Operatsioon Aurora

Allikas: Vikipeedia
Mine navigeerimisribale Mine otsikasti

Operatsioon Aurora oli küberrünnakute sari, mille korraldasid kinnisründeohuallikad (advanced persistent threats), eelkõige Hiinas Pekingis asuv Elderwoodi grupp, mis on seotud Hiina Rahva Vabastusarmeega.[1] Google avaldas teate rünnakute kohta 12. jaanuaril 2010 ajaveebipostituses.[2] Rünnakud algasid 2009. aasta keskel ja jätkusid vähemalt 2009. aasta detsembrini.[3]

Rünnak oli suunatud veel kümnetele teistele organisatsioonidele, kellest Adobe Systems,[4] Akamai Technologies,[5] Juniper Networks[6] ja Rackspace[7] on avalikult kinnitanud, et nad olid rünnaku all. Meedia teatel olid sihtmärkide hulgas ka Yahoo, Symantec, Northrop Grumman, Morgan Stanley[8], Dow Chemical[9] ja BlackBerry[10] .

Rünnaku tagajärjel teatas Google oma ajaveebis, et kavatseb Hiinas kasutada oma otsimootori täiesti tsenseerimata versiooni "seaduse piires, kui üldse", ja tunnistas, et kui see pole võimalik, võib ta Hiinast lahkuda ja sulgeda oma Hiina kontorid.[2] Hiina ametlikud allikad väitsid, et see on osa USA valitsuse välja töötatud strateegiast.[11]

Rünnak sai nime Operatsioon Aurora küberturbeettevõtte McAfee ohtude uurimise asepresidendilt Dmitri Alperovitchilt. McAfee Labsi uuringud avastasid, et sõna "Aurora" sisaldus ründaja süsteemis kahe pahavarafaili mäluaadressis, mis McAfee sõnul olid rünnakuga seotud. "Me usume, et see oli nimi, mida ründajad omavahel selle operatsiooni kohta kasutasid," ütles McAfee tehnoloogiajuht George Kurtz ajaveebipostituses.[12]

McAfee väitel oli rünnaku peamine eesmärk pääseda ligi ja potentsiaalselt muuta lähtekoodi hoidlaid sihtmärgiks olnud kõrgtehnoloogia ja turvalisusega seotud ettevõtetes. "Nende konfiguratsioonihaldus oli välistele jõududele avatud," ütles Alperovitch. "Keegi ei mõelnud nende kaitsmisele, ometi olid need enamiku nende ettevõtete kroonijuveelid mitmes mõttes - palju väärtuslikumad kui mis tahes finants- või isikuandmed, mis neil võivad olla ja mille kaitsmiseks kulub nii palju aega ja vaeva." [13]

Ajalugu[muuda | muuda lähteteksti]

Google'i Hiina peakorteri juurde jäetud lilled pärast teadaannet võimalikust riigist lahkumisest

12. jaanuaril 2010 paljastas Google oma ajaveebis, et on langenud küberrünnaku ohvriks. Ettevõtte sõnul toimus rünnak detsembri keskel ja pärines Hiinast. Google teatas, et rünnati ka üle 20 teise ettevõtte; muud allikad on hiljem viidanud, et sihtrühma hulgas oli rohkem kui 34 organisatsiooni.[9] Rünnaku tulemusel teatas Google, et kaalub oma tegevuse mittejätkamist Hiinas.[2] Samal päeval esitas Ameerika Ühendriikide riigisekretär Hillary Clinton lühikese avalduse, milles mõistis rünnakud hukka ja palus Hiinalt vastust.[14]

13. jaanuaril 2010 teatas uudisteagentuur All Headline News, et USA kongress kavatseb uurida Google'i väiteid, nagu kasutanuks Hiina valitsus ettevõtte teenust inimõiguste aktivistide järel nuhkimiseks.[15]

Pekingis jätsid külastajad lilli Google'i kontori juurde. Need koristati hiljem ära ning Hiina turvatöötaja teatas, et tegemist oli ebaseadusliku lillede asetamisega.[16] Hiina valitsus ei ole veel ametlikku vastust välja andnud, ehkki anonüümne ametnik teatas, et Hiina otsib Google'i kavatsuste kohta lisateavet.[17]

Ründajad[muuda | muuda lähteteksti]

