Aurora hadművelet

Az Aurora hadművelet a kínai kibertámadások hosszú sorozatának  kódneve, amely 2009 második felében kezdődött, és állítólag 2010 februárjáig tartott [1] .

Ezeket az incidenseket a Google 2010. január 12-én hozta nyilvánosságra . A támadások lényege, ahogy az elején látszott, a vállalati alkalmazottakat célzó szelektív adathalászat volt, amelyen keresztül információkat gyűjtöttek hálózati tevékenységükről, információs erőforrásaikról [2] . Később azonban kiderült, hogy a Google mellett több mint 200 amerikai nagyvállalat szenvedett kárt ezekben az eseményekben, amelyektől az interneten keresztül ellopták a létrehozott szoftverek forráskódjait [3] .

Az "Aurora" név az egyik támadó számítógépen található fájl nevéből származik [4] . Az Egyesült Államok Nemzetbiztonsági Ügynökségének igazgatója , K. Alexander úgy értékelte, hogy ezek az események „a vagyon legnagyobb újraelosztása az emberiség történetében”. Ezt a vádat azzal összefüggésben hozták fel, hogy Kína állítólagos hajlamos az állandó kiberlopásra és számítógépes kémkedésre [5] [6] .

Általános információk

A Symantec szakemberei szerint az Aurora szervezői egyfajta kiberközösségnek tekinthetők, amelyet az amerikai dokumentumokban az Elderwoodnak minősítenek. Ez a csoport valószínűleg kapcsolatban áll a KNK-kormánnyal, és nagy valószínűséggel részt vesz a kibertérben folytatott titkosszolgálati műveleteiben . Ilyen következtetéseket a hackerek tevékenységének jellemzőinek, valamint az általuk használt rosszindulatú kódoknak, IP-címeknek és domainneveknek az elemzése alapján vontak le. Az "Elderwood" név a támadók által használt forráskód egyik változó nevéből származik [7] .

A Google szakértőinek következtetése szerint az amerikaiak által Aurora hadműveletnek nevezett hadművelet lándzsás adathalászattal kezdődött, amelynek révén a Google alkalmazottai információkat halásztak ki tevékenységükről és a rendelkezésükre álló szolgáltatási erőforrásokról [7] .

Az "Aurora" eredményeként a hackereknek sikerült közel kerülniük a Google Corporation forráskódjának tárházához. Ez pedig lehetővé tette, hogy titkosan módosítsák a kompromittált gépeken lévő szoftvereket, és különféle módokon manipulálják a vállalati forrásokat, például kliensek után kémkedjenek, vagy friss sebezhetőségeket hozzon létre azokban a hálózatokban, amelyek megbíztak az áldozat szoftverében. A feltört kód állítólag tartalmazta a "Gaia" rendszert, amely azoknak a felhasználóknak szól, akik egyetlen jelszóval csatlakoztak több Google szolgáltatáshoz [2] [7] .

A nyomozás során kiderült, hogy az érintett tárgyak köre olyan szélesnek bizonyult, hogy az jelentősen megnehezítette a támadók indítékainak és szándékainak megbízható felmérését. Valószínűleg az egyik kiemelt célpontjuk a kínai disszidensek voltak, akik a polgári jogok és szabadságjogok kérdésével foglalkoztak a KNK-ban. Pusztán az a lehetőség, hogy távolról hozzáférhettek az emberi jogi jogvédők számítógépeihez, veszélyeztette fájljaikat és kommunikációjukat a Gmailen keresztül. Arra a következtetésre jutottak, hogy az információs dominancia ily módon elért szintje lehetővé tette a Kínai Népköztársaság hatóságai számára a politikai stabilitás fenntartását országukon belül [2] .

A különböző üzleti szektorok vállalati célpontjaira való összpontosítás azonban azt jelzi, hogy a hackerek szándékai valószínűleg nem korlátozódtak a belpolitikai napirendre. Az áldozatok között legalább három tucat információs és űrhajózási fejlesztéssel foglalkozó amerikai nagyvállalat volt, mint például a Symantec Corporation , a Yahoo , az Adobe , a Northrop Grumman Corporation és a Dow Chemical [2] [8] . Rajtuk kívül a „ Morgan Stanley[7] befektetési bank is szenvedett , az Adobe bejelentette fejlesztései forráskódjának és 38 millió ügyfele személyes adatainak ellopását [6] . Feltételezzük, hogy az érintett vállalatok száma ezres nagyságrendű [2] [8] .

Közfelháborodás és értékelés

Az Aurora körüli információs felhajtás elérte a kongresszusi viták szintjét és az amerikai külügyminisztérium vezetőjének nyilatkozatait [9] .

