Viskas, ką reikia žinoti apie operaciją „Aurora“.

2010 m. sausio mėn. „Google“ paskelbė, kad tapo sudėtingos kibernetinės atakos, kilusios iš Kinijos, auka. Užpuolikai nusitaikė į „Google“ korporatyvinį tinklą, dėl kurio buvo pavogta intelektinė nuosavybė ir prieiga prie žmogaus teisių aktyvistų „Gmail“ paskyrų. Be „Google“, ataka taip pat buvo nukreipta į daugiau nei 30 įmonių fintech, žiniasklaidos, interneto ir chemijos sektoriuose.

Šias atakas surengė Kinijos „Elderwood Group“, o vėliau saugumo ekspertai pavadino „Operacija Aurora“. Taigi, kas iš tikrųjų atsitiko? Kaip tai buvo vykdoma? O kokios buvo operacijos „Aurora“ pasekmės?

Kas yra operacija „Aurora“?

Operacija „Aurora“ buvo serija tikslinių kibernetinių atakų prieš dešimtis organizacijų, įskaitant „Google“, „Adobe“, „Yahoo“, „Symantec“, „Morgan Stanley“, „Rackspace“ ir „Dow Chemicals“. „Google“ pirmiausia pasidalijo informacija apie atakas tinklaraščio įraše, kuriame teigiama, kad tai buvo valstybės remiamos atakos.

Netrukus po „Google“ pranešimo daugiau nei 30 kitų įmonių atskleidė, kad tas pats priešininkas pažeidė jų įmonių tinklus.

Atakų pavadinimas kilęs iš kenkėjiškoje programoje esančių nuorodų į aplanką pavadinimu „Aurora“, kurį MacAfee tyrėjai rado viename iš užpuolikų naudotų kompiuterių.

Kaip buvo įvykdytas išpuolis?

Ši kibernetinio šnipinėjimo operacija buvo pradėta naudojant spear-phishing technika. Iš pradžių tiksliniai vartotojai gavo kenkėjišką URL el. laiške arba momentine žinute, kuri inicijavo įvykių seriją. Kai naudotojai spustelėjo URL, jis nuves juos į svetainę, kuri vykdė tolesnį kenkėjišką „JavaScript“ kodą.

JavaScript kodas išnaudojo Microsoft Internet Explorer pažeidžiamumą, kuris tuo metu buvo gana nežinomas. Tokie pažeidžiamumai yra dažnai vadinami „nulinės dienos išnaudojimais“.

Nulinės dienos išnaudojimas leido kenkėjiškoms programoms paleisti sistemoje Windows ir sukurti užpakalines duris kibernetiniams nusikaltėliams valdyti sistemą ir pavogti kredencialus, intelektinę nuosavybę ar bet ką kitą Ieškau.

Koks buvo operacijos „Aurora“ tikslas?

Operacija „Aurora“ buvo labai sudėtinga ir sėkminga ataka. Tačiau tikrosios išpuolio priežastys lieka neaiškios. Kai „Google“ atskleidė „Aurora“ bombą, ji nurodė šias priežastis ir pasekmes:

• Intelektinės nuosavybės vagystės: Užpuolikai nusitaikė į įmonės infrastruktūrą, dėl ko buvo pavogta intelektinė nuosavybė.
• Kibernetinis šnipinėjimas: Jame taip pat teigiama, kad atakos buvo kibernetinio šnipinėjimo operacijos, kuria buvo bandoma įsiskverbti į Kinijos disidentų ir žmogaus teisių aktyvistų Gmail paskyras, dalis.

Tačiau po kelerių metų vyresnysis direktorius „Microsoft“ pažangiųjų technologijų institutas pareiškė, kad išpuoliais iš tikrųjų buvo siekiama ištirti JAV vyriausybę ir patikrinti, ar ji atskleidė slaptų Kinijos agentų, vykdančių savo pareigas Jungtinėse Valstijose, tapatybę.

Kodėl operacija „Aurora“ sulaukė tiek dėmesio?

Operacija Aurora yra plačiai aptarinėjama kibernetinė ataka dėl atakų pobūdžio. Štai keletas pagrindinių punktų, dėl kurių jis išsiskiria:

• Tai buvo labai tikslinga kampanija, kurios metu užpuolikai turėjo išsamią žvalgybą apie savo taikinius. Tai gali reikšti, kad dalyvauja didesnė organizacija ir net nacionalinės valstybės veikėjai.
• Kibernetinių incidentų įvyksta nuolat, tačiau daugelis įmonių apie juos nekalba. Tokiai sudėtingai įmonei, kaip „Google“, yra didelis dalykas išeiti ir atskleisti tai viešai.
• Daugelis saugumo ekspertų laiko Kinijos vyriausybę atsakinga už atakas. Jei gandai yra teisingi, tuomet susiklostė situacija, kai vyriausybė atakuoja korporacinius subjektus taip, kaip anksčiau nebuvo atskleista.

