2010. gada janvārī Google atklāja, ka ir kļuvis par upuri sarežģītam kiberuzbrukumam, kura izcelsme ir Ķīnā. Uzbrucēji uzbruka Google korporatīvajam tīklam, kā rezultātā notika intelektuālā īpašuma zādzība un piekļuve cilvēktiesību aktīvistu Gmail kontiem. Bez Google uzbrukums bija vērsts arī pret vairāk nekā 30 uzņēmumiem fintech, plašsaziņas līdzekļu, interneta un ķīmijas nozarēs.

Šos uzbrukumus veica Ķīnas Eldervudas grupa, un drošības eksperti tos vēlāk nosauca par operāciju Aurora. Tātad, kas patiesībā notika? Kā tas tika īstenots? Un kādas bija operācijas Aurora sekas?

Kas ir operācija Aurora?

Operācija Aurora bija virkne mērķtiecīgu kiberuzbrukumu pret desmitiem organizāciju, tostarp Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace un Dow Chemicals. Google vispirms dalījās ar informāciju par uzbrukumiem emuāra ziņā, kurā tika apgalvots, ka tie ir valsts sponsorēti uzbrukumi.

Drīz pēc Google paziņojuma vairāk nekā 30 citi uzņēmumi atklāja, ka tas pats pretinieks ir pārkāpis viņu korporatīvos tīklus.

instagram viewer

Uzbrukumu nosaukums cēlies no atsaucēm ļaunprogrammatūrā uz mapi ar nosaukumu "Aurora", kuru MacAfee pētnieki atrada vienā no uzbrucēju izmantotajiem datoriem.

Kā tika īstenots uzbrukums?

Šī kiberspiegošanas operācija tika uzsākta, izmantojot šķēpu pikšķerēšanas tehnika. Sākotnēji atlasītie lietotāji e-pastā vai tūlītējā ziņojumā saņēma ļaunprātīgu URL, kas aizsāka notikumu sēriju. Lietotājiem noklikšķinot uz URL, tie tika novirzīti uz vietni, kurā tika izpildīts turpmāks ļaunprātīgs JavaScript kods.

JavaScript kods izmantoja Microsoft Internet Explorer ievainojamību, kas tajā laikā bija diezgan nezināma. Šādas ievainojamības ir bieži sauc par "nulles dienas ekspluatāciju".

Nulles dienas izmantošana ļāva ļaunprātīgai programmatūrai darboties sistēmā Windows un izveidot aizmugures durvis, lai kibernoziedznieki varētu pārņemt kontroli pār sistēmu un nozagt akreditācijas datus, intelektuālo īpašumu vai jebko citu meklē.

Kāds bija operācijas Aurora mērķis?

Operācija Aurora bija ļoti sarežģīts un veiksmīgs uzbrukums. Taču patiesie uzbrukuma iemesli joprojām nav skaidri. Kad Google atklāja Aurora bumbu, tas norādīja šādus iemeslus un sekas:

  • Intelektuālā īpašuma zādzība: Uzbrucēji mērķēja uz korporatīvo infrastruktūru, kā rezultātā notika intelektuālā īpašuma zādzība.
  • Kiberspiegošana: Tajā arī teikts, ka uzbrukumi bija daļa no kiberspiegošanas operācijas, kuras laikā mēģināja iefiltrēties ķīniešu disidentu un cilvēktiesību aktīvistu Gmail kontos.

Tomēr dažus gadus vēlāk vecākais direktors Microsoft progresīvo tehnoloģiju institūts paziņoja, ka uzbrukumi patiesībā bija paredzēti, lai pārbaudītu ASV valdību, lai pārbaudītu, vai tā ir atklājusi slepeno Ķīnas aģentu identitāti, kas pilda savus pienākumus ASV.

Kāpēc operācijai Aurora tika pievērsta tik liela uzmanība?

Operācija Aurora ir plaši apspriests kiberuzbrukums uzbrukumu rakstura dēļ. Šeit ir daži galvenie punkti, kas to izceļ:

  • Šī bija ļoti mērķtiecīga kampaņa, kurā uzbrucējiem bija rūpīga informācija par saviem mērķiem. Tas varētu liecināt par lielākas organizācijas un pat nacionālās valsts dalībnieku iesaistīšanos.
  • Kiberincidenti notiek visu laiku, taču daudzi uzņēmumi par tiem nerunā. Tik izsmalcinātam uzņēmumam kā Google iznākt un atklāt to atklātībā ir liels darījums.
  • Daudzi drošības eksperti uzskata, ka Ķīnas valdība ir atbildīga par uzbrukumiem. Ja baumas ir patiesas, tad jums ir situācija, kurā valdība uzbrūk korporatīvajām struktūrām tādā veidā, kā tas nekad nav bijis atklāts.

Operācijas Aurora sekas

Četrus mēnešus pēc uzbrukumiem Google nolēma pārtraukt savu darbību Ķīnā. Tas pārtrauca Google.com.cn darbību un novirzīja visu trafiku uz Google.com.hk — Google versiju Honkongai, jo Honkongai ir atšķirīgi likumi attiecībā uz kontinentālo Ķīnu.

Google arī pārstrukturēja savu pieeju, lai mazinātu iespēju, ka šādi incidenti atkārtosies. Tā īstenoja nulles uzticības arhitektūra sauc BeyondCorp, kas ir izrādījies labs lēmums.

