U siječnju 2010. Google je otkrio da je postao žrtva sofisticiranog cyber napada porijeklom iz Kine. Napadači su ciljali na Googleovu korporativnu mrežu, što je rezultiralo krađom intelektualnog vlasništva i pristupom Gmail računima aktivista za ljudska prava. Osim Googlea, napad je ciljao i preko 30 tvrtki u fintech, medijskom, internetskom i kemijskom sektoru.

Ove napade izvela je kineska grupa Elderwood, a kasnije su ih stručnjaci za sigurnost nazvali Operacijom Aurora. Pa što se zapravo dogodilo? Kako je to provedeno? A kakve su bile posljedice operacije Aurora?

Što je operacija Aurora?

Operacija Aurora bila je serija ciljanih cyber napada na desetke organizacija, uključujući Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace i Dow Chemicals, između ostalih. Google je prvo podijelio pojedinosti o napadima u postu na blogu u kojem se tvrdi da su to napadi koje je sponzorirala država.

Ubrzo nakon Googleove objave, više od 30 drugih tvrtki otkrilo je da je isti protivnik provalio njihove korporativne mreže.

instagram viewer

Naziv napada dolazi iz referenci u zlonamjernom softveru na mapu pod nazivom "Aurora" koju su pronašli istraživači MacAfeea na jednom od računala koje su koristili napadači.

Kako je napad izveden?

Ova operacija kibernetičke špijunaže pokrenuta je pomoću spear-phishing tehnika. U početku su ciljani korisnici primili zlonamjerni URL u e-poruci ili instant poruci koja je pokrenula niz događaja. Kada su korisnici kliknuli na URL, to bi ih odvelo na web stranicu koja je izvršila daljnji zlonamjerni JavaScript kod.

JavaScript kod je iskoristio ranjivost u Microsoft Internet Exploreru koja je u to vrijeme bila prilično nepoznata. Takve ranjivosti su često nazivani "iskoristi nultog dana".

Eksploatacija nultog dana omogućila je pokretanje zlonamjernog softvera u sustavu Windows i postavljanje stražnjih vrata za kibernetičke kriminalce preuzeti kontrolu nad sustavom i ukrasti vjerodajnice, intelektualno vlasništvo ili bilo što drugo tražeći.

Koja je bila svrha operacije Aurora?

Operacija Aurora bila je vrlo sofisticiran i uspješan napad. Ali pravi razlozi napada ostaju nejasni. Kada je Google otkrio bombu Aurora, naveo je sljedeće razloge i posljedice:

  • Krađa intelektualnog vlasništva: Napadači su ciljali na korporativnu infrastrukturu, što je rezultiralo krađom intelektualnog vlasništva.
  • Cyber ​​špijunaža: Također se navodi da su napadi dio operacije kibernetičke špijunaže koja je pokušala infiltrirati na Gmail račune kineskih disidenata i aktivista za ljudska prava.

Međutim, nekoliko godina kasnije, viši direktor Microsoftov institut za naprednu tehnologiju izjavio je da su napadi zapravo trebali istražiti američku vladu, provjeriti je li otkrila identitet tajnih kineskih agenata koji obavljaju svoje dužnosti u Sjedinjenim Državama.

Zašto je operacija Aurora privukla toliko pažnje?

Operacija Aurora je kibernapad o kojem se naširoko raspravlja zbog prirode napada. Evo nekoliko ključnih točaka koje ga ističu:

  • Ovo je bila visoko ciljana kampanja u kojoj su napadači imali temeljite obavještajne podatke o svojim ciljevima. To bi moglo nagovijestiti sudjelovanje veće organizacije, pa čak i aktera nacionalnih država.
  • Cyber ​​incidenti se događaju cijelo vrijeme, ali mnoge tvrtke o njima ne govore. Za tvrtku tako sofisticiranu kao što je Google, izlazak i objavljivanje toga u javnosti velika je stvar.
  • Mnogi stručnjaci za sigurnost smatraju kinesku vladu odgovornom za napade. Ako su glasine istinite, onda imate situaciju u kojoj vlada napada korporativne subjekte na način koji do sada nije otkriven.

Posljedice operacije Aurora

Četiri mjeseca nakon napada, Google je odlučio zatvoriti svoje poslovanje u Kini. Ukinuo je Google.com.cn i sav promet preusmjerio na Google.com.hk – Google verziju za Hong Kong, budući da Hong Kong ima različite zakone u odnosu na kontinentalnu Kinu.

Google je također restrukturirao svoj pristup kako bi ublažio šanse da se takvi incidenti ponove. Implementirala je arhitektura s nultim povjerenjem pod nazivom BeyondCorp, što se pokazalo kao dobra odluka.