A technikai elemzés lehetővé tette számunkra, hogy hozzávetőleges becslést adjunk az APT műveletekben részt vevő kihasználások arzenáljáról [8] . A támadók ipari és pénzügyi kémkedésre való összpontosítása arra engedett következtetni, hogy ez a kínai félre jellemző munkamódszer. Valószínűleg az Aurora hadművelethez kapcsolódó kibertevékenység megugrásának volt valami köze egy másik kibertámadás-sorozathoz, amelyet "Árnyos patkány hadműveletnek" neveztek ( eng. Shady RAT , 2006). Az ezekben az incidensekben érintett IP-címek vizsgálata a dél-koreai és egyesült államokbeli célpontok elleni DDoS -támadásokhoz kapcsolódó tartományokhoz vezetett 2009 nyarán. Használatuk mintáinak nyomon követése megerősítette azt a feltételezést, hogy ugyanazok a személyek végezték őket [2] .  

A szakértők azzal érvelnek, hogy valószínűleg a Kínai Népköztársaság legjobb informatikai egyetemei állnak az eseménysorozat mögött. A Shanghai Közlekedési Egyetemet és a Shandong Lanxiang Szakképző Iskolát a fő gyanúsítottak közé sorolták , annak ellenére, hogy vezetésük határozottan tagadja, hogy részt vettek volna ezekben a kibertámadásokban. Számos szakértő szerint ezek az általános oktatási intézmények a kínai fegyveres erők alakulataihoz kapcsolódnak , amelyek kifejezetten a stratégiai és gazdasági kiberkémkedés végrehajtására vannak kiképezve, például a 61398-as egység [2] [10]

A hivatalos Peking azonban tagadta, hogy a kínai állam bármilyen módon részt vett volna a kibertámadásokban, és azzal magyarázta, hogy egyes hallgatók megpróbálták javítani számítógépes ismereteiket [11] .

Technikai oldal

A támadók által használt kémprogramok magas technikai színvonalon készültek, rejtett felhasználására a végrehajtható kód titkosítását és egyéb kifinomult technológiákat alkalmaztak [12] . Abban a pillanatban, amikor egy zárt vállalati hálózatban tartózkodó potenciális áldozat felkeresett egy online csalit, egy rosszindulatú JavaScript -szkriptet töltöttek le és indítottak el a gépén, amely egy speciális trójai alkalmazást , a Trojan.Hydraq -t letöltött egy webböngésző sérülékenységén keresztül . Ez az alkalmazás a népszerű Internet Explorer böngésző számos legújabb verzióját egyszerre tudta elérni Windows 7 , Windows Vista és Windows XP [7] operációs rendszert futtató személyi számítógépeken . A trójai egy "Aurora" nevű mappába mentette magát a fertőzött gépen [12] .

Az áldozat számítógépére való behatoláshoz az Internet Explorer böngésző " use -after -free " típusú 0 napos memóriaelérési sebezhetőségét használták, ami a HTML objektumok szerkezetének megsértéséhez vezetett . Ezzel a módszerrel a támadók el tudták helyezni a rosszindulatú kódot azokon a címeken, amelyeket az objektumok a törléskor felszabadítottak. A Drive-by download a felhasználó gépének támadásának egyik módja lett , aminek következtében a gép megfertőződött [13] . Ez a fajta támadás lehetővé tette a webböngésző biztonsági beállításainak figyelmen kívül hagyását, és a helyi hálózatba való behatolás után a szervezet biztonsági protokolljának megkerülését és a rendszerhez való hozzáférést [12] . Ezt követően a hackerek távirányító eszközökkel gyűjtöttek információkat a felhasználóról és fájljairól, anélkül, hogy abbahagyták volna az online honeypot-ra mutató linkeket tartalmazó üzenetek küldését [7] .   

Lásd még

Jegyzetek

  1. Sambaluk, 2019 , Aurora hadművelet, p. 66.
  2. 1 2 3 4 5 6 7 Springer, 2017 , Aurora hadművelet, p. 214-216.
  3. Johnson, 2012 , Információs rendszerek és technológia, p. 120.
  4. Harris, 2016 , Vállalati ellentámadás, p. 269.
  5. Harris, 2016 , Kiberhadsereg létrehozása, p. 100.
  6. 1 2 Markov, 2016 , p. 70.
  7. 1 2 3 4 5 6 Sambaluk, 2019 , Aurora hadművelet, p. 67.
  8. 1 2 3 Harris, 2016 , Vállalati ellentámadás, p. 271.
  9. Agrawal, Campoe, Pierce, 2014 , Bevezetés, p. 9.
  10. Agrawal, Campoe, Pierce, 2014 , Bevezetés, p. 9, 10.
  11. Agrawal, Campoe, Pierce, 2014 , Bevezetés, p. tíz.
  12. 1 2 3 Ghosh, Turrini, 2010 , Rosszindulatú kód, p. 46.
  13. Sud, Enbody, 2013 , p. 41.

Források