Operación aurora

Operación Aurora es el  nombre en clave de una larga serie de ciberataques chinos que comenzaron en la segunda mitad de 2009 y supuestamente continuaron hasta febrero de 2010 [1] .

Google hizo públicos estos incidentes el 12 de enero de 2010. Como parecía al principio, la esencia de los ataques era el phishing selectivo dirigido a empleados corporativos, a través del cual se recopilaba información sobre su actividad en la red y recursos de información [2] . Sin embargo, más tarde se supo que, además de Google, más de 200 grandes empresas estadounidenses sufrieron durante estos hechos, de los cuales los códigos fuente del software creado fueron robados a través de Internet [3] .

El nombre "Aurora" proviene del nombre de un archivo en una de las computadoras atacantes [4] . El director de la Agencia de Seguridad Nacional de EE. UU., K. Alexander , evaluó el alcance de estos eventos como "la mayor redistribución de la riqueza en la historia de la humanidad". Esta acusación se hizo en el contexto de la supuesta propensión de China continental al robo cibernético constante y al espionaje cibernético [5] [6] .

Información general

Según los especialistas de Symantec , los organizadores del Aurora pueden ser considerados una especie de comunidad cibernética, que en los documentos estadounidenses se cataloga como Elderwood. Es probable que este grupo tenga alguna conexión con el gobierno de la República Popular China y probablemente esté involucrado en sus operaciones de inteligencia en el ciberespacio . Tales conclusiones se hicieron sobre la base de un análisis de las características de la actividad de los piratas informáticos, así como el código malicioso que utilizan, las direcciones IP y los nombres de dominio. El nombre "Elderwood" proviene del nombre de una de las variables en el código fuente utilizado por los atacantes [7] .

Según la conclusión de los expertos de Google, lo que los estadounidenses denominaron Operación Aurora comenzó con el spear phishing, a través del cual los empleados de Google obtenían información sobre sus actividades y sobre los recursos de servicio disponibles para ellos [7] .

Como resultado de "Aurora", los piratas informáticos lograron acercarse al repositorio del código fuente de Google Corporation. Esto, a su vez, hizo posible modificar de forma encubierta el software en máquinas comprometidas y manipular las fuentes corporativas de varias maneras, como espiar a los clientes o crear nuevas vulnerabilidades en las redes que confiaban en el software de la víctima. El código comprometido supuestamente incluía el sistema "Gaia", destinado a aquellos usuarios que se conectaban a varios servicios de Google usando una sola contraseña [2] [7] .

Durante la investigación, resultó que la gama de objetos afectados resultó ser tan amplia que complicó significativamente la evaluación confiable de los motivos e intenciones de los atacantes. Lo más probable es que uno de sus objetivos prioritarios fueran los disidentes chinos que se ocupaban del tema de los derechos y libertades civiles en la República Popular China. La mera capacidad de acceder de forma remota a las computadoras de los defensores de los derechos humanos comprometía sus archivos y comunicaciones a través de Gmail. Se concluyó que el nivel de dominio de la información logrado de esta manera permitió a las autoridades de la República Popular China mantener la estabilidad política dentro de su país [2] .

Sin embargo, el enfoque en objetivos corporativos en varios sectores comerciales indica que es probable que las intenciones de los piratas informáticos no se limitaran a la agenda política interna. Entre las víctimas se encontraban al menos tres docenas de grandes corporaciones estadounidenses asociadas con la información y el desarrollo aeroespacial, como Symantec Corporation , Yahoo , Adobe , Northrop Grumman Corporation y Dow Chemical [2] [8] . Además de ellos, el banco de inversión " Morgan Stanley " [7] sufrió , y Adobe anunció el robo de los códigos fuente de sus desarrollos y los datos personales de 38 millones de sus clientes [6] . Se supone que el número total de empresas afectadas es de miles [2] [8] .

Protesta pública y valoración

El bombo informativo en torno a Aurora alcanzó el nivel de discusiones en el Congreso y declaraciones del jefe del Departamento de Estado de EE.UU. [9] .

El análisis técnico nos permitió dar una estimación aproximada del arsenal de exploits involucrados en las operaciones APT [8] . El enfoque de los atacantes en el espionaje industrial y financiero llevó a la conclusión de que esta es una forma de trabajo típica del lado chino. Lo más probable es que el aumento de la actividad cibernética asociada con la Operación Aurora haya tenido algo que ver con otra serie de ataques cibernéticos, que se denominó "Operación Shady Rat" ( ing.  Shady RAT , 2006). Un examen de las direcciones IP involucradas en estos incidentes condujo a rangos asociados con ataques DDoS contra objetivos en Corea del Sur y EE. UU. en el verano de 2009. El seguimiento de los patrones de su uso confirmó la suposición de que fueron realizados por las mismas personas [2] .

