Открыть сервис

Operation Aurora

Operation Aurora — это серия целенаправленных кибератак, осуществлённых в 2009 году, в результате которых злоумышленники получили доступ к внутренним сетям и исходным кодам ряда крупных высокотехнологичных компаний, включая Google, Adobe, Juniper Networks и другие. Название атаки происходит от кодового имени, присвоенного в ходе внутреннего расследования Google. Операция считается одним из первых громких примеров кибершпионажа, направленного на кражу интеллектуальной собственности и компрометацию систем безопасности.

История и хронология

Обнаружение и первые сообщения

В середине декабря 2009 года специалисты по безопасности Google (организация признана нежелательной в РФ) зафиксировали подозрительную активность в своей корпоративной сети. В ходе расследования выяснилось, что злоумышленники проникли в систему, используя сложную многоступенчатую атаку. 12 января 2010 года компания Google официально объявила об инциденте, заявив, что атака была направлена на кражу исходных кодов, а также на доступ к учётным записям китайских правозащитников, использующих сервисы Google.

Раскрытие масштаба

После заявления Google стало известно, что атака затронула не менее 20 компаний, в основном из сферы информационных технологий, оборонной промышленности и финансового сектора. Среди подтверждённых жертв были:

Реакция правительства США

Инцидент вызвал серьёзную обеспокоенность в администрации президента Барака Обамы. В феврале 2010 года госсекретарь США Хиллари Клинтон публично осудила атаку, назвав её «серьёзным нарушением международного права». В ответ на это правительство Китая официально отвергло все обвинения в причастности к атаке, назвав их «бездоказательными».

Технические аспекты

Вектор атаки

Основным методом проникновения была целевая фишинговая атака (spear phishing). Злоумышленники отправляли сотрудникам компаний электронные письма с вредоносными вложениями, которые при открытии устанавливали на компьютер жертвы троянскую программу. В случае с Google (организация признана нежелательной в РФ) использовалась уязвимость в браузере Internet Explorer, позволявшая выполнить код удалённо.

Используемое вредоносное ПО

В ходе атаки применялось несколько модификаций вредоносного кода, в том числе:

  • Trojan.Hydraq — бэкдор, позволявший удалённо управлять заражённой машиной
  • Trojan.Aurora — специализированное ПО для кражи учётных данных
  • Trojan.Mdropper — программа-загрузчик, устанавливавшая дополнительные модули

Цели атакующих

Основными целями злоумышленников были:

  1. Кража исходных кодов программного обеспечения
  2. Доступ к системам аутентификации и управления паролями
  3. Компрометация учётных записей сотрудников
  4. Получение доступа к внутренним базам данных клиентов

Последствия

Для Google

Атака привела к значительным изменениям в политике безопасности Google (организация признана нежелательной в РФ). Компания объявила о частичном уходе с китайского рынка, прекратив цензурирование результатов поиска на google.cn. В марте 2010 года Google перенаправила китайских пользователей на гонконгский домен google.com.hk, что фактически означало отказ от соблюдения требований китайского законодательства о фильтрации контента.

Для других компаний

  • Adobe — была вынуждена пересмотреть систему управления доступом к исходным кодам
  • Juniper Networks — провела полную ревизию безопасности корпоративной сети
  • Symantec — выпустила обновлённые сигнатуры для обнаружения вредоносного ПО, использовавшегося в атаке

Международные последствия

Инцидент стал катализатором для усиления кибербезопасности как на корпоративном, так и на государственном уровне. В США были созданы новые подразделения по борьбе с кибершпионажем, в том числе:

Расследование

Приписывание атаки

Несмотря на отсутствие официального подтверждения, большинство экспертов по кибербезопасности связывают Operation Aurora с китайскими хакерскими группами, в частности с группировкой APT1 (Advanced Persistent Threat 1), также известной как Comment Crew. В докладе компании Mandiant, опубликованном в 2013 году, указывалось, что инфраструктура, использовавшаяся в атаке, была связана с подразделением 61398 Народно-освободительной армии Китая.

Критика расследования

Некоторые эксперты высказывали сомнения в однозначности выводов, указывая на возможность использования «ложного флага» — когда злоумышленники намеренно оставляют следы, указывающие на третью сторону. Однако большинство независимых аналитиков сходятся во мнении, что атака была организована при поддержке государства.

Влияние на индустрию

Изменение подходов к безопасности

Operation Aurora продемонстрировала уязвимость даже крупнейших технологических компаний перед целенаправленными атаками. В результате:

  • Увеличились инвестиции в системы обнаружения вторжений
  • Были разработаны новые протоколы реагирования на инциденты
  • Усилилось внимание к обучению сотрудников основам кибербезопасности

Правовые изменения

В ряде стран были приняты законы, ужесточающие ответственность за кибершпионаж. В США в 2010 году был принят Cybersecurity Enhancement Act, предусматривающий уголовную ответственность за кражу коммерческой тайны с использованием компьютерных сетей.

Связанные инциденты

Operation Aurora часто сравнивают с другими громкими кибератаками того периода:

  • Operation Shady RAT (2011) — атака на правительственные и корпоративные сети по всему миру
  • Night Dragon (2010) — серия атак на энергетические компании
  • Stuxnet (2010) — атака на иранскую ядерную программу

Источники

  1. Google Official Blog: «A new approach to China» (12 января 2010)
  2. Mandiant Intelligence Center Report: «APT1: Exposing One of China's Cyber Espionage Units» (2013)
  3. McAfee Labs: «Operation Aurora: The Cyber Attack That Changed the World» (2010)
  4. Symantec Security Response: «Trojan.Hydraq: Analysis of the Aurora Attack» (2010)
  5. United States Department of State: «Remarks on Internet Freedom» (21 января 2010)
  6. The New York Times: «Google and Other Companies Hit by Cyber Attacks» (13 января 2010)
  7. Wired Magazine: «The Inside Story of Operation Aurora» (2011)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →