V lednu 2010 Google prozradil, že se stal obětí sofistikovaného kybernetického útoku pocházejícího z Číny. Útočníci se zaměřili na podnikovou síť Google, což vedlo ke krádeži duševního vlastnictví a přístupu k účtům Gmail aktivistů za lidská práva. Kromě Googlu se útok zaměřil také na více než 30 společností z fintech, médií, internetu a chemického sektoru.

Tyto útoky provedla čínská skupina Elderwood Group a později je bezpečnostní experti označili jako operaci Aurora. Co se tedy vlastně stalo? Jak to bylo provedeno? A jaké byly následky operace Aurora?

Co je operace Aurora?

Operace Aurora byla sérií cílených kybernetických útoků proti desítkám organizací, včetně Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace a Dow Chemicals a dalších. Google nejprve sdílel podrobnosti o útocích v příspěvku na blogu, který tvrdil, že šlo o útoky sponzorované státem.

Brzy po oznámení společnosti Google více než 30 dalších firem odhalilo, že stejný protivník narušil jejich podnikové sítě.

Název útoků pochází z odkazů v malwaru na složku s názvem „Aurora“, kterou našli výzkumníci MacAfee na jednom z počítačů používaných útočníky.

instagram viewer

Jak byl útok proveden?

Tato kybernetická špionážní operace byla zahájena pomocí technika spear-phishing. Zpočátku cíloví uživatelé obdrželi škodlivou adresu URL v e-mailu nebo rychlé zprávě, která iniciovala sérii událostí. Jakmile uživatelé kliknou na adresu URL, přesune je to na webovou stránku, která spouští další škodlivý kód JavaScript.

Kód JavaScript zneužil zranitelnost v prohlížeči Microsoft Internet Explorer, která byla v té době poměrně neznámá. Takové zranitelnosti jsou často nazývané „vykořisťování nultého dne“.

Zneužití zero-day umožnilo spuštění malwaru ve Windows a vytvoření zadních vrátek pro kyberzločince. převzít kontrolu nad systémem a ukrást pověření, duševní vlastnictví nebo cokoli jiného hledající.

Jaký byl účel operace Aurora?

Operace Aurora byla vysoce sofistikovaným a úspěšným útokem. Skutečné důvody útoku však zůstávají nejasné. Když Google odhalil bombu Aurora, uvedl následující důvody a důsledky:

  • Krádeže duševního vlastnictví: Útočníci se zaměřili na podnikovou infrastrukturu, což mělo za následek krádeže duševního vlastnictví.
  • Kybernetická špionáž: Uvedla také, že útoky byly součástí kybernetické špionáže, která se pokusila infiltrovat účty Gmail čínských disidentů a aktivistů za lidská práva.

Nicméně, o několik let později, senior ředitel Institut pro pokročilé technologie společnosti Microsoft uvedl, že útoky měly ve skutečnosti prozkoumat americkou vládu, aby prověřila, zda odhalila identitu tajných čínských agentů vykonávajících své povinnosti ve Spojených státech.

Proč si operace Aurora získala tolik pozornosti?

Operace Aurora je široce diskutovaným kyberútokem kvůli povaze útoků. Zde je několik klíčových bodů, díky kterým vyniká:

  • Jednalo se o vysoce cílenou kampaň, ve které měli útočníci důkladné zpravodajství o svých cílech. To by mohlo naznačovat zapojení větší organizace a dokonce aktérů národního státu.
  • Kybernetické incidenty se stávají neustále, ale mnoho společností o nich nemluví. Pro tak sofistikovanou společnost, jako je Google, je vyjít ven a zveřejnit to na veřejnosti velký problém.
  • Mnoho bezpečnostních expertů považuje za zodpovědnou čínskou vládu. Pokud jsou fámy pravdivé, pak máte situaci, kdy vláda útočí na korporace způsobem, který dosud nebyl odhalen.

Následky operace Aurora

Čtyři měsíce po útocích se Google rozhodl ukončit své operace v Číně. Skončil Google.com.cn a přesměroval veškerý provoz na Google.com.hk – verzi Google pro Hongkong, protože Hongkong má jiné zákony než pevninská Čína.

Google také restrukturalizoval svůj přístup, aby zmírnil šance, že se podobné incidenty budou opakovat. To implementovalo architektura s nulovou důvěrou s názvem BeyondCorp, což se ukázalo jako dobré rozhodnutí.

