I januari 2010 avslöjade Google att det hade blivit ett offer för en sofistikerad cyberattack med ursprung i Kina. Angriparna riktade in sig på Googles företagsnätverk, vilket resulterade i stöld av immateriella rättigheter och åtkomst till Gmail-konton för människorättsaktivister. Förutom Google riktade attacken sig också mot över 30 företag inom fintech, media, internet och kemi.
Dessa attacker utfördes av den kinesiska Elderwood-gruppen och kallades senare av säkerhetsexperter som Operation Aurora. Så vad hände egentligen? Hur genomfördes det? Och vad blev efterdyningarna av Operation Aurora?
Vad är Operation Aurora?
Operation Aurora var en serie riktade cyberattacker mot dussintals organisationer, inklusive Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace och Dow Chemicals, bland andra. Google delade först detaljer om attackerna i ett blogginlägg som hävdade att dessa var statligt sponsrade attacker.
Strax efter Googles tillkännagivande avslöjade mer än 30 andra företag att samma motståndare hade brutit mot deras företagsnätverk.
Namnet på attackerna kommer från referenser i skadlig programvara till en mapp med namnet "Aurora" som hittats av MacAfee-forskare på en av de datorer som angriparna använder.
Hur genomfördes attacken?
Denna cyberspionageoperation inleddes med hjälp av spjutfisketeknik. Inledningsvis fick de riktade användarna en skadlig URL i ett e-postmeddelande eller ett snabbmeddelande som initierade en serie händelser. När användarna klickade på URL: en skulle de ta dem till en webbplats som körde ytterligare skadlig JavaScript-kod.
JavaScript-koden utnyttjade en sårbarhet i Microsoft Internet Explorer som var ganska okänd vid den tiden. Sådana sårbarheter är ofta kallad "nolldagars bedrifter".
Zero-day exploateringen tillät skadlig programvara att köras i Windows och skapade en bakdörr för cyberbrottslingarna att ta kontroll över systemet och stjäla referenser, immateriella rättigheter eller vad de nu var sökande.
Vad var syftet med Operation Aurora?
Operation Aurora var en mycket sofistikerad och framgångsrik attack. Men de verkliga orsakerna bakom attacken är fortfarande oklara. När Google avslöjade Aurora-bomben angav den följande skäl och konsekvenser:
- Stöld av immateriell egendom: Angriparna riktade in sig på företagets infrastruktur, vilket resulterade i stöld av immateriell egendom.
- Cyberspionage: Den sade också att attackerna var en del av en cyberspionageoperation som försökte infiltrera Gmail-konton för kinesiska dissidenter och människorättsaktivister.
Men några år senare, en senior chef för Microsofts Institute for Advanced Technology uppgav att attackerna egentligen var avsedda att undersöka den amerikanska regeringen, för att kontrollera om den hade avslöjat identiteten på undercover kinesiska agenter som utför sina uppgifter i USA.
Varför fick operation Aurora så mycket uppmärksamhet?
Operation Aurora är en brett diskuterad cyberattack på grund av attackernas karaktär. Här är några viktiga punkter som gör att det sticker ut:
- Detta var en mycket riktad kampanj där angriparna hade grundlig intelligens om sina mål. Detta kan antyda involvering av en större organisation och till och med nationalstatliga aktörer.
- Cyberincidenter händer hela tiden, men många företag pratar inte om dem. För ett så sofistikerat företag som Google är det en stor sak att komma ut och avslöja det offentligt.
- Många säkerhetsexperter håller den kinesiska regeringen ansvarig för attackerna. Om ryktena är sanna, så har du en situation där en regering attackerar företagsenheter på ett sätt som aldrig tidigare har avslöjats.
Efterdyningarna av Operation Aurora
Fyra månader efter attackerna beslutade Google att lägga ner sin verksamhet i Kina. Den avslutade Google.com.cn och omdirigerade all trafik till Google.com.hk – en Google-version för Hongkong, eftersom Hongkong har olika lagar till Kinas fastland.
Google omstrukturerade också sitt tillvägagångssätt för att minska risken för att sådana incidenter ska hända igen. Den genomförde noll-förtroende arkitektur kallas BeyondCorp, vilket har visat sig vara ett bra beslut.