Tehnilised tõendid, sealhulgas IP-aadressid, domeeninimed, pahavara signatuurid ja muud tegurid näitavad, et operatsiooni Aurora taga oli Elderwoodi rühm. Rühmale andis nime Symantec ründajate kasutatud lähtekoodimuutuja järgi. Dell Secureworks on seda nimetanud Pekingi rühmaks. Rühm hankis osa Google'i lähtekoodist, samuti juurdepääsu teabele Hiina aktivistide kohta.[18] Elderwood sihtis ka paljusid teisi laevanduse, lennunduse, relvade, energeetika, töötleva tööstuse, inseneri-, elektroonika-, finants- ja tarkvarasektori ettevõtteid.[1][19]

Google'i ründamise eest vastutavate Hiina ründajate APT-tähis on APT17.[20]

Elderwood on spetsialiseerunud ründama teise taseme kaitsetööstuse tarnijaid, kes toodavad kõrgeimatele kaitseettevõtetele elektroonilisi või mehaanilisi komponente. Nendest ettevõtetest saab küberhüppelaud, et pääseda tipptasemel kaitse-ettevõteteni. Üks rünnakuprotseduur, mida Elderwood kasutas, on veebisaitide nakatamine, mida külastavad sihtettevõtte töötajad, ehk kaevurünne (nimi on tulnud sellest, et röövloomad varitsevad tihti oma saakloomi veekogu ääres, kuhu need jooma tulevad). Elderwood nakatab neid vähem turvalisi saite pahavaraga, mis laaditakse alla kasutaja arvutisse. Pärast seda saab rühm ligipääsu võrgule, millega nakatunud arvuti on ühendatud, ning seejärel otsib ja laadib alla juhtide e-kirju ja olulisi dokumente ettevõtte plaanide, otsuste, omandamiste ja tootedisainide kohta.[1]

Rünnaku analüüs[muuda | muuda lähteteksti]

Google väitis oma ajaveebipostituses, et osa tema intellektuaalomandist on varastatud. Postituses pakuti välja, et ründajad on huvitatud Hiina dissidentide Gmaili kontodele juurdepääsu saamisest. Financial Timesi andmetel rünnati kahte Ai Weiwei kasutatud kontot, nende sisu loeti ja kopeeriti; tema pangakontosid uurisid riigi julgeoleku esindajad, kes väitsid, et teda uuritakse "määratlemata kuritegude osas".[21] Kuid ründajad suutsid vaadata ainult kahe konto üksikasju ja need piirdusid näiteks kirjade teemarea ja konto loomise kuupäevaga.[2]

Julgeolekueksperdid märkisid kohe rünnaku keerukust.[12] Kaks päeva pärast rünnaku avalikustamist teatas McAfee, et ründajad olid Internet Exploreris ära kasutanud väidetavaid nullpäeva turvaauke (parandamata ja süsteemi arendajatele varem tundmatuid) ja nimetanud rünnaku operatsioon Auroraks. Nädal pärast McAfee aruannet esitas Microsoft turvaprobleemile paranduse[22] ja tunnistas, et nad olid turvaaugust teadlikud juba alates septembrist.[23] Täiendavaid turvaauke leiti Perforce'ist, Google'i kasutatavast lähtekoodi muutmise tarkvarast.[24][25]

VeriSign iDefense Labs väitis, et rünnaku panid toime "Hiina riigi esindajad või nende volitatud esindajad".[26]

USA Pekingi saatkonna diplomaatilise läkituse kohaselt teatas üks Hiina allikas, et Hiina poliitbüroo suunas sissetungi Google'i arvutisüsteemidesse. Läkitus pakkus välja, et rünnak oli osa kooskõlastatud kampaaniast, mille viisid läbi "valitsuse töötajad, avaliku julgeoleku eksperdid ja Hiina valitsuse värvatud Interneti-lindpriid".[27] Aruande kohaselt oli see osa käimasolevast kampaaniast, kus ründajad on "tunginud Ameerika valitsuse arvutitesse ja lääneliitlaste, Dalai Laama ja Ameerika ettevõtete arvutitesse alates 2002. aastast".[28] The Guardiani lekke kohta esitatud teate kohaselt "korraldas rünnakuid poliitbüroo vanemliige, kes kirjutas oma nime otsingumootori globaalsesse versiooni ja leidis artikleid, mis kritiseerisid teda isiklikult".[29]

Kui ohvri arvutisüsteemi rünnati, loodi tagaukse kaudu SSL-iks maskeeritud ühendus botneti serveritega USA Illinoisi ja Texase osariigis ning Taiwanil, sealhulgas arvutitega, millel rakendati Rackspace'i varastatud kliendikontosid. Seejärel hakkas ohvri masin uurima ettevõtte kaitstud sisevõrku, kuhu see kuulus, otsides nii teisi haavatavaid süsteeme kui ka intellektuaalse omandi allikaid, eriti lähtekoodide hoidlate sisu.

Arvatakse, et rünnakud lõppesid lõplikult 4. jaanuaril, kui botneti serverid maha võeti, ehkki praegu pole teada, kas ründajad panid need tahtlikult kinni või mitte.[30] Rünnakuid esines endiselt 2010. aasta veebruaris.[3]

Reageerimine ja tagajärjed[muuda | muuda lähteteksti]

Saksamaa, Austraalia ja Prantsusmaa valitsus edastasid pärast rünnakut Internet Exploreri kasutajatele avalikke hoiatusi, soovitades neil kasutada alternatiivseid brausereid vähemalt seni, kuni turvaauk on parandatud.[31][32][33] Saksamaa, Austraalia ja Prantsusmaa valitsus pidasid Internet Exploreri kõiki versioone haavatavaks või potentsiaalselt haavatavaks.[34][35]

Microsoft ütles 14. jaanuaril 2010 antud nõuandes, et Google'i ja teiste USA ettevõtete vastu suunatud ründajad kasutasid tarkvara, mis kasutab ära Internet Exploreri turvaauku. See haavatavus mõjutas Internet Exploreri versioone 6, 7 ja 8 opsüsteemides Windows 7, Vista, Windows XP, Server 2003, Server 2008 R2, samuti IE 6 hoolduspaketti 1 Windows 2000 hoolduspaketis 4.[36]

Rünnakus kasutatud Internet Exploreri kood on lastud avalikku omandisse ja on lisatud Metasploit Frameworki testimistööriista. Ründekoodi koopia laaditi üles Wepaweti (veebipõhise pahavara tuvastamise ja analüüsimise teenus, mida haldab California ülikooli Santa Barbara arvutiturbegrupp). "Ründekoodi avalikustamine suurendab Internet Exploreri haavatavust kasutavate laiaulatuslike rünnakute võimalust," ütles McAfee tehnoloogiajuht George Kurtz. "Avalik kood võib aidata küberkurjategijatel ette valmistada rünnakuid, mis kasutavad seda haavatavust Windowsi süsteemide ohustamiseks." [37]

Turvaettevõte Websense teatas, et tuvastas IE-i haavatavuse "piiratud avaliku kasutamise" kasutajate suhtes, kes külastasid pahatahtlikke veebisaitie.[38] "Internet Exploreri kasutajad on haavatavuse avalikustamise ja rünnakukoodi avaldamise tõttu reaalses ohus ja laiaulatuslike rünnakute võimalus on suurenenud," ütles McAfee tehnoloogiajuht George Kurtz.[39] Seda spekulatsiooni kinnitades tuvastas Websense Security Labs 19. jaanuaril rünnakutega seotud täiendavad saidid.[40] Ahnlabi teadete kohaselt levis üks URL Lõuna-Korea populaarse sõnumsuhtluse rakenduse Misslee Messenger kaudu.

Microsoft tunnistas, et kasutatav turvaauk oli neile teada juba septembrist.[23] Töö värskendusega seati prioriteediks[41] ja neljapäeval, 21. jaanuaril 2010 andis Microsoft välja turvaparanduse, mille eesmärk on selle nõrkuse, sellel põhinevate avaldatud rünnete ja paljude muude eraviisiliselt teatatud turvaaukude vastu võitlemine.[42] Nad ei selgitanud, kas mõnda neist mainitutest olid ründajad kasutanud või avaldanud või kas neil oli mingit seost Aurora operatsiooniga, kuid tervet värskendust peeti enamiku Windowsi versioonide, sealhulgas Windows 7 jaoks ülitähtsaks.

Turbeteadlased jätkasid rünnakute uurimist. Turbeettevõtte HBGary avaldas aruande, milles nad väitsid olevat leidnud mõned olulised markerid, mis võivad aidata koodi autorit tuvastada. Firma ütles ka, et kood põhineb hiina keelel, kuid seda ei saa konkreetselt siduda ühegi valitsusüksusega.[43]

19. veebruaril 2010 Google'i küberrünnakut uurinud turbeekspert väitis, et rünnaku taga olevad inimesed vastutasid ka viimase poolteise aasta jooksul mitme Fortune 100 ettevõtte vastu korraldatud küberrünnaku eest. Samuti on nad jälitanud rünnakut tagasi selle lähtepunktini, milleks näib olevat kaks Hiina kooli, Shanghai Jiao Tongi ülikool ja Lanxiangi kutsekool .[44] Nagu The New York Times rõhutas, on mõlemal koolil sidemeid Hiina otsingumootori Baiduga, mis on Google'i Hiina rivaal.[45] Nii Lanxiangi kutsekool kui ka Jiaotongi ülikool on süüdistused tagasi lükanud.[46][47]

2010. aasta märtsis tuvastas Google'i rünnakut uurinud Symantec, et Shaoxingist lähtub 21,3% (12 miljardit) kogu maailmas saadetud pahatahtlikest e-kirjadest.[48]

Et vältida tulevasi küberrünnakuid nagu operatsioon Aurora, on Kommunitaarpoliitika Uuringute Instituudi esindaja Amitai Etzioni soovitanud USA-l ja Hiinal leppida kokku vastastikku tagatavas vaoshoituse poliitikas küberruumi kaitseks. See tähendaks lubada mõlemal riigil võtta vajalikke meetmeid, mida nad peavad enesekaitseks vajalikuks, nõustudes samal ajal hoiduma ründavate sammude astumisest; see tähendaks ka nende kohustuste täitmise kontrollimist.[49]

Vaata ka[muuda | muuda lähteteksti]

Viited[muuda | muuda lähteteksti]

  1. 1,0 1,1 1,2 Clayton, Mark (14. september 2012). "Stealing US business secrets: Experts ID two huge cyber 'gangs' in China". Christian Science Monitor. Vaadatud 24.02.2013. 
  2. 2,0 2,1 2,2 2,3 "A new approach to China". Google Inc. 12. jaanuar 2010. Vaadatud 17.01.2010. 
  3. 3,0 3,1 "'Aurora' Attacks Still Under Way, Investigators Closing In On Malware Creators". Dark Reading (DarkReading.com). 10. veebruar 2010. Vaadatud 13.02.2010. 
  4. "Adobe Investigates Corporate Network Security Issue". 12. jaanuar 2010. Vaadatud 17.01.2010. 
  5. "9 Years After: From Operation Aurora to Zero Trust". Dark Reading (DarkReading.com). 20. veebruar 2019. Vaadatud 9.05.2020. 
  6. "Juniper Networks investigating cyber-attacks". MarketWatch. 15. jaanuar 2010. Vaadatud 17.01.2010. 
  7. "Rackspace Response to Cyber Attacks". Originaali arhiivikoopia seisuga 18.01.2010. Vaadatud 17.01.2010. 
  8. "HBGary email leak claims Morgan Stanley was hacked". Vaadatud 2.03.2010. 
  9. 9,0 9,1 Cha, Ariana Eunjung; Ellen Nakashima (14. jaanuar 2010). "Google China cyberattack part of vast espionage campaign, experts say". The Washington Post. Vaadatud 17.01.2010. 
  10. Paddon, David. "BlackBerry uncovers China-backed hacking campaign". The Canadian Press. Vaadatud 8.04.2020. 
  11. Hille, Kathrine (20. jaanuar 2010). "Chinese media hit at 'White House's Google'". Financial Times. Vaadatud 20.01.2010. 
  12. 12,0 12,1 Kurtz, George (14. jaanuar 2010). "Operation "Aurora" Hit Google, Others". McAfee, Inc. Originaali arhiivikoopia seisuga 11.09.2012. Vaadatud 17.01.2010. 
  13. Zetter, Kim (3. märts 2010). "'Google' Hackers Had Ability to Alter Source Code". Wired. Vaadatud 4.03.2010. 
  14. Clinton, Hillary (12. jaanuar 2010). "Statement on Google Operations in China". US Department of State. Originaali arhiivikoopia seisuga 16.01.2010. Vaadatud 17.01.2010. 
  15. "Congress to Investigate Google Charges Of Chinese Internet Spying". All Headline News. 13. jaanuar 2010. Originaali arhiivikoopia seisuga 28.03.2010. Vaadatud 13.01.2010. 
  16. Robertson, Matthew (14. jaanuar 2010). "Flowers Laid, and Removed, at Google Headquarters in China". The Epoch Times. Vaadatud 18.01.2010. 
  17. "Chinese govt seeks information on Google intentions". China Daily. Xinhua. 13. jaanuar 2010. Vaadatud 18.01.2010. 
  18. Nakashima, Ellen. "Chinese hackers who breached Google gained access to sensitive data, U.S. officials say". WashingtonPost. Vaadatud 5.12.2015. 
  19. Riley, Michael; Dune Lawrence (26. juuli 2012). "Hackers Linked to China's Army Seen From EU to D.C.". Bloomberg. Vaadatud 24.02.2013. 
  20. Gertz, Bill. "New Chinese Intelligence Unit Linked to Massive Cyber Spying Program". Washington Free Beacon. Vaadatud 5.11.2019. 
  21. Anderlini, Jamil (15. jaanuar 2010). "The Chinese dissident’s ‘unknown visitors’". Financial Times. 