Mnoho společností zbytečně poskytuje zvýšená přístupová oprávnění, která jim umožňují provádět změny v síti a fungovat bez omezení. Pokud tedy útočník najde cestu do systému s právy správce, může tato oprávnění snadno zneužít.

Model nulové důvěry funguje na zásady nejméně privilegovaného přístupu a nanosegmentace. Je to nový způsob, jak nastolit důvěru, ve které mají uživatelé přístup pouze k těm částem sítě, které skutečně potřebují. Pokud tedy dojde ke kompromitaci přihlašovacích údajů uživatele, útočníci budou mít přístup pouze k nástrojům a aplikacím, které jsou dostupné tomuto konkrétnímu uživateli.

Později začalo paradigma nulové důvěry používat mnohem více firem regulací přístupu k citlivým nástrojům a aplikacím ve svých sítích. Cílem je ověřit každého uživatele a ztížit útočníkům způsobovat rozsáhlé škody.

Obrana proti operaci Aurora a podobným útokům

Útoky operace Aurora odhalily, že i organizace s významnými zdroji jako Google, Yahoo a Adobe mohou být stále obětí. Pokud se podaří hacknout velké IT společnosti s enormními finančními prostředky, pak menší firmy s méně zdroji budou mít problém se takovým útokům bránit. Operace Aurora nás však také naučila určité důležité lekce, které nám mohou pomoci se podobným útokům bránit.

Pozor na sociální inženýrství

Útoky poukázaly na riziko lidského prvku v kybernetické bezpečnosti. Primárním šiřitelem útoků jsou lidé a povaha sociálního inženýrství klikání na neznámé odkazy se nezměnila.

Aby se zajistilo, že se útoky podobné Auroře již nebudou opakovat, musí se společnosti vrátit k základy informační bezpečnosti. Potřebují vzdělávat zaměstnance o bezpečných postupech kybernetické bezpečnosti a o tom, jak interagují s technologiemi.

Povaha útoků se stala tak sofistikovanou, že i pro zkušeného bezpečnostního profesionála je to těžké rozlišit dobrou adresu URL od škodlivé.

Použijte šifrování

Ke skrytí škodlivé komunikace v síti lze použít sítě VPN, proxy servery a více vrstev šifrování.

Pro detekci a prevenci komunikace kompromitovaných počítačů je nutné monitorovat všechna síťová připojení, zejména ta, která jdou mimo firemní síť. Identifikace abnormální síťové aktivity a sledování objemu dat odcházejících z počítače může být dobrým způsobem, jak vyhodnotit jeho stav.

Spusťte Data Execution Prevention

Dalším způsobem, jak minimalizovat bezpečnostní hrozby, je spuštění Prevence spouštění dat (DEP) na vašem počítači. DEP je bezpečnostní funkce, která zabraňuje spouštění neoprávněných skriptů v paměti vašeho počítače.

Můžete to povolit přechodem na Systém a zabezpečení > Systém > Pokročilá nastavení systému v Ovládacích panelech.

Zapnutím funkce DEP bude pro útočníky těžší provádět útoky podobné Auroře.

Aurora a cesta vpřed

Svět nebyl nikdy tak vystaven rizikům státem podporovaných útoků jako nyní. Vzhledem k tomu, že většina společností nyní spoléhá na vzdálenou pracovní sílu, je udržování bezpečnosti těžší než kdy dříve.

Naštěstí společnosti rychle přecházejí na bezpečnostní přístup s nulovou důvěrou, který funguje na principu nedůvěřovat nikomu bez průběžného ověřování.

Odhaleno: 6 mýtů o zabezpečení nulové důvěry

Model nulové důvěry je účinný způsob, jak omezit úniky dat, ale existuje příliš mnoho mylných představ o jeho implementaci.

Přečtěte si další

PodíltweetE-mailem
Související témata
  • Bezpečnostní
  • Kybernetická bezpečnost
  • Kybernetická válka
  • Google
  • Online bezpečnost
O autorovi
Fawad Ali (Zveřejněno 30 článků)

Fawad je IT a komunikační inženýr, začínající podnikatel a spisovatel. Do arény psaní obsahu vstoupil v roce 2017 a od té doby spolupracoval se dvěma digitálními marketingovými agenturami a mnoha B2B a B2C klienty. Píše o bezpečnosti a technice na MUO s cílem vzdělávat, bavit a zapojit publikum.

Více od Fawada Aliho

Přihlaste se k odběru našeho newsletteru

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!

Chcete-li se přihlásit k odběru, klikněte sem