Операция «Аврора»

Операция «Аврора» (англ. Operation Aurora) — условное название продолжительной серии китайских кибератак, начавшихся во второй половине 2009 и предположительно продолжавшихся до февраля 2010 года^[1].

Данные об этих инцидентах были обнародованы корпорацией Google 12 января 2010 года. Как представлялось в начале, суть атак заключалось в выборочном фишинге, направленном на сотрудников корпорации, посредством которого собиралась информация об их сетевой активности и информационных ресурсах^[2]. Однако позднее выяснилось, что помимо корпорации Google в ходе этих событий пострадали более 200 крупных американских компаний, у которых исходные коды созданного програмного обеспечения были украдены через Интернет^[3].

Название «Аврора» появилось благодаря имени файла на одном из атакующих компьютеров^[4]. Директор Агентства национальной безопасности США К. Александер оценил размах этих событий как «величайшее в человеческой истории перераспределение богатства». Это обвинение прозвучало в контексте приписываемой континентальному Китаю склонности к постоянному киберворовству и кибершпионажу^[5]^[6].

Общие сведения

По мнению специалистов компании Symantec, организаторами «Авроры» можно считать некое киберсообщество, которое в американских документах проходит под условным грифом «Элдервуд». Эта группировка, вероятно, имеет какую-то связь с правительством КНР и, скорее всего, причастна к его разведывательным операциям в киберпространстве. Такие выводы были сделаны на основе анализа особенностей активности хакеров, а также используемого ими вредоносного кода, IP-адресов и доменных имён. Название «Элдервуд» появилось благодаря имени одной из переменных в исходном коде, применяемом злоумышленниками^[7].

Ряд других косвенных признаков указывает на причастность к операции «Аврора» независимой хакерской организации «Спрятавшаяся рысь» (англ. Hidden Lynx)^[8].

По заключению специалистов Google, то, что американцы назвали операцией «Аврора», началось с точечного фишинга, посредством которого у сотрудников Google выуживалась информация об их деятельности и о доступных им служебных ресурсах^[7].

В результате «Авроры» хакерам удалось подобраться к хранилищу исходного кода корпорации Google. Это, в свою очередь, дало возможность скрытно модифицировать программное обеспечение на взломанных машинах и манипулировать корпоративными исходниками различными способами, например, шпионя за клиентами или создавая свежие уязвимости в тех сетях, которые доверяли программному обеспечению жертвы. Скомпрометированный код предположительно включал в себя систему «Гайя», предназначенную для тех пользователей, которые подключались к нескольким службам Google, используя ввод единственного пароля^[2]^[7].

При расследовании выяснилось, что диапазон поражённых объектов оказался настолько широк, что это существенно усложнило достоверное оценивание мотивов и намерений злоумышленников. Вероятнее всего, одной из их приоритетных целей были китайские диссиденты, которые занимались проблематикой гражданских прав и свобод на территории КНР. Одна только возможность удалённого доступа к компьютерам правозащитников скомпрометировала их файлы и коммуникацию посредством Gmail. Был сделан вывод, что достигнутый таким образом уровень информационного доминирования позволил властям КНР поддерживать политическую стабильность внутри своей страны^[2].

Тем не менее, нацеленность на корпоративные цели в различных секторах бизнеса указывает, что, скорее всего, намерения взломщиков не были ограничены внутриполитической повесткой. Среди потерпевших оказалось не менее трёх дюжин крупных американских корпораций, связанных с информационными и аэрокосмическими разработками, например Symantec Corporation, Yahoo, Adobe, Northrop Grumman Corporation и Dow Chemical^[2]^[9]. Помимо них пoстрадал инвестиционный банк «Морган Стэнли»^[7], a компания Adobe заявила о краже исходных кодов её разработок и личных данных 38 миллионов её клиентов^[6]. Предполагается, что полное количество пострадавших компаний исчисляется тысячами^[2]^[9].

Публичный резонанс и оценка

Среди специалистов по кибербезопасности «Аврора» получила оценку, как эпохальное событие^[8]. Информационная шумиха вокруг неё дошла до уровня обсуждений в конгрессе и заявлений главы государственного департамента США^[10].

