Все, что вам нужно знать об операции «Аврора»

В январе 2010 года Google сообщил, что стал жертвой изощренной кибератаки, исходящей из Китая. Злоумышленники атаковали корпоративную сеть Google, что привело к краже интеллектуальной собственности и доступу к учетным записям Gmail правозащитников. Помимо Google, атаке также подверглись более 30 компаний из финтех-, медиа-, интернет- и химической отраслей.

Эти атаки были проведены китайской группой Elderwood Group и позже названы экспертами по безопасности операцией «Аврора». Так что же произошло на самом деле? Как это было проведено? И каковы были последствия операции «Аврора»?

Что такое операция «Аврора»?

Операция «Аврора» представляла собой серию целевых кибератак на десятки организаций, включая Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace и Dow Chemicals, среди прочих. Google впервые поделился подробностями атак в своем блоге, в котором утверждалось, что это были атаки, спонсируемые государством.

Вскоре после объявления Google более 30 других фирм сообщили, что тот же злоумышленник взломал их корпоративные сети.

Название атак происходит от ссылок в вредоносных программах на папку с именем «Aurora», найденную исследователями MacAfee на одном из компьютеров, используемых злоумышленниками.

Как было совершено нападение?

Эта операция кибершпионажа была инициирована с использованием техника целевого фишинга. Первоначально целевые пользователи получили вредоносный URL-адрес в электронном письме или мгновенном сообщении, что инициировало серию событий. Когда пользователи нажимали на URL-адрес, они переходили на веб-сайт, на котором выполнялся дополнительный вредоносный код JavaScript.

Код JavaScript использовал уязвимость в Microsoft Internet Explorer, которая в то время была почти неизвестна. Такие уязвимости часто называют «эксплойтами нулевого дня».

Эксплойт нулевого дня позволял вредоносному ПО запускаться в Windows и создавать бэкдор для киберпреступников. взять под контроль систему и украсть учетные данные, интеллектуальную собственность или что-то еще, что они были Ищу.

Какова была цель операции «Аврора»?

Операция «Аврора» была очень сложной и успешной атакой. Но истинные причины нападения остаются неясными. Когда Google раскрыл бомбу Aurora, он указал следующие причины и последствия:

• Кража интеллектуальной собственности: Злоумышленники атаковали корпоративную инфраструктуру, что привело к краже интеллектуальной собственности.
• Кибершпионаж: В нем также говорится, что атаки были частью операции кибершпионажа, в ходе которой пытались проникнуть в учетные записи Gmail китайских диссидентов и правозащитников.

Однако через несколько лет старший директор Институт передовых технологий Microsoft заявил, что атаки на самом деле предназначались для проверки правительства США, чтобы проверить, раскрыло ли оно личность тайных китайских агентов, выполняющих свои обязанности в Соединенных Штатах.

Почему операция «Аврора» привлекла столько внимания?

Операция «Аврора» — широко обсуждаемая кибератака из-за характера атак. Вот несколько ключевых моментов, которые выделяют его:

• Это была целенаправленная кампания, в ходе которой злоумышленники располагали тщательной информацией о своих целях. Это может намекать на участие более крупной организации и даже субъектов национального государства.
• Киберинциденты случаются постоянно, но многие компании не говорят о них. Для такой сложной компании, как Google, публичное раскрытие информации — большое дело.
• Многие эксперты по безопасности возлагают ответственность за атаки на китайское правительство. Если слухи верны, то у вас есть ситуация, в которой правительство атакует юридические лица способом, который никогда раньше не разоблачался.

Последствия операции «Аврора».

Через четыре месяца после атак Google решила прекратить свою деятельность в Китае. Он заканчивал Google.com.cn и перенаправлял весь трафик на Google.com.hk — версию Google для Гонконга, поскольку в Гонконге действуют другие законы, чем в материковом Китае.

Google также изменил свой подход, чтобы снизить вероятность повторения подобных инцидентов. Он реализовал архитектура нулевого доверия под названием BeyondCorp, что оказалось хорошим решением.

Многие компании без необходимости предоставляют повышенные привилегии доступа, которые позволяют им вносить изменения в сеть и работать без ограничений. Таким образом, если злоумышленник найдет способ проникнуть в систему с правами администратора, он может легко злоупотребить этими правами.

Модель нулевого доверия работает на принципы доступа с наименьшими привилегиями и наносегментация. Это новый способ установления доверия, при котором пользователи могут получить доступ только к тем частям сети, которые им действительно нужны. Таким образом, если учетные данные пользователя скомпрометированы, злоумышленники могут получить доступ только к инструментам и приложениям, доступным этому конкретному пользователю.

Позже многие другие фирмы начали применять парадигму нулевого доверия, регулируя доступ к конфиденциальным инструментам и приложениям в своих сетях. Цель состоит в том, чтобы проверить каждого пользователя и помешать злоумышленникам нанести масштабный ущерб.

Защита от операции «Аврора» и подобных атак

Атаки операции «Аврора» показали, что даже организации со значительными ресурсами, такие как Google, Yahoo и Adobe, все еще могут стать жертвами. Если крупные ИТ-компании с огромным финансированием могут быть взломаны, то меньшим фирмам с меньшими ресурсами будет трудно защититься от таких атак. Однако операция «Аврора» также преподала нам несколько важных уроков, которые могут помочь нам защититься от подобных атак.

Остерегайтесь социальной инженерии

Атаки подчеркнули риск человеческого фактора в кибербезопасности. Люди являются основными распространителями атак, и социальная инженерия, связанная с переходом по неизвестным ссылкам, не изменилась.

Чтобы убедиться, что атаки, подобные Aurora, не повторятся, компаниям необходимо вернуться к основы информационной безопасности. Им необходимо обучать сотрудников безопасным методам кибербезопасности и тому, как они взаимодействуют с технологиями.

Характер атак стал настолько изощренным, что даже опытному специалисту по безопасности трудно отличить хороший URL от вредоносного.

Использовать шифрование

VPN, прокси-серверы и несколько уровней шифрования могут использоваться для сокрытия вредоносных сообщений в сети.

Для обнаружения и предотвращения обмена данными с скомпрометированными компьютерами необходимо отслеживать все сетевые подключения, особенно те, которые выходят за пределы сети компании. Выявление аномальной сетевой активности и мониторинг объема данных, исходящих от ПК, может быть хорошим способом оценить его работоспособность.

Запустить предотвращение выполнения данных

Еще один способ свести к минимуму угрозы безопасности — запустить на компьютере функцию предотвращения выполнения данных (DEP). DEP — это функция безопасности, которая предотвращает выполнение несанкционированных сценариев в памяти вашего компьютера.

Вы можете включить его, перейдя в Система и безопасность > Система > Дополнительные параметры системы в Панели управления.

Включение функции DEP усложнит злоумышленникам проведение атак типа Aurora.

Аврора и путь вперед

Мир никогда не был так подвержен риску атак, спонсируемых государством, как сейчас. Поскольку большинство компаний в настоящее время полагаются на удаленную рабочую силу, обеспечение безопасности стало сложнее, чем когда-либо.

К счастью, компании быстро внедряют подход к обеспечению безопасности с нулевым доверием, который работает по принципу: никому не доверять без постоянной проверки.

Развенчаны: 6 мифов о безопасности с нулевым доверием

Модель нулевого доверия — эффективный способ ограничить утечку данных, но существует слишком много неправильных представлений о ее реализации.

Читать дальше

Об авторе