Operacijos „Aurora“ pasekmės

Praėjus keturiems mėnesiams po atakų, „Google“ nusprendė nutraukti savo veiklą Kinijoje. Ji nutraukė Google.com.cn ir visą srautą nukreipė į Google.com.hk – Honkongui skirtą „Google“ versiją, nes Honkonge galioja skirtingi įstatymai, taikomi žemyninei Kinijai.

„Google“ taip pat pertvarkė savo požiūrį, kad sumažintų tokių incidentų pasikartojimo tikimybę. Tai įgyvendino nulinio pasitikėjimo architektūra vadinamas BeyondCorp, kuris pasirodė esąs geras sprendimas.

Daugelis įmonių be reikalo suteikia padidintas prieigos teises, kurios leidžia keisti tinklą ir veikti be apribojimų. Taigi, jei užpuolikas randa kelią į sistemą su administratoriaus lygio teisėmis, jis gali lengvai piktnaudžiauti jomis.

Nulinio pasitikėjimo modelis veikia mažiausios privilegijos principų ir nano-segmentacija. Tai naujas būdas sukurti pasitikėjimą, kai vartotojai gali pasiekti tik tas tinklo dalis, kurių jiems tikrai reikia. Taigi, jei vartotojo kredencialai yra pažeisti, užpuolikai gali pasiekti tik tam konkrečiam vartotojui prieinamus įrankius ir programas.

Vėliau daug daugiau įmonių pradėjo taikyti nulinio pasitikėjimo paradigmą, reguliuodamos prieigą prie jautrių įrankių ir programų savo tinkluose. Tikslas yra patikrinti kiekvieną vartotoją ir apsunkinti užpuolikams padaryti didelę žalą.

Apsauga nuo operacijos „Aurora“ ir panašių išpuolių

Operacijos „Aurora“ atakos atskleidė, kad net organizacijos, turinčios daug išteklių, pvz., „Google“, „Yahoo“ ir „Adobe“, vis tiek gali tapti aukomis. Jei didelės IT įmonės, turinčios milžinišką finansavimą, gali būti įsilaužtos, mažesnėms įmonėms, turinčioms mažiau išteklių, bus sunku apsiginti nuo tokių atakų. Tačiau operacija „Aurora“ taip pat išmokė mus tam tikrų svarbių pamokų, kurios gali padėti apsiginti nuo panašių išpuolių.

Saugokitės socialinės inžinerijos

Išpuoliai išryškino žmogiškojo elemento pavojų kibernetiniam saugumui. Žmonės yra pagrindiniai atakų skleidėjai, o nežinomų nuorodų paspaudimo socialinės inžinerijos pobūdis nepasikeitė.

Kad į Aurorą panašūs išpuoliai nepasikartotų, įmonės turi grįžti prie informacijos saugumo pagrindai. Jie turi mokyti darbuotojus apie saugią kibernetinio saugumo praktiką ir apie tai, kaip jie sąveikauja su technologijomis.

Išpuolių pobūdis tapo toks sudėtingas, kad net patyrusiam saugumo specialistui sunku tai padaryti atskirkite gerą URL nuo kenkėjiško.

Naudokite šifravimą

VPN, tarpiniai serveriai ir keli šifravimo sluoksniai gali būti naudojami kenkėjiškam ryšiui tinkle paslėpti.

Norint aptikti ir užkirsti kelią pažeistų kompiuterių ryšiui, turi būti stebimi visi tinklo ryšiai, ypač tie, kurie eina už įmonės tinklo ribų. Neįprastos tinklo veiklos nustatymas ir iš kompiuterio išeinančių duomenų kiekio stebėjimas gali būti geras būdas įvertinti jo būklę.

Paleiskite duomenų vykdymo prevenciją

Kitas būdas sumažinti saugumo grėsmes – kompiuteryje paleisti duomenų vykdymo prevenciją (DEP). DEP yra saugos funkcija, kuri neleidžia neteisėtiems scenarijams paleisti kompiuterio atmintyje.

Jį galite įjungti apsilankę adresu Sistema ir sauga > Sistema > Išplėstiniai sistemos nustatymai valdymo skydelyje.

Įjungus DEP funkciją, užpuolikams bus sunkiau vykdyti į Aurorą panašias atakas.

Aurora ir kelias į priekį

Pasaulis niekada nebuvo taip veikiamas valstybės remiamų išpuolių rizikos, kaip dabar. Kadangi dauguma įmonių dabar naudojasi nuotoline darbo jėga, saugos palaikymas yra sudėtingesnis nei bet kada anksčiau.

Laimei, įmonės greitai taiko nulinio pasitikėjimo saugumo metodą, kuris veikia pagal niekuo nepasitikėjimo principą be nuolatinio tikrinimo.

Demaskuotas: 6 mitai apie nulinį pasitikėjimą

Nulinio pasitikėjimo modelis yra veiksmingas būdas apriboti duomenų pažeidimus, tačiau yra per daug klaidingų nuomonių dėl jo įgyvendinimo.

Skaitykite toliau

Apie autorių