кодом. Лаборатория iDefense Labs

VeriSign утверждала, что атаки были совершены "агентами Китая". государства или его доверенных лиц ".

Согласно дипломатической телеграмме из посольства США в Пекине, китайский источник сообщил, что Политбюро Китая руководило вторжением в компьютер Google системы. В телеграмме говорилось, что атака была частью скоординированной кампании, проводимой «правительственными агентами, экспертами по общественной безопасности и интернет-преступниками, нанятыми китайским правительством». В отчете говорилось, что это было частью продолжающейся кампании, в ходе которой злоумышленники «взламывали компьютеры американского правительства и компьютеры западных союзников, Далай-ламы и американские предприятия с 2002 года». Согласно сообщению The Guardian об утечке, атаки были «организованы высокопоставленным членом Политбюро, который ввел свое имя в глобальную версию поисковой системы и нашел статьи, критикующие его лично».

После того, как система жертвы была взломана, бэкдор-соединение, маскирующееся под соединение SSL, установило соединения с серверами управления и контроля, работающими в Иллинойсе, Техасе и Тайване, включая машины, которые работали под украденными учетными записями клиентов Rackspace. Затем машина жертвы начала исследовать защищенную корпоративную интрасеть, частью которой она была, искать другие уязвимые системы, а также источники интеллектуальной собственности, в частности, содержимое репозиториев исходного кода.

Предполагалось, что атаки окончательно закончилась 4 января, когда серверы управления и контроля были отключены, хотя на данный момент неизвестно, отключили ли их злоумышленники намеренно или нет. Однако по состоянию на февраль 2010 года атаки продолжались.

Реакция и последствия

Правительства Германии, Австралии и Франции публично предупредили пользователей Internet Explorer после атаки, посоветовав им используйте альтернативные браузеры по крайней мере до тех пор, пока не будет исправлена ​​дыра в безопасности. Правительства Германии, Австралии и Франции считают все версии Internet Explorer уязвимыми или потенциально уязвимыми.

14 января 2010 г. в информационном сообщении Microsoft говорится, что злоумышленники, нацеленные на Google и другие компании США, использовали программное обеспечение, которое использует уязвимость. в Internet Explorer. Уязвимость затрагивает версии Internet Explorer 6, 7 и 8 в Windows 7, Vista, Windows XP, Server 2003, Server 2008 R2, а также IE 6 с пакетом обновления 1 (SP1) в Windows 2000 с пакетом обновления 4.

Код эксплойта Internet Explorer, использованный в атаке, стал общедоступным и включен в инструмент тестирования на проникновение Metasploit Framework. Копия эксплойта была загружена в Wepawet, службу для обнаружения и анализа вредоносных программ в Интернете, управляемую группой компьютерной безопасности Калифорнийского университета в Санта-Барбаре. «Публичный выпуск кода эксплойта увеличивает вероятность широкомасштабных атак с использованием уязвимости Internet Explorer», - сказал об атаке Джордж Курц, технический директор McAfee. «Теперь общедоступный компьютерный код может помочь киберпреступникам создавать атаки, использующие эту уязвимость для компрометации систем Windows».

Охранная компания Websense заявила, что выявила «ограниченное публичное использование» незащищенной уязвимости IE в скрытых атаках на пользователей, которые попали на вредоносные веб-сайты. Согласно Websense, обнаруженный им код атаки совпадает с обнаруженным на прошлой неделе эксплойтом. «Пользователи Internet Explorer в настоящее время сталкиваются с реальной и реальной опасностью из-за публичного раскрытия уязвимости и выпуска кода атаки, что увеличивает вероятность широкомасштабных атак», - сказал Джордж Курц, технический директор McAfee, в обновлении блога .. Подтверждая это предположение, 19 января Websense Security Labs выявила дополнительные сайты, использующие эксплойт. Согласно отчетам Ahnlab, второй URL-адрес был распространен через сеть мгновенных сообщений Misslee Messenger, популярный клиент обмена мгновенными сообщениями в Южной Корее.

Исследователи создали код атаки, который использует уязвимость в Internet Explorer 7 (IE7) и IE8, даже если включена рекомендованная Microsoft защитная мера (Data Execution Prevention (DEP)). По словам Дино Дай Зови, исследователя уязвимостей системы безопасности, «даже новейший IE8 небезопасен от атак, если он работает в Windows XP с пакетом обновления 2 (SP2) или более ранней версии, или в Windows Vista RTM (от выпуска до производства), версия Microsoft поставила продукт в январе 2007 года. "

Microsoft признала, что использованная дыра в безопасности была им известна с сентября. Работа над обновлением была приоритетной, и в четверг, 21 января 2010 г., Microsoft выпустила исправление безопасности, направленное на устранение этой уязвимости, опубликованных на ее основе эксплойтов и ряда других уязвимостей, о которых сообщалось в частном порядке. В них не сообщается, использовались ли или публиковались какие-либо из последних злоумышленников или имели ли они какое-либо конкретное отношение к операции Aurora, но все накопительное обновление было названо критическим для большинства версий Windows, включая Windows 7.

Исследователи безопасности продолжили расследование атак. HBGary, охранная фирма, опубликовала отчет, в котором утверждала, что обнаружила несколько важных маркеров, которые могут помочь идентифицировать разработчика кода. Фирма также заявила, что код основан на китайском языке, но не может быть конкретно привязан к какой-либо государственной структуре.

19 февраля 2010 года эксперт по безопасности, расследующий кибератаку на Google, заявил, что люди За атакой также были ответственны кибератаки на несколько компаний из списка Fortune 100 за последние полтора года. Они также отследили атаку до ее источника, которым, по всей видимости, были две китайские школы: Шанхайский университет Цзяо Тонг и Профессиональное училище Ланьсян. Как подчеркивает The New York Times, обе эти школы связаны с китайской поисковой системой Baidu, конкурентом Google China. Как Lanxiang Vocational, так и Jiaotong University опровергли это обвинение.

В марте 2010 года Symantec, которая помогала расследовать атаку для Google, идентифицировала Shaoxing как источник 21,3% всех (12 миллиардов) вредоносных электронных писем, отправленных по всему миру.

Чтобы предотвратить будущие кибератаки, такие как операция «Аврора», Амитаи Эциони из Института исследований коммунистической политики предположил, что Соединенные Штаты Государства и Китай соглашаются с политикой гарантированной взаимной сдержанности в отношении киберпространства. Это будет включать в себя предоставление обоим государствам возможности принимать меры, которые они считают необходимыми для своей самообороны, при одновременном согласии воздерживаться от наступательных шагов; это также повлечет за собой проверку этих обязательств.

См. также

Ссылки

Внешние ссылки

Последняя правка сделана 2021-06-01 12:58:10
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте