I januar 2010 avslørte Google at det hadde blitt et offer for et sofistikert nettangrep med opprinnelse i Kina. Angriperne målrettet Googles bedriftsnettverk, noe som resulterte i tyveri av intellektuell eiendom og tilgang til Gmail-kontoer til menneskerettighetsaktivister. Foruten Google, var angrepet også rettet mot over 30 selskaper innen fintech, media, internett og kjemisk sektor.

Disse angrepene ble utført av den kinesiske Elderwood Group og senere betegnet av sikkerhetseksperter som Operation Aurora. Så hva skjedde egentlig? Hvordan ble det gjennomført? Og hva var kjølvannet av Operasjon Aurora?

Hva er operasjon Aurora?

Operasjon Aurora var en serie målrettede nettangrep mot dusinvis av organisasjoner, inkludert Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace og Dow Chemicals, blant andre. Google delte først detaljer om angrepene i et blogginnlegg som hevdet at disse var statssponsede angrep.

Rett etter Googles kunngjøring avslørte mer enn 30 andre firmaer at den samme motstanderen hadde brutt deres bedriftsnettverk.

instagram viewer

Navnet på angrepene kommer fra referanser i skadelig programvare til en mappe kalt "Aurora" funnet av MacAfee-forskere på en av datamaskinene som brukes av angriperne.

Hvordan ble angrepet utført?

Denne nettspionasjeoperasjonen ble initiert ved hjelp av spyd-phishing-teknikk. Til å begynne med mottok de målrettede brukerne en ondsinnet URL i en e-post eller direktemelding som startet en serie hendelser. Når brukerne klikket på URL-en, ville den ta dem til et nettsted som kjørte ytterligere skadelig JavaScript-kode.

JavaScript-koden utnyttet en sårbarhet i Microsoft Internet Explorer som var ganske ukjent på det tidspunktet. Slike sårbarheter er ofte kalt "zero-day exploits".

Nulldagers utnyttelsen tillot malware å kjøre i Windows og satte opp en bakdør for nettkriminelle ta kontroll over systemet og stjele legitimasjon, intellektuell eiendom eller hva annet de var søker.

Hva var hensikten med operasjon Aurora?

Operasjon Aurora var et svært sofistikert og vellykket angrep. Men de virkelige årsakene bak angrepet er fortsatt uklare. Da Google avslørte Aurora-bomben, oppga den følgende årsaker og konsekvenser:

  • Intellektuell eiendomstyveri: Angriperne målrettet bedriftens infrastruktur, noe som resulterte i tyveri av intellektuell eiendom.
  • Cyberspionasje: Den sa også at angrepene var en del av en nettspionasjeoperasjon som forsøkte å infiltrere Gmail-kontoer til kinesiske dissidenter og menneskerettighetsaktivister.

Men noen år senere ble en seniordirektør i Microsofts institutt for avansert teknologi uttalte at angrepene egentlig var ment å undersøke den amerikanske regjeringen, for å sjekke om den hadde avdekket identiteten til undercover-kinesiske agenter som utførte sine oppgaver i USA.

Hvorfor fikk operasjon Aurora så mye oppmerksomhet?

Operasjon Aurora er et mye omtalt nettangrep på grunn av angrepenes natur. Her er noen viktige punkter som gjør at den skiller seg ut:

  • Dette var en svært målrettet kampanje der angriperne hadde grundig etterretning om målene sine. Dette kan tyde på involvering av en større organisasjon og til og med nasjonalstatlige aktører.
  • Cyberhendelser skjer hele tiden, men mange selskaper snakker ikke om dem. For et så sofistikert selskap som Google er det en stor sak å komme ut og offentliggjøre det offentlig.
  • Mange sikkerhetseksperter holder den kinesiske regjeringen ansvarlig for angrepene. Hvis ryktene er sanne, har du en situasjon der en regjering angriper bedriftsenheter på en måte som aldri er blitt avslørt før.

Etterdønningene av operasjon Aurora

Fire måneder etter angrepene bestemte Google seg for å legge ned virksomheten i Kina. Den avsluttet Google.com.cn og omdirigerte all trafikk til Google.com.hk – en Google-versjon for Hong Kong, siden Hong Kong har forskjellige lover til fastlands-Kina.

Google restrukturerte også sin tilnærming for å redusere sjansene for at slike hendelser skal skje igjen. Den implementerte null-tillit arkitektur kalt BeyondCorp, som har vist seg å være en god beslutning.

