V januári 2010 Google prezradil, že sa stal obeťou sofistikovaného kybernetického útoku s pôvodom v Číne. Útočníci sa zamerali na podnikovú sieť Google, čo viedlo ku krádeži duševného vlastníctva a prístupu k účtom Gmail aktivistov za ľudské práva. Okrem spoločnosti Google sa útok zameral aj na viac ako 30 spoločností z oblasti fintech, médií, internetu a chemického sektora.

Tieto útoky viedla čínska skupina Elderwood a odborníci ich neskôr označili za operáciu Aurora. Čo sa teda vlastne stalo? Ako sa to uskutočnilo? A aké boli následky operácie Aurora?

Čo je operácia Aurora?

Operácia Aurora bola séria cielených kybernetických útokov proti desiatkam organizácií vrátane Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace a Dow Chemicals. Google prvýkrát zverejnil podrobnosti o útokoch v blogovom príspevku, ktorý tvrdil, že išlo o útoky sponzorované štátom.

Krátko po oznámení spoločnosti Google viac ako 30 ďalších firiem odhalilo, že rovnaký protivník narušil ich podnikové siete.

Názov útokov pochádza z odkazov v malvéri na priečinok s názvom „Aurora“, ktorý našli výskumníci MacAfee na jednom z počítačov používaných útočníkmi.

instagram viewer

Ako bol útok vykonaný?

Táto kyberšpionážna operácia bola spustená pomocou spear-phishing technika. Spočiatku cieľoví používatelia dostali škodlivú adresu URL v e-maile alebo okamžitej správe, ktorá spustila sériu udalostí. Keď používatelia kliknú na adresu URL, presmeruje ich to na webovú stránku, ktorá spúšťa ďalší škodlivý kód JavaScript.

Kód JavaScript zneužil zraniteľnosť v prehliadači Microsoft Internet Explorer, ktorá bola v tom čase pomerne neznáma. Takéto zraniteľnosti sú často označované ako „vykorisťovanie nultého dňa“.

Zneužitie zero-day umožnilo spustenie malvéru v systéme Windows a vytvorilo zadné vrátka pre kyberzločincov. prevziať kontrolu nad systémom a ukradnúť poverenia, duševné vlastníctvo alebo čokoľvek iné hľadať.

Aký bol účel operácie Aurora?

Operácia Aurora bola vysoko sofistikovaným a úspešným útokom. Skutočné dôvody útoku však zostávajú nejasné. Keď Google zverejnil bombu Aurora, uviedol nasledujúce dôvody a dôsledky:

  • Krádež duševného vlastníctva: Útočníci sa zamerali na podnikovú infraštruktúru, čo malo za následok krádeže duševného vlastníctva.
  • Kybernetická špionáž: Uviedla tiež, že útoky boli súčasťou kyberšpionážnej operácie, ktorá sa pokúšala infiltrovať účty Gmail čínskych disidentov a aktivistov za ľudské práva.

Avšak o niekoľko rokov neskôr senior riaditeľ o Inštitút pre pokročilé technológie spoločnosti Microsoft uviedol, že útoky boli v skutočnosti určené na vyšetrovanie americkej vlády, aby preverila, či neodhalila totožnosť tajných čínskych agentov, ktorí si plnili svoje povinnosti v Spojených štátoch.

Prečo si operácia Aurora získala toľko pozornosti?

Operácia Aurora je široko diskutovaný kybernetický útok kvôli povahe útokov. Tu je niekoľko kľúčových bodov, vďaka ktorým vyniká:

  • Išlo o vysoko cielenú kampaň, v ktorej mali útočníci dôkladné informácie o svojich cieľoch. To by mohlo naznačovať zapojenie väčšej organizácie a dokonca aj národných štátnych aktérov.
  • Kybernetické incidenty sa dejú neustále, ale mnohé spoločnosti o nich nehovoria. Pre tak sofistikovanú spoločnosť, akou je Google, je vystupovanie a zverejňovanie informácií veľkým problémom.
  • Mnoho bezpečnostných expertov považuje za zodpovedné za útoky čínsku vládu. Ak sú fámy pravdivé, potom máte situáciu, v ktorej vláda útočí na korporácie spôsobom, ktorý ešte nikdy nebol odhalený.

Následky operácie Aurora

Štyri mesiace po útokoch sa Google rozhodol zatvoriť svoje prevádzky v Číne. Skončil Google.com.cn a presmeroval všetku návštevnosť na Google.com.hk – verziu Google pre Hongkong, keďže Hongkong má iné zákony ako pevninská Čína.

Google tiež reštrukturalizoval svoj prístup, aby znížil šance, že sa takéto incidenty budú opakovať. To implementovalo architektúra s nulovou dôverou s názvom BeyondCorp, čo sa ukázalo ako dobré rozhodnutie.

Mnohé spoločnosti zbytočne poskytujú zvýšené prístupové práva, ktoré im umožňujú vykonávať zmeny v sieti a fungovať bez obmedzení. Ak teda útočník nájde cestu do systému s oprávneniami na úrovni správcu, môže tieto oprávnenia ľahko zneužiť.

Model nulovej dôvery funguje na zásady najmenej privilegovaného prístupu a nano-segmentácia. Je to nový spôsob budovania dôvery, v ktorom majú používatelia prístup iba k tým častiam siete, ktoré skutočne potrebujú. Ak sú teda ohrozené prihlasovacie údaje používateľa, útočníci môžu získať prístup iba k nástrojom a aplikáciám, ktoré má k dispozícii tento konkrétny používateľ.

Neskôr mnoho ďalších firiem začalo osvojovať si paradigmu nulovej dôvery reguláciou prístupu k citlivým nástrojom a aplikáciám vo svojich sieťach. Cieľom je overiť každého používateľa a sťažiť útočníkom spôsobiť rozsiahle škody.

Obrana proti operácii Aurora a podobným útokom

Útoky operácie Aurora odhalili, že aj organizácie s významnými zdrojmi ako Google, Yahoo a Adobe môžu byť stále obeťami. Ak sa podarí hacknúť veľké IT spoločnosti s enormným financovaním, potom menšie firmy s menšími zdrojmi budú mať problém brániť sa takýmto útokom. Operácia Aurora nás však naučila aj určité dôležité lekcie, ktoré nám môžu pomôcť brániť sa podobným útokom.

Pozor na sociálne inžinierstvo

Útoky poukázali na riziko ľudského prvku v kybernetickej bezpečnosti. Ľudia sú hlavnými šíriteľmi útokov a povaha sociálneho inžinierstva klikania na neznáme odkazy sa nezmenila.

Aby sa zaistilo, že útoky podobné Aurore sa už nebudú opakovať, spoločnosti sa musia vrátiť k základy informačnej bezpečnosti. Musia vzdelávať zamestnancov o bezpečných postupoch kybernetickej bezpečnosti a o tom, ako interagujú s technológiou.

Povaha útokov sa stala tak sofistikovanou, že aj ostrieľaný bezpečnostný profesionál to ťažko znáša rozlíšiť dobrú URL od škodlivej.

Použite šifrovanie

Na skrytie škodlivej komunikácie v sieti možno použiť siete VPN, proxy servery a viacero vrstiev šifrovania.

Na detekciu a zabránenie komunikácie napadnutých počítačov je potrebné monitorovať všetky sieťové pripojenia, najmä tie, ktoré idú mimo podnikovej siete. Identifikácia abnormálnej sieťovej aktivity a sledovanie objemu dát vychádzajúcich z počítača môže byť dobrým spôsobom, ako vyhodnotiť jeho stav.

Spustite Zabránenie spustenia údajov

Ďalším spôsobom, ako minimalizovať bezpečnostné hrozby, je spustenie ochrany pred spustením údajov (DEP) na vašom počítači. DEP je bezpečnostná funkcia, ktorá zabraňuje spusteniu neoprávnených skriptov v pamäti počítača.

Môžete to povoliť tak, že prejdete na Systém a zabezpečenie > Systém > Rozšírené nastavenia systému v ovládacom paneli.

Zapnutím funkcie DEP bude pre útočníkov ťažšie vykonávať útoky podobné Aurore.

Aurora a cesta vpred

Svet nikdy nebol tak vystavený rizikám štátom podporovaných útokov ako teraz. Keďže väčšina spoločností sa teraz spolieha na vzdialenú pracovnú silu, udržiavanie bezpečnosti je ťažšie ako kedykoľvek predtým.

Našťastie spoločnosti rýchlo prijímajú bezpečnostný prístup s nulovou dôverou, ktorý funguje na princípe nedôvery nikomu bez neustáleho overovania.

Vyvrátené: 6 mýtov o bezpečnosti nulovej dôvery

Model nulovej dôvery je účinný spôsob, ako obmedziť úniky údajov, ale existuje príliš veľa mylných predstáv o jeho implementácii.

Prečítajte si ďalej

zdieľamTweetujteEmail
Súvisiace témy
  • Bezpečnosť
  • Kyber ochrana
  • Kybernetická vojna
  • Google
  • Online bezpečnosť
O autorovi
Fawad Ali (30 publikovaných článkov)

Fawad je IT a komunikačný inžinier, ctižiadostivý podnikateľ a spisovateľ. Do arény tvorby obsahu vstúpil v roku 2017 a odvtedy spolupracoval s dvomi digitálnymi marketingovými agentúrami a mnohými B2B a B2C klientmi. Píše o bezpečnosti a technike na MUO s cieľom vzdelávať, baviť a zapájať publikum.

Viac od Fawada Aliho

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné e-knihy a exkluzívne ponuky!

Kliknutím sem sa prihlásite na odber