  22. "Microsoft Security Advisory (979352)". Microsoft. 21. jaanuar 2010. Vaadatud 26.01.2010. 
  23. 23,0 23,1 Naraine, Ryan. Microsoft knew of IE zero-day flaw since last September, ZDNet, January 21, 2010. Retrieved 28 January 2010.
  24. "Protecting Your Critical Assets, Lessons Learned from "Operation Aurora", By McAfee Labs and McAfee Foundstone Professional Services". wired.com. 
  25. "'Google' Hackers Had Ability to Alter Source Code". Wired. Vaadatud 27.07.2016. 
  26. Paul, Ryan (14. jaanuar 2010). "Researchers identify command servers behind Google attack". Ars Technica. Vaadatud 17.01.2010. 
  27. Shane, Scott; Lehren, Andrew W. (28. november 2010). "Cables Obtained by WikiLeaks Shine Light Into Secret Diplomatic Channels". The New York Times. Vaadatud 28.11.2010. 
  28. Scott Shane and Andrew W. Lehren (28. november 2010). "Leaked Cables Offer Raw Look at U.S. Diplomacy". The New York Times. Vaadatud 26.12.2010. "The Google hacking was part of a coordinated campaign of computer sabotage carried out by government operatives, private security experts and Internet outlaws recruited by the Chinese government. They have broken into American government computers and those of Western allies, the Dalai Lama and American businesses since 2002, ..." 
  29. US embassy cables leak sparks global diplomatic crisis The Guardian 28 November 2010.
  30. Zetter, Kim (14. jaanuar 2010). "Google Hack Attack Was Ultra Sophisticated, New Details Show". Wired. Vaadatud 23.01.2010. 
  31. One News (19. jaanuar 2010). "France, Germany warn Internet Explorer users". TVNZ. Vaadatud 22.01.2010. 
  32. Relax News (18. jaanuar 2010). "Why you should change your internet browser and how to choose the best one for you". The Independent (London). Vaadatud 22.01.2010. 
  33. "Govt issues IE security warning". ABC (Australia). 19. jaanuar 2010. Vaadatud 27.07.2016. 
  34. NZ Herald Staff (19. jaanuar 2010). "France, Germany warn against Internet Explorer". The New Zealand Herald. Vaadatud 22.01.2010. 
  35. Govan, Fiona (18. jaanuar 2010). "Germany warns against using Microsoft Internet Explorer". The Daily Telegraph (London). Vaadatud 22.01.2010. 
  36. Mills, Elinor (14. jaanuar 2010). "New IE hole exploited in attacks on U.S. firms". CNET. Vaadatud 22.01.2010. 
  37. "Internet Explorer zero-day code goes public". Infosecurity. 18. jaanuar 2010. Vaadatud 22.01.2010. 
  38. "Security Labs – Security News and Views – Raytheon – Forcepoint". Vaadatud 27.07.2016. 
  39. Keizer, Gregg. "Hackers wield newest IE exploit in drive-by attacks". Vaadatud 27.07.2016. 
  40. "Security Labs – Security News and Views – Raytheon – Forcepoint". Vaadatud 27.07.2016. 
  41. "Security – ZDNet". Vaadatud 27.07.2016. 
  42. "Microsoft Security Bulletin MS10-002 – Critical". Vaadatud 27.07.2016. 
  43. "Hunting Down the Aurora Creator". TheNewNewInternet. 13. veebruar 2010. Vaadatud 13.02.2010. (Dead link)
  44. Markoff, John; Barboza, David (18. veebruar 2010). "2 China Schools Said to Be Tied to Online Attacks". New York Times. Vaadatud 26.03.2010. 
  45. "Google Aurora Attack Originated From Chinese Schools". itproportal. 19. veebruar 2010. Vaadatud 19.02.2010. 
  46. Areddy, James T. (4. juuni 2011). "Chefs Who Spy? Tracking Google's Hackers in China". 
  47. University, Jiao Tong. "Jiao Tong University - 【Shanghai Daily】Cyber expert slams "spy" report". en.sjtu.edu.cn. 
  48. Sheridan, Michael, "Chinese City Is World's Hacker Hub", London Sunday Times, March 28, 2010.
  49. Etzioni, Amitai, "MAR: A Model for US-China Relations," The Diplomat, September 20, 2013.