2010. aasta jaanuaris avalikustas Google, et temast on saanud Hiinast pärit keeruka küberrünnaku ohver. Ründajad võtsid sihikule Google'i korporatiivse võrgu, mille tulemuseks oli intellektuaalomandi vargus ja juurdepääs inimõigusaktivistide Gmaili kontodele. Lisaks Google'ile oli rünnak suunatud ka enam kui 30 ettevõttele fintech-, meedia-, Interneti- ja keemiasektoris.

Need rünnakud viis läbi Hiina Elderwood Group ja turvaeksperdid nimetasid neid hiljem operatsiooniks Aurora. Mis siis tegelikult juhtus? Kuidas see läbi viidi? Ja millised olid operatsiooni Aurora tagajärjed?

Mis on operatsioon Aurora?

Operatsioon Aurora oli sihitud küberrünnakute jada kümnete organisatsioonide vastu, sealhulgas Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace ja Dow Chemicals. Google jagas rünnakute üksikasju esmakordselt ajaveebipostituses, milles väideti, et tegemist on riiklikult toetatud rünnakutega.

Varsti pärast Google'i teadet avastasid enam kui 30 muud ettevõtet, et sama vastane oli rikkunud nende ettevõtete võrke.

instagram viewer

Rünnakute nimi tuleneb pahavara viidetest kaustale nimega "Aurora", mille MacAfee teadlased leidsid ühest ründajate kasutatud arvutist.

Kuidas rünnak läbi viidi?

See küberspionaaži operatsioon algatati kasutades spear-phishing tehnika. Algselt said sihitud kasutajad meili või kiirsõnumiga pahatahtliku URL-i, mis käivitas sündmuste jada. Kui kasutajad klõpsavad URL-il, suunatakse nad veebisaidile, mis käivitas täiendava pahatahtliku JavaScripti koodi.

JavaScripti kood kasutas Microsoft Internet Exploreri haavatavust, mis oli tol ajal üsna tundmatu. Sellised haavatavused on nimetatakse sageli "nullpäevaseks ärakasutamiseks".

Null-päeva ärakasutamine võimaldas pahavaral Windowsis töötada ja seadis küberkurjategijatele tagaukse võta süsteem üle kontrolli ja varasta mandaate, intellektuaalomandit või mis iganes muud need olid otsides.

Mis oli operatsiooni Aurora eesmärk?

Operatsioon Aurora oli väga keerukas ja edukas rünnak. Rünnaku tegelikud põhjused on aga ebaselged. Kui Google avalikustas Aurora pommuudise, esitas see järgmised põhjused ja tagajärjed:

  • Intellektuaalomandi vargus: Ründajad võtsid sihikule ettevõtte infrastruktuuri, mille tulemuseks oli intellektuaalomandi vargus.
  • Küberspionaaž: Samuti öeldi, et rünnakud olid osa küberspionaaži operatsioonist, mille käigus üritati tungida Hiina teisitimõtlejate ja inimõiguste aktivistide Gmaili kontodele.

Kuid mõni aasta hiljem vanemdirektor Microsofti kõrgtehnoloogia instituut teatas, et rünnakute eesmärk oli tegelikult uurida USA valitsust, et kontrollida, kas see on paljastanud USA-s oma ülesandeid täitvate Hiina salaagentide identiteedi.

Miks pälvis operatsioon Aurora nii palju tähelepanu?

Operatsioon Aurora on rünnakute olemuse tõttu laialdaselt arutatud küberrünnak. Siin on mõned põhipunktid, mis muudavad selle silmapaistvaks:

  • See oli väga sihitud kampaania, kus ründajatel oli oma sihtmärkide kohta põhjalik luure. See võib vihjata suurema organisatsiooni ja isegi rahvusriikide osalejate kaasamisele.
  • Küberintsidente juhtub kogu aeg, kuid paljud ettevõtted neist ei räägi. Nii kogenud ettevõtte jaoks nagu Google on välja tulemine ja selle avalikustamine suur asi.
  • Paljud julgeolekueksperdid peavad rünnakute eest vastutavaks Hiina valitsust. Kui kuulujutud vastavad tõele, siis on olukord, kus valitsus ründab korporatiivseid üksusi viisil, mida varem pole avalikustatud.

Operatsiooni Aurora tagajärjed

Neli kuud pärast rünnakuid otsustas Google oma tegevuse Hiinas sulgeda. See lõpetas saidi Google.com.cn ja suunas kogu liikluse saidile Google.com.hk – Hongkongi Google'i versioonile, kuna Hongkongis kehtivad Mandri-Hiinaga võrreldes erinevad seadused.

Google muutis ka oma lähenemisviisi, et vähendada selliste juhtumite kordumise tõenäosust. See rakendas null-usaldusarhitektuur nimega BeyondCorp, mis on osutunud heaks otsuseks.