Технический анализ позволил дать приближённую оценку арсенала эксплойтов, задействованных в операциях APT^[9]. Нацеленность злоумышленников на промышленный и финансовый шпионаж позволила сделать вывод, что это способ работы, характерный для китайской стороны. Скорее всего, всплеск киберактивности, связанный с операцией «Аврора», имел какое-то отношение к другой серии кибератак, которая получила название «операция „Шейди Рэт“» (англ. Shady RAT, 2006 год). Изучение IP адресов, вовлечённых в эти инциденты, вывело на диапазоны, связанные с DDoS-атаками против целей в Южной Корее и США летом 2009 года. Отслеживание закономерностей их использования подтвердило предположения, что они осуществлены теми же самыми лицами^[2].

Специалисты утверждают, что, скорее всего, за этой серией событий стоят лучшие университеты КНР в области информационных технологий. Среди главных подозреваемых названы Шанхайский университет транспорта и профессионально-техническое училище Шандунь Ланьсян, несмотря на то, что их руководство всячески отрицает любую вовлечённость в эти кибератаки. Ряд экспертов предполагает, что эти общеобразовательные учреждения связаны с формированиями китайских вооружённых сил, которые специально заточены под задачи ведения стратегического и экономического кибершпионажа, например подразделение 61398^[2]^[11]

Тем не менее, официальный Пекин отрицал любую причастность китайского государства к кибератакам, объясняя их попытками каких-то студентов повысить свои компьютерные навыки^[12].

Техническая сторона

Шпионское программное обеспечение, задействованное злоумышленниками, было создано на высоком техническом уровне, а для его скрытного использования применялось шифрование исполняемого кода и другие сложные технологии^[13]. В тот момент, когда потенциальная жертва, находящаяся в закрытой корпоративной сети, посещала онлайн-приманку, на её машину подгружался и запускался вредоносный JavaScript-сценарий, который загружал через уязвимость веб-браузера специальное троянское приложение Trojan.Hydraq. Это приложение было способно поражать сразу несколько новейших версий популярного браузера Internet Explorer на персональных компьютерах под управлением операционных систем Windows 7, Windows Vista и Windows XP^[7]. Троян сохранял себя на инфицированной машине в папке с именем «Аврора»^[13].

Для проникновения на компьютер жертвы использовалась 0day-уязвимость доступа к памяти вида «использование после освобождения» (англ. use-after-free) браузера Internet Explorer, которая приводила к нарушениям структуры HTML-объектов. Используя этот метод, злоумышенникам удавалось расположить вредоносный код по тем адресам, которые высвобождались объектами при их удалении. Способом атаки на пользовательскую машину стала попутная загрузка (англ. drive-by download), в результате которой машина становилась заражённой^[14]. Этот вид атаки позволял игнорировать настройки безопасности веб-браузера, а после проникновения в локальную сеть — обойти протокол безопасности организации и получить доступ к системе^[13]. Впоследствии хакеры использовали инструменты удалённого управления для сбора информации о пользователе и о его файлах, не прекращая рассылать сообщения со ссылками на онлайн-приманку^[7].

См. также

Примечания

↑ Sambaluk, 2019, Operation Aurora, p. 66.
↑ ^2,0 ^2,1 ^2,2 ^2,3 ^2,4 ^2,5 ^2,6 Springer, 2017, Operation Aurora, p. 214—216.
↑ Johnson, 2012, Information Systems and Technology, p. 120.
↑ Харрис, 2016, Корпоративная контратака, с. 269.
↑ Харрис, 2016, Создание киберармии, с. 100.
↑ ^6,0 ^6,1 Марков, 2016, с. 70.
↑ ^7,0 ^7,1 ^7,2 ^7,3 ^7,4 ^7,5 Sambaluk, 2019, Operation Aurora, p. 67.
↑ ^8,0 ^8,1 Jarmon, Yannakogeorgos, 2018, Espionage for National Security and Economic Advantage — "Know Yourself, Know Your Enemy", p. 107.
↑ ^9,0 ^9,1 ^9,2 Харрис, 2016, Корпоративная контратака, с. 271.
↑ Agrawal, Campoe, Pierce, 2014, Introduction, p. 9.
↑ Agrawal, Campoe, Pierce, 2014, Introduction, p. 9, 10.
↑ Agrawal, Campoe, Pierce, 2014, Introduction, p. 10.
↑ ^13,0 ^13,1 ^13,2 Ghosh, Turrini, 2010, Malicious Code, p. 46.
↑ Суд, Энбоди, 2013, с. 41.

Источники

А. С. Марков. Летописи кибервойн и величайшего в истории перераспределения богатства // «Вопросы кибербезопасности» : журн. — 2016. — Т. 14, № 1. — С. 68—74.
А. Суд, Р. Энбоди. Адресные кибератаки // «Открытые системы. СУБД» : журн. — 2013. — Т. 190, № 4. — С. 41—45.
Ш. Харрис. Кибервойн@ : Пятый театр военных действий. — М. : «Альпина нон-фикшн», 2016. — 390 с. — ББК 65.290с51:68.23-2. — УДК 007:341.326.12^(G). — ISBN 978-5-91671-495-1.
Jarmon, Jack. The Cyber Threat and Globalization : The Impact on U.S. National and International Security : [англ.] / Jack Jarmon, Pano Yannakogeorgos. — Rowman & Littlefield, 2018. — 280 p. — ISBN 978-1-5381-0430-3.
Conflict in the 21st Century : The Impact of Cyber Warfare, Social Media, and Technology : [англ.] / N. M. Sambaluk. — ABC-CLIO, 2019. — ISBN 978-1-4408-6000-3.
Cybercrimes : A Multidisciplinary Analysis : [англ.] / S. Ghosh, E. Turrini. — Springer, 2010. — ISBN 978-3-642-13546-0.
Information Security and IT Risk Management : [англ.] / M. Agrawal, A. Campoe, E. Pierce. — Wiley, 2014. — ISBN 978-1-118-33589-5.
Encyclopedia of Cyber Warfare : [англ.] / P. J. Springer. — ABC-CLIO, 2017. — ISBN 978-1-4408-4425-6.
Power, national security, and transformational global events : Challenges confronting America, China, and Iran : [англ.] / Thomas A. Johnson. — CRC Press, 2012. — ISBN 9781439884225.

[_0f26333800e1144c-1] Sambaluk, 2019, Operation Aurora, p. 66.

[_cf3b682e7f4875ea-2] 2,0 ^2,1 ^2,2 ^2,3 ^2,4 ^2,5 ^2,6 Springer, 2017, Operation Aurora, p. 214—216.

[_017988396a38b881-3] Johnson, 2012, Information Systems and Technology, p. 120.

[_aa33d0e5531f4c4b-4] Харрис, 2016, Корпоративная контратака, с. 269.

[_2f3a0ef0b5345cd0-5] Харрис, 2016, Создание киберармии, с. 100.

[_2fcd308d97664238-6] 6,0 ^6,1 Марков, 2016, с. 70.

[_0f26333800e1144d-7] 7,0 ^7,1 ^7,2 ^7,3 ^7,4 ^7,5 Sambaluk, 2019, Operation Aurora, p. 67.

[_8a0e9b00f5b9b84f-8] 8,0 ^8,1 Jarmon, Yannakogeorgos, 2018, Espionage for National Security and Economic Advantage — "Know Yourself, Know Your Enemy", p. 107.

[_aa33d1e5531f4e14-9] 9,0 ^9,1 ^9,2 Харрис, 2016, Корпоративная контратака, с. 271.

[_94007dbfd85be631-10] Agrawal, Campoe, Pierce, 2014, Introduction, p. 9.

[_e5f6b770ff7a6b52-11] Agrawal, Campoe, Pierce, 2014, Introduction, p. 9, 10.

[_d8bbe5fca42832eb-12] Agrawal, Campoe, Pierce, 2014, Introduction, p. 10.

[_506bc392e14b399f-13] 13,0 ^13,1 ^13,2 Ghosh, Turrini, 2010, Malicious Code, p. 46.

[_9a96510af757d1c8-14] Суд, Энбоди, 2013, с. 41.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

Хакерские атаки 2000-х
Крупнейшие атаки	Операция «Аврора» Операция «Bot Roast» Операция Shady RAT Операция «Red October» Проект «Чанология» «Титановый дождь» Взлом платёжной системы CheckFree GhostNet
Группы и сообщества хакеров	Анонимус Подразделение 61398 (НОАК)
Хакеры-одиночки	Дмитрий Скляров
Обнаруженные критические уязвимости	Shatter attack
Компьютерные вирусы	Agent.BTZ Anna Kournikova Asprox Backdoor.Win32.Sinowal Bagle Blaster Bredolab Cabir Careto Code Red Code Red II Commwarrior Conficker Cutwail Donbot Festi Fizzer ILOVEYOU Klez Koobface Kraken Mariposa Mega-D Metulji Mocmex Mydoom Mytob Neshta Netsky NetTraveler Nimda Penetrator Pinch Poison Ivy RFID-вирус Rustock Sality Santy Sasser Sober Sobig SpyEye SQL Slammer Srizbi Storm Worm Torpig Virut Vulcanbot Waledac Welchia ZeroAccess ZeuS Zobot
1990-е • 2000-е • 2010-е