Många företag tillhandahåller i onödan förhöjda åtkomstprivilegier, vilket gör att de kan göra ändringar i nätverket och arbeta utan begränsningar. Så om en angripare hittar en väg till ett system med behörigheter på administratörsnivå kan de lätt missbruka dessa privilegier.
Nollförtroendemodellen fungerar på principer för minst privilegierad tillgång och nanosegmentering. Det är ett nytt sätt att skapa förtroende där användare bara kan komma åt de delar av ett nätverk som de verkligen behöver. Så om en användares autentiseringsuppgifter äventyras kan angriparna bara komma åt de verktyg och applikationer som är tillgängliga för just den användaren.
Senare började många fler företag anta nollförtroendeparadigmet genom att reglera tillgången till känsliga verktyg och applikationer i sina nätverk. Målet är att verifiera varje användare och göra det svårt för angripare att orsaka omfattande skada.
Försvara sig mot Operation Aurora och liknande attacker
Operation Aurora-attackerna avslöjade att även organisationer med betydande resurser som Google, Yahoo och Adobe fortfarande kan bli utsatta för offer. Om stora IT-företag med enorma medel kan hackas, kommer mindre företag med färre resurser att ha svårt att försvara sig mot sådana attacker. Men Operation Aurora lärde oss också vissa viktiga lärdomar som kan hjälpa oss att försvara oss mot liknande attacker.
Akta dig för social ingenjörskonst
Attackerna lyfte fram risken med det mänskliga inslaget i cybersäkerhet. Människor är de främsta spridarna av attacker och den sociala ingenjörskonsten av att klicka på okända länkar har inte förändrats.
För att säkerställa att Aurora-liknande attacker inte händer igen, måste företag gå tillbaka till grunderna för informationssäkerhet. De måste utbilda anställda om säkra cybersäkerhetsmetoder och hur de interagerar med teknik.
Attackernas karaktär har blivit så sofistikerad att även en erfaren säkerhetspersonal har svårt att göra det skilja en bra URL från en skadlig.
Använd kryptering
VPN, proxyservrar och flera lager av kryptering kan användas för att dölja skadlig kommunikation på ett nätverk.
För att upptäcka och förhindra kommunikation från komprometterade datorer måste alla nätverksanslutningar övervakas, särskilt de som går utanför företagets nätverk. Att identifiera onormal nätverksaktivitet och övervaka mängden data som går ut från en PC kan vara ett bra sätt att utvärdera dess hälsa.
Kör Data Execution Prevention
Ett annat sätt att minimera säkerhetshot är att köra Data Execution Prevention (DEP) på din dator. DEP är en säkerhetsfunktion som förhindrar att obehöriga skript körs i datorns minne.
Du kan aktivera det genom att gå till System och säkerhet > System > Avancerade systeminställningar i Kontrollpanelen.
Att slå på DEP-funktionen kommer att göra det svårare för angripare att utföra Aurora-liknande attacker.
Aurora och vägen framåt
Världen har aldrig varit mer utsatt för riskerna för statligt sponsrade attacker som nu. Eftersom de flesta företag nu förlitar sig på en avlägsen arbetsstyrka är det svårare än någonsin att upprätthålla säkerheten.
Lyckligtvis antar företag snabbt nollförtroendesäkerhetsmetoden som fungerar utifrån principen att inte lita på någon utan kontinuerlig verifiering.
Zero Trust Model är ett effektivt sätt att begränsa dataintrång, men det finns för många missuppfattningar om dess implementering.
Läs Nästa
- säkerhet
- Cybersäkerhet
- Cyberkrigföring
- Online säkerhet
Fawad är en IT- och kommunikationsingenjör, blivande entreprenör och en författare. Han gick in på arenan för innehållsskrivande 2017 och har arbetat med två digitala marknadsföringsbyråer och många B2B & B2C-kunder sedan dess. Han skriver om säkerhet och teknik på MUO, med syftet att utbilda, underhålla och engagera publiken.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Klicka här för att prenumerera
