Назад

ⓘ Операция Аврора - условное название продолжительной серии китайских кибератак, начавшихся во второй половине 2009 и предположительно продолжавшихся до февраля 2 ..




Операция Аврора
                                     

ⓘ Операция "Аврора"

Операция "Аврора" - условное название продолжительной серии китайских кибератак, начавшихся во второй половине 2009 и предположительно продолжавшихся до февраля 2010 года.

Данные об этих инцидентах были обнародованы корпорацией Google 12 января 2010 года. Как представлялось в начале, суть атак заключалось в выборочном фишинге, направленном на сотрудников корпорации, посредством которого собиралась информация об их сетевой активности и информационных ресурсах. Однако позднее выяснилось, что помимо корпорации Google в ходе этих событий пострадали более 200 крупных американских компаний, у которых исходные коды созданного програмного обеспечения были украдены через Интернет.

Название "Аврора" появилось благодаря имени файла на одном из атакующих компьютеров. Директор Агентства национальной безопасности США К. Александер оценил размах этих событий как "величайшее в человеческой истории перераспределение богатства". Это обвинение прозвучало в контексте приписываемой континентальному Китаю склонности к постоянному киберворовству и кибершпионажу.

                                     

1. Общие сведения

По мнению специалистов компании Symantec, организаторами "Авроры" можно считать некое киберсообщество, которое в американских документах проходит под условным грифом "Элдервуд". Эта группировка, вероятно, имеет какую-то связь с правительством КНР и, скорее всего, причастна к его разведывательным операциям в киберпространстве. Такие выводы были сделаны на основе анализа особенностей активности хакеров, а также используемого ими вредоносного кода, IP-адресов и доменных имён. Название "Элдервуд" появилось благодаря имени одной из переменных в исходном коде, применяемом злоумышленниками.

По заключению специалистов Google, то, что американцы назвали операцией "Аврора", началось с точечного фишинга, посредством которого у сотрудников Google выуживалась информация об их деятельности и о доступных им служебных ресурсах.

В результате "Авроры" хакерам удалось подобраться к хранилищу исходного кода корпорации Google. Это, в свою очередь, дало возможность скрытно модифицировать программное обеспечение на взломанных машинах и манипулировать корпоративными исходниками различными способами, например, шпионя за клиентами или создавая свежие уязвимости в тех сетях, которые доверяли программному обеспечению жертвы. Скомпрометированный код предположительно включал в себя систему "Гайя", предназначенную для тех пользователей, которые подключались к нескольким службам Google, используя ввод единственного пароля.

При расследовании выяснилось, что диапазон поражённых объектов оказался настолько широк, что это существенно усложнило достоверное оценивание мотивов и намерений злоумышленников. Вероятнее всего, одной из их приоритетных целей были китайские диссиденты, которые занимались проблематикой гражданских прав и свобод на территории КНР. Одна только возможность удалённого доступа к компьютерам правозащитников скомпрометировала их файлы и коммуникацию посредством Gmail. Был сделан вывод, что достигнутый таким образом уровень информационного доминирования позволил властям КНР поддерживать политическую стабильность внутри своей страны.

Тем не менее, нацеленность на корпоративные цели в различных секторах бизнеса указывает, что, скорее всего, намерения взломщиков не были ограничены внутриполитической повесткой. Среди потерпевших оказалось не менее трёх дюжин крупных американских корпораций, связанных с информационными и аэрокосмическими разработками, например Symantec Corporation, Yahoo, Adobe, Northrop Grumman Corporation и Dow Chemical. Помимо них пoстрадал инвестиционный банк "Морган Стэнли", a компания Adobe заявила о краже исходных кодов её разработок и личных данных 38 миллионов её клиентов. Предполагается, что полное количество пострадавших компаний исчисляется тысячами.

                                     

2. Публичный резонанс и оценка

Информационная шумиха вокруг "Авроры" дошла до уровня обсуждений в конгрессе и заявлений главы государственного департамента США.

Технический анализ позволил дать приближённую оценку арсенала эксплойтов, задействованных в операциях APT. Нацеленность злоумышленников на промышленный и финансовый шпионаж позволила сделать вывод, что это способ работы, характерный для китайской стороны. Скорее всего, всплеск киберактивности, связанный с операцией "Аврора", имел какое-то отношение к другой серии кибератак, которая получила название "операция "Шейди Рэт" англ. Shady RAT, 2006 год. Изучение IP адресов, вовлечённых в эти инциденты, вывело на диапазоны, связанные с DDoS-атаками против целей в Южной Корее и США летом 2009 года. Отслеживание закономерностей их использования подтвердило предположения, что они осуществлены теми же самыми лицами.