Daudzi uzņēmumi lieki nodrošina paaugstinātas piekļuves privilēģijas, kas ļauj veikt izmaiņas tīklā un darboties bez ierobežojumiem. Tātad, ja uzbrucējs atrod ceļu uz sistēmu ar administratora līmeņa privilēģijām, viņš var viegli ļaunprātīgi izmantot šīs privilēģijas.

Nulles uzticības modelis darbojas uz vismazāko privilēģiju piekļuves principi un nano-segmentācija. Tas ir jauns veids, kā izveidot uzticēšanos, kurā lietotāji var piekļūt tikai tām tīkla daļām, kuras viņiem patiešām ir vajadzīgas. Tātad, ja lietotāja akreditācijas dati ir apdraudēti, uzbrucēji var piekļūt tikai konkrētajam lietotājam pieejamiem rīkiem un lietojumprogrammām.

Vēlāk daudzi uzņēmumi sāka pieņemt nulles uzticamības paradigmu, regulējot piekļuvi sensitīviem rīkiem un lietojumprogrammām savos tīklos. Mērķis ir pārbaudīt katru lietotāju un apgrūtināt uzbrucējiem radīt plašus bojājumus.

Aizstāvēšanās pret operāciju Aurora un līdzīgiem uzbrukumiem

Operācijas Aurora uzbrukumi atklāja, ka pat tādas organizācijas ar ievērojamiem resursiem kā Google, Yahoo un Adobe joprojām var kļūt par upuriem. Ja lielie IT uzņēmumi ar milzīgu finansējumu var tikt uzlauzti, tad mazākiem uzņēmumiem ar mazākiem resursiem būs grūti aizsargāties pret šādiem uzbrukumiem. Tomēr operācija Aurora mums arī iemācīja dažas svarīgas mācības, kas var palīdzēt mums aizsargāties pret līdzīgiem uzbrukumiem.

Sargieties no sociālās inženierijas

Uzbrukumi atklāja cilvēka elementa risku kiberdrošībā. Cilvēki ir galvenie uzbrukumu izplatītāji, un sociālās inženierijas būtība, noklikšķinot uz nezināmām saitēm, nav mainījusies.

Lai nodrošinātu, ka Aurorai līdzīgi uzbrukumi neatkārtojas, uzņēmumiem ir jāatgriežas pie informācijas drošības pamati. Viņiem ir jāizglīto darbinieki par drošu kiberdrošības praksi un to, kā viņi mijiedarbojas ar tehnoloģijām.

Uzbrukumu raksturs ir kļuvis tik sarežģīts, ka pat pieredzējušam drošības speciālistam tas ir grūti atšķirt labu URL no ļaunprātīga.

Izmantojiet šifrēšanu

VPN, starpniekserverus un vairākus šifrēšanas slāņus var izmantot, lai tīklā paslēptu ļaunprātīgu saziņu.

Lai atklātu un novērstu kompromitētu datoru sakarus, ir jāuzrauga visi tīkla savienojumi, īpaši tie, kas atrodas ārpus uzņēmuma tīkla. Neparastas tīkla darbības noteikšana un no datora izejošo datu apjoma uzraudzība var būt labs veids, kā novērtēt tā stāvokli.

Palaidiet datu izpildes novēršanu

Vēl viens veids, kā samazināt drošības apdraudējumus, ir datorā palaist programmu Data Execution Prevention (DEP). DEP ir drošības līdzeklis, kas neļauj datora atmiņā darboties nesankcionētiem skriptiem.

Varat to iespējot, dodoties uz Sistēma un drošība > Sistēma > Sistēmas papildu iestatījumi vadības panelī.

Ieslēdzot DEP funkciju, uzbrucējiem būs grūtāk veikt Aurorai līdzīgus uzbrukumus.

Aurora un ceļš uz priekšu

Pasaule nekad nav bijusi tik pakļauta valsts sponsorētu uzbrukumu riskiem, kā tas ir tagad. Tā kā lielākā daļa uzņēmumu tagad paļaujas uz attālinātu darbaspēku, drošības uzturēšana ir grūtāka nekā jebkad agrāk.

Par laimi, uzņēmumi ātri pieņem nulles uzticības drošības pieeju, kas darbojas pēc principa neuzticēties nevienam bez nepārtrauktas pārbaudes.

Atmaskoti: 6 mīti par nulles uzticības drošību

Nulles uzticības modelis ir efektīvs veids, kā ierobežot datu pārkāpumus, taču ir pārāk daudz nepareizu priekšstatu par tā ieviešanu.

Lasiet Tālāk

DalītiesČivinātE-pasts
Saistītās tēmas
  • Drošība
  • Kiberdrošība
  • Kiberkarš
  • Google
  • Tiešsaistes drošība
Par autoru
Favads Ali (Publicēti 30 raksti)

Favads ir IT un komunikācijas inženieris, topošais uzņēmējs un rakstnieks. Viņš ienāca satura rakstīšanas arēnā 2017. gadā un kopš tā laika ir strādājis ar divām digitālā mārketinga aģentūrām un daudziem B2B un B2C klientiem. Viņš raksta par drošību un tehnoloģiju MUO, lai izglītotu, izklaidētu un iesaistītu auditoriju.

Vairāk no Fawad Ali

Abonējiet mūsu biļetenu

Pievienojieties mūsu informatīvajam izdevumam, lai saņemtu tehniskos padomus, pārskatus, bezmaksas e-grāmatas un ekskluzīvus piedāvājumus!

Noklikšķiniet šeit, lai abonētu