Vse, kar morate vedeti o operaciji Aurora

Januarja 2010 je Google razkril, da je postal žrtev prefinjenega kibernetskega napada, ki izvira iz Kitajske. Napadalci so ciljali na Googlovo korporativno omrežje, kar je povzročilo krajo intelektualne lastnine in dostop do Gmailovih računov aktivistov za človekove pravice. Poleg Googla je napad ciljal tudi na več kot 30 podjetij v fintech, medijih, internetu in kemičnem sektorju.

Te napade je izvedla kitajska skupina Elderwood Group, kasneje pa so jih varnostni strokovnjaki poimenovali Operacija Aurora. Kaj se je torej dejansko zgodilo? Kako je bilo izvedeno? In kakšne so bile posledice operacije Aurora?

Kaj je operacija Aurora?

Operacija Aurora je bila serija ciljno usmerjenih kibernetskih napadov na desetine organizacij, med drugim na Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace in Dow Chemicals. Google je najprej delil podrobnosti o napadih v blogu, ki je trdil, da so to napadi, ki jih sponzorira država.

Kmalu po Googlovi objavi je več kot 30 drugih podjetij razkrilo, da je isti nasprotnik vdrl v njihova korporativna omrežja.

Ime napadov izhaja iz sklicevanj v zlonamerni programski opremi na mapo z imenom "Aurora", ki so jo našli raziskovalci MacAfeeja na enem od računalnikov, ki so jih uporabljali napadalci.

Kako je bil napad izveden?

Ta operacija kibernetskega vohunjenja je bila sprožena z uporabo tehnika spear-phishinga. Sprva so ciljni uporabniki prejeli zlonamerni URL v e-pošti ali takojšnjem sporočilu, ki je sprožilo vrsto dogodkov. Ko bi uporabniki kliknili na URL, bi jih preusmeril na spletno mesto, ki je izvajalo nadaljnjo zlonamerno kodo JavaScript.

Koda JavaScript je izkoristila ranljivost v Microsoft Internet Explorerju, ki je bila takrat dokaj neznana. Takšne ranljivosti so pogosto imenovani "izkoristki ničelnega dne".

Izkoriščanje ničelnega dne je omogočilo, da se zlonamerna programska oprema zažene v sistemu Windows, in kiberkriminalcem nastavitev zalednih vrat prevzamejo nadzor nad sistemom in ukradejo poverilnice, intelektualno lastnino ali kar koli drugega iščejo.

Kaj je bil namen operacije Aurora?

Operacija Aurora je bila zelo izpopolnjen in uspešen napad. Toda pravi razlogi za napad ostajajo nejasni. Ko je Google razkril bombo Aurora, je navedel naslednje razloge in posledice:

• Kraja intelektualne lastnine: Napadalci so ciljali na korporativno infrastrukturo, kar je povzročilo krajo intelektualne lastnine.
• Kibernetsko vohunjenje: Povedalo je tudi, da so bili napadi del operacije kibernetskega vohunjenja, ki je poskušala infiltrirati v Gmail račune kitajskih disidentov in borcev za človekove pravice.

Vendar pa je nekaj let pozneje višji direktor Microsoftov inštitut za napredno tehnologijo je izjavil, da so bili napadi dejansko namenjeni preiskavi ameriške vlade, da bi preverila, ali je odkrila identiteto tajnih kitajskih agentov, ki opravljajo svoje naloge v Združenih državah.

Zakaj je operacija Aurora pritegnila toliko pozornosti?

Operacija Aurora je zaradi narave napadov široko razpravljan kibernetski napad. Tukaj je nekaj ključnih točk, zaradi katerih izstopa:

• To je bila zelo usmerjena kampanja, v kateri so imeli napadalci temeljite obveščevalne podatke o svojih tarčah. To lahko namiguje na vpletenost večje organizacije in celo akterjev nacionalnih držav.
• Kibernetski incidenti se dogajajo ves čas, vendar mnoga podjetja o njih ne govorijo. Za tako prefinjeno podjetje, kot je Google, je izstop in razkritje tega v javnosti velik zalogaj.
• Številni varnostni strokovnjaki menijo, da je kitajska vlada odgovorna za napade. Če so govorice resnične, potem imate situacijo, v kateri vlada napada korporativne subjekte na način, ki še nikoli ni bil razkrit.

