Крушение поезда «Аврора» (1988)
- 1 year ago
- 0
- 0
Операция «Аврора» ( англ. Operation Aurora ) — условное название продолжительной серии китайских кибератак , начавшихся во второй половине 2009 и предположительно продолжавшихся до февраля 2010 года .
Данные об этих инцидентах были обнародованы корпорацией Google 12 января 2010 года. Как представлялось в начале, суть атак заключалось в выборочном фишинге , направленном на сотрудников корпорации, посредством которого собиралась информация об их сетевой активности и информационных ресурсах . Однако позднее выяснилось, что помимо корпорации Google в ходе этих событий пострадали более 200 крупных американских компаний, у которых исходные коды созданного програмного обеспечения были украдены через Интернет .
Название «Аврора» появилось благодаря имени файла на одном из атакующих компьютеров . Директор Агентства национальной безопасности США К. Александер оценил размах этих событий как «величайшее в человеческой истории перераспределение богатства». Это обвинение прозвучало в контексте приписываемой континентальному Китаю склонности к постоянному киберворовству и кибершпионажу .
По мнению специалистов компании Symantec , организаторами «Авроры» можно считать некое киберсообщество, которое в американских документах проходит под условным грифом «Элдервуд». Эта группировка, вероятно, имеет какую-то связь с правительством КНР и, скорее всего, причастна к его разведывательным операциям в киберпространстве . Такие выводы были сделаны на основе анализа особенностей активности хакеров, а также используемого ими вредоносного кода, IP-адресов и доменных имён. Название «Элдервуд» появилось благодаря имени одной из переменных в исходном коде, применяемом злоумышленниками .
По заключению специалистов Google, то, что американцы назвали операцией «Аврора», началось с точечного фишинга, посредством которого у сотрудников Google выуживалась информация об их деятельности и о доступных им служебных ресурсах .
В результате «Авроры» хакерам удалось подобраться к хранилищу исходного кода корпорации Google. Это, в свою очередь, дало возможность скрытно модифицировать программное обеспечение на взломанных машинах и манипулировать корпоративными исходниками различными способами, например, шпионя за клиентами или создавая свежие уязвимости в тех сетях, которые доверяли программному обеспечению жертвы. Скомпрометированный код предположительно включал в себя систему «Гайя», предназначенную для тех пользователей, которые подключались к нескольким службам Google, используя ввод единственного пароля .
При расследовании выяснилось, что диапазон поражённых объектов оказался настолько широк, что это существенно усложнило достоверное оценивание мотивов и намерений злоумышленников. Вероятнее всего, одной из их приоритетных целей были китайские диссиденты, которые занимались проблематикой гражданских прав и свобод на территории КНР. Одна только возможность удалённого доступа к компьютерам правозащитников скомпрометировала их файлы и коммуникацию посредством Gmail. Был сделан вывод, что достигнутый таким образом уровень информационного доминирования позволил властям КНР поддерживать политическую стабильность внутри своей страны .
Тем не менее, нацеленность на корпоративные цели в различных секторах бизнеса указывает, что, скорее всего, намерения взломщиков не были ограничены внутриполитической повесткой. Среди потерпевших оказалось не менее трёх дюжин крупных американских корпораций, связанных с информационными и аэрокосмическими разработками, например Symantec Corporation , Yahoo , Adobe , Northrop Grumman Corporation и Dow Chemical . Помимо них пoстрадал инвестиционный банк « Морган Стэнли » , a компания Adobe заявила о краже исходных кодов её разработок и личных данных 38 миллионов её клиентов . Предполагается, что полное количество пострадавших компаний исчисляется тысячами .
Информационная шумиха вокруг «Авроры» дошла до уровня обсуждений в конгрессе и заявлений главы государственного департамента США .
Технический анализ позволил дать приближённую оценку арсенала эксплойтов , задействованных в операциях APT . Нацеленность злоумышленников на промышленный и финансовый шпионаж позволила сделать вывод, что это способ работы, характерный для китайской стороны. Скорее всего, всплеск киберактивности, связанный с операцией «Аврора», имел какое-то отношение к другой серии кибератак, которая получила название «операция „Шейди Рэт“» ( англ. Shady RAT , 2006 год). Изучение IP адресов, вовлечённых в эти инциденты, вывело на диапазоны, связанные с DDoS -атаками против целей в Южной Корее и США летом 2009 года. Отслеживание закономерностей их использования подтвердило предположения, что они осуществлены теми же самыми лицами .
Специалисты утверждают, что, скорее всего, за этой серией событий стоят лучшие университеты КНР в области информационных технологий. Среди главных подозреваемых названы Шанхайский университет транспорта и профессионально-техническое училище Шандунь Ланьсян, несмотря на то, что их руководство всячески отрицает любую вовлечённость в эти кибератаки. Ряд экспертов предполагает, что эти общеобразовательные учреждения связаны с формированиями китайских вооружённых сил , которые специально заточены под задачи ведения стратегического и экономического кибершпионажа, например подразделение 61398
Тем не менее, официальный Пекин отрицал любую причастность китайского государства к кибератакам, объясняя их попытками каких-то студентов повысить свои компьютерные навыки .
Шпионское программное обеспечение, задействованное злоумышленниками, было создано на высоком техническом уровне, а для его скрытного использования применялось шифрование исполняемого кода и другие сложные технологии . В тот момент, когда потенциальная жертва, находящаяся в закрытой корпоративной сети, посещала онлайн-приманку, на её машину подгружался и запускался вредоносный JavaScript -сценарий, который загружал через уязвимость веб-браузера специальное троянское приложение . Это приложение было способно поражать сразу несколько новейших версий популярного браузера Internet Explorer на персональных компьютерах под управлением операционных систем Windows 7 , Windows Vista и Windows XP . Троян сохранял себя на инфицированной машине в папке с именем «Аврора» .
Для проникновения на компьютер жертвы использовалась 0day -уязвимость доступа к памяти вида «использование после освобождения» ( англ. use-after-free ) браузера Internet Explorer, которая приводила к нарушениям структуры HTML -объектов. Используя этот метод, злоумышенникам удавалось расположить вредоносный код по тем адресам, которые высвобождались объектами при их удалении. Способом атаки на пользовательскую машину стала попутная загрузка ( англ. drive-by download ), в результате которой машина становилась заражённой . Этот вид атаки позволял игнорировать настройки безопасности веб-браузера, а после проникновения в локальную сеть — обойти протокол безопасности организации и получить доступ к системе . Впоследствии хакеры использовали инструменты удалённого управления для сбора информации о пользователе и о его файлах, не прекращая рассылать сообщения со ссылками на онлайн-приманку .