Mange selskaper gir unødvendig forhøyede tilgangsrettigheter, som lar dem gjøre endringer i nettverket og operere uten begrensninger. Så hvis en angriper finner en vei til et system med rettigheter på administratornivå, kan de enkelt misbruke disse rettighetene.

Nulltillitsmodellen fungerer på prinsipper for minst privilegert tilgang og nanosegmentering. Det er en ny måte å etablere tillit der brukere bare kan få tilgang til de delene av et nettverk som de virkelig trenger. Så hvis en brukers legitimasjon er kompromittert, kan angriperne bare få tilgang til verktøyene og applikasjonene som er tilgjengelige for den aktuelle brukeren.

Senere begynte mange flere firmaer å ta i bruk nulltillitsparadigmet ved å regulere tilgangen til sensitive verktøy og applikasjoner på nettverkene deres. Målet er å verifisere hver bruker og gjøre det vanskelig for angripere å forårsake omfattende skade.

Forsvar mot Operation Aurora og lignende angrep

Operasjon Aurora-angrepene avslørte at selv organisasjoner med betydelige ressurser som Google, Yahoo og Adobe fortsatt kan bli utsatt. Hvis store IT-selskaper med enorme midler kan hackes, vil mindre bedrifter med færre ressurser ha vanskelig for å forsvare seg mot slike angrep. Operasjon Aurora lærte oss imidlertid også visse viktige leksjoner som kan hjelpe oss å forsvare oss mot lignende angrep.

Vokt dere for sosialteknikk

Angrepene fremhevet risikoen for det menneskelige elementet i cybersikkerhet. Mennesker er de primære propagatorene for angrep, og den sosiale utviklingen ved å klikke på ukjente lenker har ikke endret seg.

For å sikre at Aurora-lignende angrep ikke skjer igjen, må selskaper komme tilbake til grunnleggende informasjonssikkerhet. De trenger å utdanne ansatte om trygge nettsikkerhetspraksiser og hvordan de samhandler med teknologi.

Naturen til angrepene har blitt så sofistikert at selv en erfaren sikkerhetsekspert finner det vanskelig skille en god URL fra en ondsinnet.

Bruk kryptering

VPN-er, proxy-servere og flere lag med kryptering kan brukes til å skjule ondsinnet kommunikasjon på et nettverk.

For å oppdage og forhindre kommunikasjon fra kompromitterte datamaskiner, må alle nettverkstilkoblinger overvåkes, spesielt de som går utenfor selskapets nettverk. Å identifisere unormal nettverksaktivitet og overvåke datavolumet som går ut fra en PC kan være en god måte å evaluere helsen på.

Kjør Data Execution Prevention

En annen måte å minimere sikkerhetstrusler på er å kjøre Data Execution Prevention (DEP) på datamaskinen. DEP er en sikkerhetsfunksjon som forhindrer uautoriserte skript fra å kjøre i datamaskinens minne.

Du kan aktivere det ved å gå til System og sikkerhet > System > Avanserte systeminnstillinger i kontrollpanelet.

Å slå på DEP-funksjonen vil gjøre det vanskeligere for angripere å utføre Aurora-lignende angrep.

Aurora og veien videre

Verden har aldri vært mer utsatt for risikoen for statsstøttede angrep som den er nå. Siden de fleste bedrifter nå er avhengige av en ekstern arbeidsstyrke, er det vanskeligere enn noen gang å opprettholde sikkerheten.

Heldigvis tar selskaper raskt i bruk null-tillit-sikkerhetstilnærmingen som fungerer etter prinsippet om å stole på ingen uten kontinuerlig verifisering.

Debunked: 6 myter om Zero Trust Security

Zero Trust-modellen er en effektiv måte å begrense datainnbrudd, men det er for mange misoppfatninger om implementeringen.

Les Neste

DelekvitringE-post
Relaterte temaer
  • Sikkerhet
  • Cybersikkerhet
  • Cyberkrigføring
  • Google
  • Online sikkerhet
Om forfatteren
Fawad Ali (30 artikler publisert)

Fawad er en IT- og kommunikasjonsingeniør, ambisiøs gründer og forfatter. Han gikk inn på arenaen for innholdsskriving i 2017 og har jobbet med to digitale markedsføringsbyråer og en rekke B2B- og B2C-kunder siden den gang. Han skriver om sikkerhet og teknologi ved MUO, med mål om å utdanne, underholde og engasjere publikum.

Mer fra Fawad Ali

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Klikk her for å abonnere