Posledice operacije Aurora

Štiri mesece po napadih se je Google odločil zapreti svoje poslovanje na Kitajskem. Končal je Google.com.cn in ves promet preusmeril na Google.com.hk – Googlovo različico za Hongkong, saj Hongkong ohranja drugačne zakone kot celinsko Kitajsko.

Google je tudi prestrukturiral svoj pristop, da bi zmanjšal možnosti, da bi se takšni incidenti ponovili. Izvajalo je arhitektura brez zaupanja imenovan BeyondCorp, kar se je izkazalo za dobro odločitev.

Mnoga podjetja po nepotrebnem zagotavljajo povišane privilegije dostopa, ki jim omogočajo spreminjanje omrežja in delovanje brez omejitev. Torej, če napadalec najde pot do sistema s skrbniškimi pravicami, lahko te privilegije zlahka zlorabi.

Model brez zaupanja deluje na načela najmanjšega dostopa in nano-segmentacijo. To je nov način vzpostavitve zaupanja, pri katerem lahko uporabniki dostopajo le do tistih delov omrežja, ki jih resnično potrebujejo. Torej, če so uporabniške poverilnice ogrožene, lahko napadalci dostopajo le do orodij in aplikacij, ki so na voljo določenemu uporabniku.

Kasneje je veliko več podjetij začelo sprejemati paradigmo ničelnega zaupanja z regulacijo dostopa do občutljivih orodij in aplikacij v svojih omrežjih. Cilj je preveriti vsakega uporabnika in napadalcem otežiti povzročanje obsežne škode.

Obramba pred operacijo Aurora in podobnimi napadi

Napadi operacije Aurora so razkrili, da so lahko celo organizacije s pomembnimi viri, kot so Google, Yahoo in Adobe, še vedno žrtve. Če je mogoče vdreti v velika IT podjetja z ogromnim financiranjem, se bodo manjša podjetja z manj sredstvi težko branila pred takšnimi napadi. Vendar nas je operacija Aurora naučila tudi nekaterih pomembnih lekcij, ki nam lahko pomagajo pri obrambi pred podobnimi napadi.

Pazite na socialni inženiring

Napadi so poudarili tveganje človeškega elementa v kibernetski varnosti. Ljudje so glavni širilci napadov in narava socialnega inženiringa klikanja neznanih povezav se ni spremenila.

Da bi zagotovili, da se napadi, podobni Aurori, ne bodo ponovili, se morajo podjetja vrniti na osnove informacijske varnosti. Zaposlene morajo poučiti o varnih praksah kibernetske varnosti in o interakciji s tehnologijo.

Narava napadov je postala tako prefinjena, da je to težko narediti celo izkušenemu varnostnemu strokovnjaku razlikovati dober URL od zlonamernega.

Uporabite šifriranje

Za skrivanje zlonamerne komunikacije v omrežju je mogoče uporabiti VPN, proxy strežnike in več plasti šifriranja.

Za odkrivanje in preprečevanje komunikacij ogroženih računalnikov je treba nadzorovati vse omrežne povezave, zlasti tiste, ki so zunaj omrežja podjetja. Prepoznavanje nenormalne omrežne aktivnosti in spremljanje količine podatkov, ki prihajajo iz osebnega računalnika, je lahko dober način za oceno njegovega zdravja.

Zaženite Preprečevanje izvajanja podatkov

Drug način za zmanjšanje varnostnih groženj je, da v računalniku zaženete Data Execution Prevention (DEP). DEP je varnostna funkcija, ki preprečuje izvajanje nepooblaščenih skriptov v pomnilniku vašega računalnika.

Omogočite ga lahko tako, da obiščete Sistem in varnost > Sistem > Napredne sistemske nastavitve na nadzorni plošči.

Če vklopite funkcijo DEP, bo napadalcem težje izvajati napade, podobne Aurori.

Aurora in pot naprej

Svet še nikoli ni bil tako izpostavljen tveganjem napadov, ki jih sponzorira država, kot je zdaj. Ker se večina podjetij zdaj zanaša na oddaljeno delovno silo, je ohranjanje varnosti težje kot kdaj koli prej.

Na srečo podjetja hitro sprejemajo varnostni pristop brez zaupanja, ki deluje po načelu, da nikomur ne zaupajo brez stalnega preverjanja.

Razkrito: 6 mitov o varnosti brez zaupanja

Model ničelnega zaupanja je učinkovit način za omejevanje kršitev podatkov, vendar obstaja preveč napačnih predstav o njegovem izvajanju.

Preberite Naprej

O avtorju