Operation Aurora
Operation Aurora — это серия целенаправленных кибератак, осуществлённых в 2009 году, в результате которых злоумышленники получили доступ к внутренним сетям и исходным кодам ряда крупных высокотехнологичных компаний, включая Google, Adobe, Juniper Networks и другие. Название атаки происходит от кодового имени, присвоенного в ходе внутреннего расследования Google. Операция считается одним из первых громких примеров кибершпионажа, направленного на кражу интеллектуальной собственности и компрометацию систем безопасности.
История и хронология
Обнаружение и первые сообщения
В середине декабря 2009 года специалисты по безопасности Google (организация признана нежелательной в РФ) зафиксировали подозрительную активность в своей корпоративной сети. В ходе расследования выяснилось, что злоумышленники проникли в систему, используя сложную многоступенчатую атаку. 12 января 2010 года компания Google официально объявила об инциденте, заявив, что атака была направлена на кражу исходных кодов, а также на доступ к учётным записям китайских правозащитников, использующих сервисы Google.
Раскрытие масштаба
После заявления Google стало известно, что атака затронула не менее 20 компаний, в основном из сферы информационных технологий, оборонной промышленности и финансового сектора. Среди подтверждённых жертв были:
- Adobe Systems
- Juniper Networks
- Rackspace
- Morgan Stanley
- Dow Chemical
- Symantec
Реакция правительства США
Инцидент вызвал серьёзную обеспокоенность в администрации президента Барака Обамы. В феврале 2010 года госсекретарь США Хиллари Клинтон публично осудила атаку, назвав её «серьёзным нарушением международного права». В ответ на это правительство Китая официально отвергло все обвинения в причастности к атаке, назвав их «бездоказательными».
Технические аспекты
Вектор атаки
Основным методом проникновения была целевая фишинговая атака (spear phishing). Злоумышленники отправляли сотрудникам компаний электронные письма с вредоносными вложениями, которые при открытии устанавливали на компьютер жертвы троянскую программу. В случае с Google (организация признана нежелательной в РФ) использовалась уязвимость в браузере Internet Explorer, позволявшая выполнить код удалённо.
Используемое вредоносное ПО
В ходе атаки применялось несколько модификаций вредоносного кода, в том числе:
- Trojan.Hydraq — бэкдор, позволявший удалённо управлять заражённой машиной
- Trojan.Aurora — специализированное ПО для кражи учётных данных
- Trojan.Mdropper — программа-загрузчик, устанавливавшая дополнительные модули
Цели атакующих
Основными целями злоумышленников были:
- Кража исходных кодов программного обеспечения
- Доступ к системам аутентификации и управления паролями
- Компрометация учётных записей сотрудников
- Получение доступа к внутренним базам данных клиентов
Последствия
Для Google
Атака привела к значительным изменениям в политике безопасности Google (организация признана нежелательной в РФ). Компания объявила о частичном уходе с китайского рынка, прекратив цензурирование результатов поиска на google.cn. В марте 2010 года Google перенаправила китайских пользователей на гонконгский домен google.com.hk, что фактически означало отказ от соблюдения требований китайского законодательства о фильтрации контента.
Для других компаний
- Adobe — была вынуждена пересмотреть систему управления доступом к исходным кодам
- Juniper Networks — провела полную ревизию безопасности корпоративной сети
- Symantec — выпустила обновлённые сигнатуры для обнаружения вредоносного ПО, использовавшегося в атаке
Международные последствия
Инцидент стал катализатором для усиления кибербезопасности как на корпоративном, так и на государственном уровне. В США были созданы новые подразделения по борьбе с кибершпионажем, в том числе:
- US Cyber Command (Киберкомандование США) — получило расширенные полномочия
- FBI Cyber Division — усилила работу по расследованию инцидентов
Расследование
Приписывание атаки
Несмотря на отсутствие официального подтверждения, большинство экспертов по кибербезопасности связывают Operation Aurora с китайскими хакерскими группами, в частности с группировкой APT1 (Advanced Persistent Threat 1), также известной как Comment Crew. В докладе компании Mandiant, опубликованном в 2013 году, указывалось, что инфраструктура, использовавшаяся в атаке, была связана с подразделением 61398 Народно-освободительной армии Китая.
Критика расследования
Некоторые эксперты высказывали сомнения в однозначности выводов, указывая на возможность использования «ложного флага» — когда злоумышленники намеренно оставляют следы, указывающие на третью сторону. Однако большинство независимых аналитиков сходятся во мнении, что атака была организована при поддержке государства.
Влияние на индустрию
Изменение подходов к безопасности
Operation Aurora продемонстрировала уязвимость даже крупнейших технологических компаний перед целенаправленными атаками. В результате:
- Увеличились инвестиции в системы обнаружения вторжений
- Были разработаны новые протоколы реагирования на инциденты
- Усилилось внимание к обучению сотрудников основам кибербезопасности
Правовые изменения
В ряде стран были приняты законы, ужесточающие ответственность за кибершпионаж. В США в 2010 году был принят Cybersecurity Enhancement Act, предусматривающий уголовную ответственность за кражу коммерческой тайны с использованием компьютерных сетей.
Связанные инциденты
Operation Aurora часто сравнивают с другими громкими кибератаками того периода:
- Operation Shady RAT (2011) — атака на правительственные и корпоративные сети по всему миру
- Night Dragon (2010) — серия атак на энергетические компании
- Stuxnet (2010) — атака на иранскую ядерную программу
Источники
- Google Official Blog: «A new approach to China» (12 января 2010)
- Mandiant Intelligence Center Report: «APT1: Exposing One of China's Cyber Espionage Units» (2013)
- McAfee Labs: «Operation Aurora: The Cyber Attack That Changed the World» (2010)
- Symantec Security Response: «Trojan.Hydraq: Analysis of the Aurora Attack» (2010)
- United States Department of State: «Remarks on Internet Freedom» (21 января 2010)
- The New York Times: «Google and Other Companies Hit by Cyber Attacks» (13 января 2010)
- Wired Magazine: «The Inside Story of Operation Aurora» (2011)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →