Операция «Аврора»

Операция «Аврора» (англ. Operation Aurora) — условное название продолжительной серии китайских кибератак, начавшихся во второй половине 2009 и предположительно продолжавшихся до февраля 2010 года^[1].

Данные об этих инцидентах были обнародованы корпорацией Google 12 января 2010 года. Как представлялось в начале, суть атак заключалось в выборочном фишинге, направленном на сотрудников корпорации, посредством которого собиралась информация об их сетевой активности и информационных ресурсах^[2]. Однако позднее выяснилось, что помимо корпорации Google в ходе этих событий пострадали более 200 крупных американских компаний, у которых исходные коды созданного програмного обеспечения были украдены через Интернет^[3].

Название «Аврора» появилось благодаря имени файла на одном из атакующих компьютеров^[4]. Директор Агентства национальной безопасности США К. Александер оценил размах этих событий как «величайшее в человеческой истории перераспределение богатства». Это обвинение прозвучало в контексте приписываемой континентальному Китаю склонности к постоянному киберворовству и кибершпионажу^[5]^[6].

Общие сведения[править | править код]

По мнению специалистов компании Symantec, организаторами «Авроры» можно считать некое киберсообщество, которое в американских документах проходит под условным грифом «Элдервуд». Эта группировка, вероятно, имеет какую-то связь с правительством КНР и, скорее всего, причастна к его разведывательным операциям в киберпространстве. Такие выводы были сделаны на основе анализа особенностей активности хакеров, а также используемого ими вредоносного кода, IP-адресов и доменных имён. Название «Элдервуд» появилось благодаря имени одной из переменных в исходном коде, применяемом злоумышленниками^[7].

По заключению специалистов Google, то, что американцы назвали операцией «Аврора», началось с точечного фишинга, посредством которого у сотрудников Google выуживалась информация об их деятельности и о доступных им служебных ресурсах^[7].

В результате «Авроры» хакерам удалось подобраться к хранилищу исходного кода корпорации Google. Это, в свою очередь, дало возможность скрытно модифицировать программное обеспечение на взломанных машинах и манипулировать корпоративными исходниками различными способами, например, шпионя за клиентами или создавая свежие уязвимости в тех сетях, которые доверяли программному обеспечению жертвы. Скомпрометированный код предположительно включал в себя систему «Гайя», предназначенную для тех пользователей, которые подключались к нескольким службам Google, используя ввод единственного пароля^[2]^[7].

При расследовании выяснилось, что диапазон поражённых объектов оказался настолько широк, что это существенно усложнило достоверное оценивание мотивов и намерений злоумышленников. Вероятнее всего, одной из их приоритетных целей были китайские диссиденты, которые занимались проблематикой гражданских прав и свобод на территории КНР. Одна только возможность удалённого доступа к компьютерам правозащитников скомпрометировала их файлы и коммуникацию посредством Gmail. Был сделан вывод, что достигнутый таким образом уровень информационного доминирования позволил властям КНР поддерживать политическую стабильность внутри своей страны^[2].

Тем не менее, нацеленность на корпоративные цели в различных секторах бизнеса указывает, что, скорее всего, намерения взломщиков не были ограничены внутриполитической повесткой. Среди потерпевших оказалось не менее трёх дюжин крупных американских корпораций, связанных с информационными и аэрокосмическими разработками, например Symantec Corporation, Yahoo, Adobe, Northrop Grumman Corporation и Dow Chemical^[2]^[8]. Помимо них пoстрадал инвестиционный банк «Морган Стэнли»^[7], a компания Adobe заявила о краже исходных кодов её разработок и личных данных 38 миллионов её клиентов^[6]. Предполагается, что полное количество пострадавших компаний исчисляется тысячами^[2]^[8].

Публичный резонанс и оценка[править | править код]

Информационная шумиха вокруг «Авроры» дошла до уровня обсуждений в конгрессе и заявлений главы государственного департамента США^[9].