Специалисты утверждают, что, скорее всего, за этой серией событий стоят лучшие университеты КНР в области информационных технологий. Среди главных подозреваемых названы Шанхайский университет транспорта и профессионально-техническое училище Шандунь Ланьсян, несмотря на то, что их руководство всячески отрицает любую вовлечённость в эти кибератаки. Ряд экспертов предполагает, что эти общеобразовательные учреждения связаны с формированиями китайских вооружённых сил, которые специально заточены под задачи ведения стратегического и экономического кибершпионажа, например подразделение 61398

Тем не менее, официальный Пекин отрицал любую причастность китайского государства к кибератакам, объясняя их попытками каких-то студентов повысить свои компьютерные навыки.

                                     

3. Техническая сторона

Шпионское программное обеспечение, задействованное злоумышленниками, было создано на высоком техническом уровне, а для его скрытного использования применялось шифрование исполняемого кода и другие сложные технологии. В тот момент, когда потенциальная жертва, находящаяся в закрытой корпоративной сети, посещала онлайн-приманку, на её машину подгружался и запускался вредоносный JavaScript-сценарий, который загружал через уязвимость веб-браузера специальное троянское приложение Trojan.Hydraq. Это приложение было способно поражать сразу несколько новейших версий популярного браузера Internet Explorer на персональных компьютерах под управлением операционных систем Windows 7, Windows Vista и Windows XP. Троян сохранял себя на инфицированной машине в папке с именем "Аврора".

Для проникновения на компьютер жертвы использовалась 0day-уязвимость доступа к памяти вида "использование после освобождения" англ. use-after-free браузера Internet Explorer, которая приводила к нарушениям структуры HTML-объектов. Используя этот метод, злоумышенникам удавалось расположить вредоносный код по тем адресам, которые высвобождались объектами при их удалении. Способом атаки на пользовательскую машину стала попутная загрузка англ. drive-by download, в результате которой машина становилась заражённой. Этот вид атаки позволял игнорировать настройки безопасности веб-браузера, а после проникновения в локальную сеть - обойти протокол безопасности организации и получить доступ к системе. Впоследствии хакеры использовали инструменты удалённого управления для сбора информации о пользователе и о его файлах, не прекращая рассылать сообщения со ссылками на онлайн-приманку.



                                     

4. Источники

  • А. С. Марков. Летописи кибервойн и величайшего в истории перераспределения богатства // "Вопросы кибербезопасности": журн. - 2016. - Т. 14, № 1. - С. 68 - 74.
  • Conflict in the 21st Century: The Impact of Cyber Warfare, Social Media, and Technology: / Thomas A. Johnson. - CRC Press, 2012. - ISBN 9781439884225.
  • Ш. Харрис. Кибервойн: Пятый театр военных действий. - М.: "Альпина нон-фикшн", 2016. - 390 с. - ББК 65.290с51:68.23-2. - УДК 007:341.326.12. - ISBN 978-5-91671-495-1.
  • А. Суд, Р. Энбоди. Адресные кибератаки // "Открытые системы. СУБД": журн. - 2013. - Т. 190, № 4. - С. 41 - 45.
                                     
  • дороги Гудермес - Петровск и Кизляр - Червлённая, но не смогли провести операцию из - за недостатка сил и эпидемии сыпного тифа. В конце февраля войска 12 - й
  • продвижении идей сионизма. Повесть была напечатана полностью в журнале Аврора в 1974 году, а затем при подготовке в издательстве Детская литература
  • отошли на левый берег Березины и оставили город Речица. Во время Майской операции 1920 Западного фронта 16 - я армия форсировала Березину и заняла плацдарм
  • Аврора другое название - Аврора или Что снилось спящей красавице - украинский драматический художественный фильм режиссёра Оксаны Байрак, снятый
  • героических дней - СПб.: Аврора - Дизайн, 2014 - 264 с - Поле боя - ISBN 978 - 5 - 93768 - 066 - 9. Шигин Г. А. Битва за Ленинград: крупные операции белые пятна
  • там пароходах и баржах и вызвав панику среди частей противника. В этой операции флотилия понесла потери: 1 канонерская лодка затонула, 2 других и 1 миноносец
  • Керченско - Феодосийская десантная операция 1941 - 1942 гг. последовавшая после провала Керченско - Феодосийской десантной операции эвакуации войск Крымского фронта
  • действий 6 - й армии труднопроходимая лесисто - болотистая местность и тундра операции развёртывались вдоль основных коммуникаций рек и дорог а войска армии
  • операции в январе - апреле - в Северо - Кавказской операции по завершению разгрома армий Деникина и осуществлении в ходе её Доно - Манычской операции 17
  • Валуйки, Курск, Ливны, Орёл. Затем успешно участвовала Орловско - Кромской операции октябрь ноябрь 1919 в ходе которой заняла Малоархангельск и Курск. В

Пользователи также искали:

операция аврора в японии 1944,

...
...
...