Paljud ettevõtted pakuvad asjatult kõrgendatud juurdepääsuõigusi, mis võimaldavad neil võrgus muudatusi teha ja piiranguteta töötada. Seega, kui ründaja leiab tee administraatoritaseme õigustega süsteemi, võib ta neid õigusi kergesti kuritarvitada.

Null-usaldusmudel töötab vähima privileegiga juurdepääsu põhimõtted ja nano-segmenteerimine. See on uus viis usalduse loomiseks, mille abil kasutajad saavad juurdepääsu ainult neile võrguosadele, mida nad tõesti vajavad. Seega, kui kasutaja mandaadid on ohus, pääsevad ründajad juurde ainult sellele konkreetsele kasutajale saadaolevatele tööriistadele ja rakendustele.

Hiljem hakkasid paljud ettevõtted kasutama null-usalduse paradigmat, reguleerides juurdepääsu tundlikele tööriistadele ja rakendustele oma võrkudes. Eesmärk on kontrollida iga kasutajat ja raskendada ründajatel ulatuslikku kahju tekitamist.

Kaitsmine operatsiooni Aurora ja sarnaste rünnakute eest

Operatsiooni Aurora rünnakud näitasid, et isegi selliste oluliste ressurssidega organisatsioonid nagu Google, Yahoo ja Adobe võivad endiselt ohvriks langeda. Kui suuri IT-ettevõtteid, millel on tohutult raha, saab häkkida, on väiksemate ressurssidega väiksematel ettevõtetel raske selliste rünnakute eest kaitsta. Kuid operatsioon Aurora andis meile ka teatud olulised õppetunnid, mis aitavad meil end sarnaste rünnakute eest kaitsta.

Hoiduge sotsiaalsest tehnikast

Rünnakud tõid esile inimliku elemendi ohu küberjulgeolekus. Inimesed on rünnakute peamised levitajad ja tundmatutel linkidel klõpsamise sotsiaalne kujundus ei ole muutunud.

Tagamaks, et Aurora-laadsed rünnakud enam ei korduks, peavad ettevõtted pöörduma tagasi infoturbe põhitõed. Nad peavad koolitama töötajaid ohutute küberturvalisuse tavade ja tehnoloogiaga suhtlemise kohta.

Rünnakute olemus on muutunud nii keerukaks, et isegi kogenud turvaprofessionaalil on seda raske teha eristada head URL-i pahatahtlikust.

Kasutage krüptimist

VPN-e, puhverservereid ja mitut krüpteerimiskihti saab kasutada võrgus pahatahtliku suhtluse peitmiseks.

Ohustatud arvutite side tuvastamiseks ja vältimiseks tuleb jälgida kõiki võrguühendusi, eriti neid, mis lähevad väljapoole ettevõtte võrku. Ebatavalise võrgutegevuse tuvastamine ja arvutist väljuvate andmete mahu jälgimine võib olla hea viis selle seisundi hindamiseks.

Käivitage andmete täitmise ennetamine

Teine viis turvaohtude minimeerimiseks on käivitada arvutis Data Execution Prevention (DEP). DEP on turvafunktsioon, mis takistab volitamata skriptide käivitamist teie arvuti mälus.

Saate selle lubada, minnes aadressile Süsteem ja turve > Süsteem > Täpsemad süsteemisätted juhtpaneelil.

DEP-funktsiooni sisselülitamine muudab ründajatel Aurora-laadsete rünnakute sooritamise raskemaks.

Aurora ja tee edasi

Maailm pole kunagi varem olnud riiklikult toetatud rünnakute ohtudele nii avatud kui praegu. Kuna enamik ettevõtteid tugineb nüüd kaugtööjõule, on turvalisuse tagamine raskem kui kunagi varem.

Õnneks võtavad ettevõtted kiiresti kasutusele null-usaldamise turvalisuse lähenemisviisi, mis töötab põhimõttel, et ilma pideva kontrollita ei usaldata kedagi.

Debunked: 6 müüti nulli usalduse turvalisuse kohta

Nullusaldusmudel on tõhus viis andmetega seotud rikkumiste piiramiseks, kuid selle rakendamise kohta on liiga palju väärarusaamu.

Loe edasi

JagaSäutsMeil
Seotud teemad
  • Turvalisus
  • Küberturvalisus
  • Kübersõda
  • Google
  • Interneti-turvalisus
Autori kohta
Fawad Ali (Avaldatud 30 artiklit)

Fawad on IT- ja kommunikatsiooniinsener, ambitsioonikas ettevõtja ja kirjanik. Ta sisenes sisu kirjutamise areenile 2017. aastal ning on sellest ajast alates töötanud kahe digitaalse turunduse agentuuri ning paljude B2B ja B2C klientidega. Ta kirjutab MUO turvalisusest ja tehnikast eesmärgiga publikut harida, lõbustada ja kaasata.

Rohkem Fawad Alilt

Liituge meie uudiskirjaga

Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!

Tellimiseks klõpsake siin