Технический анализ позволил дать приближённую оценку арсенала эксплойтов, задействованных в операциях APT^[8]. Нацеленность злоумышленников на промышленный и финансовый шпионаж позволила сделать вывод, что это способ работы, характерный для китайской стороны. Скорее всего, всплеск киберактивности, связанный с операцией «Аврора», имел какое-то отношение к другой серии кибератак, которая получила название «операция „Шейди Рэт“» (англ. Shady RAT, 2006 год). Изучение IP адресов, вовлечённых в эти инциденты, вывело на диапазоны, связанные с DDoS-атаками против целей в Южной Корее и США летом 2009 года. Отслеживание закономерностей их использования подтвердило предположения, что они осуществлены теми же самыми лицами^[2].

Специалисты утверждают, что, скорее всего, за этой серией событий стоят лучшие университеты КНР в области информационных технологий. Среди главных подозреваемых названы Шанхайский университет транспорта и профессионально-техническое училище Шандунь Ланьсян, несмотря на то, что их руководство всячески отрицает любую вовлечённость в эти кибератаки. Ряд экспертов предполагает, что эти общеобразовательные учреждения связаны с формированиями китайских вооружённых сил, которые специально заточены под задачи ведения стратегического и экономического кибершпионажа, например подразделение 61398^[2]^[10]

Тем не менее, официальный Пекин отрицал любую причастность китайского государства к кибератакам, объясняя их попытками каких-то студентов повысить свои компьютерные навыки^[11].

Техническая сторона[править | править код]

Шпионское программное обеспечение, задействованное злоумышленниками, было создано на высоком техническом уровне, а для его скрытного использования применялось шифрование исполняемого кода и другие сложные технологии^[12]. В тот момент, когда потенциальная жертва, находящаяся в закрытой корпоративной сети, посещала онлайн-приманку, на её машину подгружался и запускался вредоносный JavaScript-сценарий, который загружал через уязвимость веб-браузера специальное троянское приложение Trojan.Hydraq. Это приложение было способно поражать сразу несколько новейших версий популярного браузера Internet Explorer на персональных компьютерах под управлением операционных систем Windows 7, Windows Vista и Windows XP^[7]. Троян сохранял себя на инфицированной машине в папке с именем «Аврора»^[12].

Для проникновения на компьютер жертвы использовалась 0day-уязвимость доступа к памяти вида «использование после освобождения» (англ. use-after-free) браузера Internet Explorer, которая приводила к нарушениям структуры HTML-объектов. Используя этот метод, злоумышенникам удавалось расположить вредоносный код по тем адресам, которые высвобождались объектами при их удалении. Способом атаки на пользовательскую машину стала попутная загрузка (англ. drive-by download), в результате которой машина становилась заражённой^[13]. Этот вид атаки позволял игнорировать настройки безопасности веб-браузера, а после проникновения в локальную сеть — обойти протокол безопасности организации и получить доступ к системе^[12]. Впоследствии хакеры использовали инструменты удалённого управления для сбора информации о пользователе и о его файлах, не прекращая рассылать сообщения со ссылками на онлайн-приманку^[7].

См. также[править | править код]

Примечания[править | править код]

↑ Sambaluk, 2019, Operation Aurora, p. 66.
↑ ¹ ² ³ ⁴ ⁵ ⁶ ⁷ Springer, 2017, Operation Aurora, p. 214—216.
↑ Johnson, 2012, Information Systems and Technology, p. 120.
↑ Харрис, 2016, Корпоративная контратака, с. 269.
↑ Харрис, 2016, Создание киберармии, с. 100.
↑ ¹ ² Марков, 2016, с. 70.
↑ ¹ ² ³ ⁴ ⁵ ⁶ Sambaluk, 2019, Operation Aurora, p. 67.
↑ ¹ ² ³ Харрис, 2016, Корпоративная контратака, с. 271.
↑ Agrawal, Campoe, Pierce, 2014, Introduction, p. 9.
↑ Agrawal, Campoe, Pierce, 2014, Introduction, p. 9, 10.
↑ Agrawal, Campoe, Pierce, 2014, Introduction, p. 10.
↑ ¹ ² ³ Ghosh, Turrini, 2010, Malicious Code, p. 46.
↑ Суд, Энбоди, 2013, с. 41.