Mnoge tvrtke bespotrebno daju povišene privilegije pristupa, koje im omogućuju izmjene na mreži i rad bez ograničenja. Dakle, ako napadač pronađe put do sustava s privilegijama na razini administratora, lako može zloupotrijebiti te povlastice.

Model nultog povjerenja radi na načela pristupa s najmanjim privilegijama i nano-segmentacija. To je novi način uspostavljanja povjerenja u kojem korisnici mogu pristupiti samo onim dijelovima mreže koji su im stvarno potrebni. Dakle, ako su vjerodajnice korisnika ugrožene, napadači mogu pristupiti samo alatima i aplikacijama dostupnim tom korisniku.

Kasnije je mnogo više tvrtki počelo usvajati paradigmu nultog povjerenja regulirajući pristup osjetljivim alatima i aplikacijama na svojim mrežama. Cilj je provjeriti svakog korisnika i otežati napadačima nanošenje široke štete.

Obrana od operacije Aurora i sličnih napada

Napadi Operacije Aurora otkrili su da čak i organizacije sa značajnim resursima poput Googlea, Yahooa i Adobea i dalje mogu biti žrtve. Ako se velike IT tvrtke s enormnim financiranjem mogu hakirati, onda će se manje tvrtke s manje resursa teško obraniti od takvih napada. Međutim, Operacija Aurora nas je također naučila određenim važnim lekcijama koje nam mogu pomoći u obrani od sličnih napada.

Čuvajte se društvenog inženjeringa

Napadi su naglasili rizik od ljudskog elementa u kibernetičkoj sigurnosti. Ljudi su primarni širitelji napada i priroda društvenog inženjeringa klikanja na nepoznate veze nije se promijenila.

Kako bi osigurale da se napadi slični Aurori ne bi ponovili, tvrtke se moraju vratiti na osnove informacijske sigurnosti. Moraju educirati zaposlenike o sigurnim praksama kibernetičke sigurnosti i načinu interakcije s tehnologijom.

Priroda napada postala je toliko sofisticirana da je to teško učiniti čak i iskusnim sigurnosnim stručnjacima razlikovati dobar URL od zlonamjernog.

Koristite šifriranje

VPN-ovi, proxy poslužitelji i višestruki slojevi enkripcije mogu se koristiti za skrivanje zlonamjerne komunikacije na mreži.

Kako bi se otkrila i spriječila komunikacija kompromitiranih računala, sve mrežne veze moraju se nadzirati, posebno one koje izlaze izvan mreže tvrtke. Prepoznavanje abnormalne mrežne aktivnosti i praćenje količine podataka koji izlaze s računala može biti dobar način za procjenu njegovog zdravlja.

Pokrenite Prevenciju izvršenja podataka

Drugi način za smanjenje sigurnosnih prijetnji je pokretanje Prevencije izvršenja podataka (DEP) na vašem računalu. DEP je sigurnosna značajka koja sprječava pokretanje neovlaštenih skripti u memoriji vašeg računala.

Možete ga omogućiti tako da odete na Sustav i sigurnost > Sustav > Napredne postavke sustava na upravljačkoj ploči.

Uključivanje DEP značajke otežat će napadačima izvođenje napada poput Aurore.

Aurora i put naprijed

Svijet nikada nije bio toliko izložen rizicima napada koje sponzorira država kao što je sada. Budući da se većina tvrtki sada oslanja na udaljenu radnu snagu, održavanje sigurnosti teže je nego ikad.

Na sreću, tvrtke brzo usvajaju pristup sigurnosti bez povjerenja koji funkcionira na principu da nikome ne vjeruju bez stalne provjere.

Razotkriveno: 6 mitova o sigurnosti bez povjerenja

Model nultog povjerenja učinkovit je način ograničavanja kršenja podataka, ali postoji previše zabluda oko njegove implementacije.

Pročitajte dalje

UdioCvrkutE-mail
Povezane teme
  • Sigurnost
  • Cybersigurnost
  • Cyber ​​Warfare
  • Google
  • Sigurnost na mreži
O autoru
Favad Ali (Objavljeno 30 članaka)

Fawad je IT i komunikacijski inženjer, ambiciozni poduzetnik i pisac. U arenu pisanja sadržaja ušao je 2017. godine i od tada je radio s dvije agencije za digitalni marketing i brojnim B2B i B2C klijentima. Piše o sigurnosti i tehnici u MUO-u, s ciljem da educira, zabavi i angažira publiku.

Više od Fawada Alija

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu