Всичко, което трябва да знаете за операция Аврора

През януари 2010 г. Google разкри, че е станал жертва на сложна кибератака с произход от Китай. Нападателите се насочиха към корпоративната мрежа на Google, което доведе до кражба на интелектуална собственост и достъп до Gmail акаунти на активисти за човешки права. Освен Google, атаката е насочена и към над 30 компании във финансовите технологии, медиите, интернет и химическия сектор.

Тези атаки бяха извършени от китайската група Elderwood и по-късно наречени от експертите по сигурността като операция Aurora. И така, какво всъщност се случи? Как беше осъществено? И какви бяха последиците от операция „Аврора“?

Какво представлява операцията Аврора?

Операция Aurora беше серия от целенасочени кибератаки срещу десетки организации, включително Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace и Dow Chemicals, наред с други. Google за първи път сподели подробности за атаките в публикация в блог, в която се твърди, че това са атаки, спонсорирани от държавата.

Скоро след съобщението на Google, повече от 30 други фирми разкриха, че същият противник е нарушил техните корпоративни мрежи.

Името на атаките идва от препратки в злонамерения софтуер към папка с име "Aurora", намерена от изследователи на MacAfee на един от компютрите, използвани от нападателите.

Как беше извършена атаката?

Тази операция по кибершпионаж е инициирана с помощта на техника за фишинг с копие. Първоначално целевите потребители получиха злонамерен URL адрес в имейл или незабавно съобщение, което инициира поредица от събития. Когато потребителите щракнат върху URL адреса, това ще ги отведе до уебсайт, който изпълнява допълнителен злонамерен JavaScript код.

JavaScript кодът използва уязвимост в Microsoft Internet Explorer, която беше доста непозната по това време. Такива уязвимости са често наричани „подвизи от нулев ден“.

Експлойтът с нулев ден позволи на зловреден софтуер да работи в Windows и да създаде задна врата за киберпрестъпниците да поемете контрола над системата и откраднете идентификационни данни, интелектуална собственост или каквото и да е друго търси.

Каква беше целта на операция Аврора?

Операция Аврора беше изключително сложна и успешна атака. Но истинските причини за атаката остават неясни. Когато Google разкри бомбата Aurora, тя посочи следните причини и последствия:

• Кражба на интелектуална собственост: Нападателите се насочиха към корпоративната инфраструктура, което доведе до кражба на интелектуална собственост.
• Кибер шпионаж: Освен това се казва, че атаките са част от операция за кибер шпионаж, която се опитва да проникне в акаунти в Gmail на китайски дисиденти и активисти за правата на човека.

Въпреки това, няколко години по-късно, старши директор на Институтът за напреднали технологии на Microsoft заяви, че атаките всъщност са имали за цел да разследват правителството на САЩ, за да провери дали то е разкрило самоличността на тайни китайски агенти, изпълняващи задълженията си в Съединените щати.

Защо операция „Аврора“ привлече толкова много внимание?

Операция Аврора е широко обсъждана кибератака поради естеството на атаките. Ето няколко ключови точки, които го отличават:

• Това беше силно насочена кампания, в която нападателите имаха задълбочени разузнавателни данни за своите цели. Това може да намекне за участието на по-голяма организация и дори на национално-държавни участници.
• Кибер инциденти се случват постоянно, но много компании не говорят за тях. За толкова сложна компания като Google излизането и разкриването й публично е голяма работа.
• Много експерти по сигурността държат китайското правителство отговорно за атаките. Ако слуховете са верни, тогава имате ситуация, в която правителството атакува корпоративни субекти по начин, който никога досега не е разкриван.

Последиците от операция "Аврора".

Четири месеца след атаките Google реши да прекрати дейността си в Китай. Той прекрати Google.com.cn и пренасочи целия трафик към Google.com.hk – версия на Google за Хонконг, тъй като Хонг Конг поддържа различни закони за континентален Китай.

Google също така преструктурира подхода си, за да намали шансовете подобни инциденти да се повторят. То реализира архитектура с нулево доверие наречен BeyondCorp, което се оказа добро решение.

Много компании ненужно предоставят повишени привилегии за достъп, които им позволяват да правят промени в мрежата и да работят без ограничения. Така че, ако нападателят намери начин да влезе в система с привилегии на ниво администратор, той лесно може да злоупотреби с тези привилегии.

Моделът с нулево доверие работи върху принципи на достъп с най-малко привилегии и нано-сегментация. Това е нов начин за установяване на доверие, при който потребителите имат достъп само до онези части от мрежата, от които наистина се нуждаят. Така че, ако идентификационните данни на потребителя са компрометирани, нападателите имат достъп само до инструментите и приложенията, достъпни за този конкретен потребител.

По-късно много повече фирми започнаха да приемат парадигмата на нулево доверие, като регулираха достъпа до чувствителни инструменти и приложения в своите мрежи. Целта е да се провери всеки потребител и да се затрудни нападателите да причинят широко разпространени щети.

Защита срещу операция Аврора и подобни атаки

Атаките на Операция Аврора разкриха, че дори организации със значителни ресурси като Google, Yahoo и Adobe все още могат да бъдат жертви. Ако големите ИТ компании с огромно финансиране могат да бъдат хакнати, тогава по-малките фирми с по-малко ресурси ще имат трудности да се защитават срещу подобни атаки. Операция Аврора обаче ни научи и на някои важни уроци, които могат да ни помогнат да се защитим срещу подобни атаки.

Пазете се от социалното инженерство

Атаките подчертаха риска от човешкия елемент в киберсигурността. Хората са основните разпространители на атаки и естеството на социалното инженерство на щракване върху неизвестни връзки не се е променило.

За да се уверят, че атаките, подобни на Aurora, няма да се повторят, компаниите трябва да се върнат към основи на информационната сигурност. Те трябва да обучават служителите за безопасни практики за киберсигурност и как взаимодействат с технологиите.

Естеството на атаките е станало толкова сложно, че дори опитен специалист по сигурността е трудно да го направи разграничаване на добър URL от злонамерен.

Използвайте криптиране

VPN мрежи, прокси сървъри и множество слоеве на криптиране могат да се използват за скриване на злонамерени комуникации в мрежа.

За откриване и предотвратяване на комуникациите на компрометирани компютри, всички мрежови връзки трябва да бъдат наблюдавани, особено тези, които излизат извън мрежата на компанията. Идентифицирането на необичайна мрежова активност и наблюдението на обема данни, излизащи от компютър, може да бъде добър начин за оценка на неговото здраве.

Изпълнете Предотвратяване на изпълнение на данни

Друг начин за минимизиране на заплахите за сигурността е чрез стартиране на Data Execution Prevention (DEP) на вашия компютър. DEP е функция за сигурност, която предотвратява изпълнението на неоторизирани скриптове в паметта на вашия компютър.

Можете да го активирате, като отидете на Система и сигурност > Система > Разширени системни настройки в контролния панел.

Включването на функцията DEP ще затрудни нападателите да извършват атаки, подобни на Aurora.

Аврора и пътят напред

Светът никога не е бил по-изложен на рисковете от атаки, спонсорирани от държавата, както е сега. Тъй като повечето компании сега разчитат на отдалечена работна сила, поддържането на сигурността е по-трудно от всякога.

За щастие компаниите бързо възприемат подхода за сигурност с нулево доверие, който работи на принципа да не се доверява на никого без непрекъсната проверка.

Развенчани: 6 мита за сигурността с нулево доверие

Моделът с нулево доверие е ефективен начин за ограничаване на пробивите на данни, но има твърде много погрешни схващания относно неговото прилагане.

Прочетете Следващото

За автора