Источники[править | править код]

А. С. Марков. Летописи кибервойн и величайшего в истории перераспределения богатства // «Вопросы кибербезопасности» : журн. — 2016. — Т. 14, № 1. — С. 68—74.
А. Суд, Р. Энбоди. Адресные кибератаки // «Открытые системы. СУБД» : журн. — 2013. — Т. 190, № 4. — С. 41—45.
Ш. Харрис. Кибервойн@ : Пятый театр военных действий. — М. : «Альпина нон-фикшн», 2016. — 390 с. — ББК 65.290с51:68.23-2. — УДК 007:341.326.12^(G). — ISBN 978-5-91671-495-1.
Conflict in the 21st Century : The Impact of Cyber Warfare, Social Media, and Technology : [англ.] / N. M. Sambaluk. — ABC-CLIO, 2019. — ISBN 978-1-4408-6000-3.
Cybercrimes : A Multidisciplinary Analysis : [англ.] / S. Ghosh, E. Turrini. — Springer, 2010. — ISBN 978-3-642-13546-0.
Information Security and IT Risk Management : [англ.] / M. Agrawal, A. Campoe, E. Pierce. — Wiley, 2014. — ISBN 978-1-118-33589-5.
Encyclopedia of Cyber Warfare : [англ.] / P. J. Springer. — ABC-CLIO, 2017. — ISBN 978-1-4408-4425-6.
Power, national security, and transformational global events : Challenges confronting America, China, and Iran : [англ.] / Thomas A. Johnson. — CRC Press, 2012. — ISBN 9781439884225.

[_0f26333800e1144c-1] Sambaluk, 2019, Operation Aurora, p. 66.

[_cf3b682e7f4875ea-2] ¹ ² ³ ⁴ ⁵ ⁶ ⁷ Springer, 2017, Operation Aurora, p. 214—216.

[_017988396a38b881-3] Johnson, 2012, Information Systems and Technology, p. 120.

[_aa33d0e5531f4c4b-4] Харрис, 2016, Корпоративная контратака, с. 269.

[_2f3a0ef0b5345cd0-5] Харрис, 2016, Создание киберармии, с. 100.

[_2fcd308d97664238-6] ¹ ² Марков, 2016, с. 70.

[_0f26333800e1144d-7] ¹ ² ³ ⁴ ⁵ ⁶ Sambaluk, 2019, Operation Aurora, p. 67.

[_aa33d1e5531f4e14-8] ¹ ² ³ Харрис, 2016, Корпоративная контратака, с. 271.

[_94007dbfd85be631-9] Agrawal, Campoe, Pierce, 2014, Introduction, p. 9.

[_e5f6b770ff7a6b52-10] Agrawal, Campoe, Pierce, 2014, Introduction, p. 9, 10.

[_d8bbe5fca42832eb-11] Agrawal, Campoe, Pierce, 2014, Introduction, p. 10.

[_506bc392e14b399f-12] ¹ ² ³ Ghosh, Turrini, 2010, Malicious Code, p. 46.

[_9a96510af757d1c8-13] Суд, Энбоди, 2013, с. 41.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

Операция «Аврора»

Содержание

Общие сведения[править | править код]

Публичный резонанс и оценка[править | править код]

Техническая сторона[править | править код]

См. также[править | править код]

Примечания[править | править код]

Источники[править | править код]

Навигация

Операция «Аврора»

Общие сведения[править | править код]

Публичный резонанс и оценка[править | править код]

Техническая сторона[править | править код]

См. также[править | править код]

Примечания[править | править код]

Источники[править | править код]

Навигация

Поиск