Los expertos argumentan que, muy probablemente, las mejores universidades de la República Popular China en el campo de la tecnología de la información estén detrás de esta serie de eventos. La Universidad de Transporte de Shanghái y la Escuela Vocacional Shandong Lanxiang han sido nombradas entre los principales sospechosos , a pesar de que su liderazgo niega rotundamente cualquier participación en estos ataques cibernéticos. Varios expertos sugieren que estas instituciones educativas generales están asociadas con las formaciones de las fuerzas armadas chinas , que están especialmente afiladas para las tareas de realizar ciberespionaje estratégico y económico, por ejemplo, la unidad 61398 [2] [10]

Sin embargo, Beijing oficial negó cualquier participación del estado chino en los ataques cibernéticos, explicándolos como intentos de algunos estudiantes para mejorar sus habilidades informáticas [11] .

Aspecto técnico

El spyware utilizado por los atacantes fue creado con un alto nivel técnico, y para su uso encubierto se utilizó el cifrado del código ejecutable y otras tecnologías sofisticadas [12] . En el momento en que una víctima potencial, ubicada en una red corporativa cerrada, visitó un cebo en línea, se descargó y ejecutó un script JavaScript malicioso en su máquina, que descargó una aplicación troyana especial Trojan.Hydraq a través de una vulnerabilidad del navegador web . Esta aplicación pudo acceder a varias de las últimas versiones del popular navegador Internet Explorer a la vez en computadoras personales que ejecutan los sistemas operativos Windows 7 , Windows Vista y Windows XP [7] . El troyano se guardaba en la máquina infectada en una carpeta llamada "Aurora" [12] .

Para penetrar en la computadora de la víctima, se utilizó la vulnerabilidad de acceso a la memoria 0day del tipo " use  -after-free " del navegador Internet Explorer, lo que condujo a violaciones de la estructura de los objetos HTML . Con este método, los atacantes pudieron colocar el código malicioso en las direcciones que liberaron los objetos cuando se eliminaron. La descarga automática se convirtió en una  forma de atacar la máquina del usuario , como resultado de lo cual la máquina se infectó [13] . Este tipo de ataque hizo posible ignorar la configuración de seguridad de un navegador web y, después de penetrar en la red local, eludir el protocolo de seguridad de la organización y obtener acceso al sistema [12] . Posteriormente, los piratas informáticos utilizaron herramientas de control remoto para recopilar información sobre el usuario y sus archivos, sin dejar de enviar mensajes con enlaces al honeypot en línea [7] .

Véase también

• Operaciones cibernéticas militares de la República Popular China
• lluvia de titanio

Notas

1. ↑ Sambaluk, 2019 , Operación Aurora, p. 66.
2. ↑ 1 2 3 4 5 6 7 Springer, 2017 , Operación Aurora, p. 214-216.
3. ↑ Johnson, 2012 , Tecnología y sistemas de información, p. 120.
4. ↑ Harris, 2016 , Contraataque corporativo, p. 269.
5. ↑ Harris, 2016 , Creando un ejército cibernético, p. 100.
6. ↑ 1 2 Markov, 2016 , pág. 70.
7. ↑ 1 2 3 4 5 6 Sambaluk, 2019 , Operación Aurora, p. 67.
8. ↑ 1 2 3 Harris, 2016 , Contraataque corporativo, p. 271.
9. ↑ Agrawal, Campoe, Pierce, 2014 , Introducción, p. 9.
10. ↑ Agrawal, Campoe, Pierce, 2014 , Introducción, p. 9, 10
11. ↑ Agrawal, Campoe, Pierce, 2014 , Introducción, p. diez.
12. ↑ 1 2 3 Ghosh, Turrini, 2010 , Código malicioso, pág. 46.
13. ↑ Sur, Enbody, 2013 , pág. 41.

Fuentes

• A. S. Markov. Crónicas de ciberguerras y la mayor redistribución de la riqueza de la historia // Cuestiones de Ciberseguridad: revista. - 2016. - V. 14, N° 1. - S. 68-74.
• A. Sud, R. Enbody. Ciberataques dirigidos // Sistemas abiertos. DBMS": diario. - 2013. - T. 190, N° 4. - S. 41-45.
• S. Harris. Cyberwar@ : Quinto teatro de operaciones. - M.  : "Alpina no ficción", 2016. - 390 p. - BBC  65.290s51: 68.23-2 . — CDU  007:341.326.12 . - ISBN 978-5-91671-495-1 .
• Conflicto en el siglo XXI: el impacto de la guerra cibernética, las redes sociales y la tecnología: [ ing. ]  / NM Sambaluk. - ABC-CLIO, 2019. - ISBN 978-1-4408-6000-3 .
• Delitos cibernéticos: un análisis multidisciplinario: [ ing. ]  / S. Ghosh, E. Turrini. - Springer, 2010. - ISBN 978-3-642-13546-0 .
• Seguridad de la Información y Gestión de Riesgos TI: [ ing. ]  / M. Agrawal, A. Campoe, E. Pierce. - Wiley, 2014. - ISBN 978-1-118-33589-5 .
• Enciclopedia de Guerra Cibernética: [ ing. ]  /PJ Springer. - ABC-CLIO, 2017. - ISBN 978-1-4408-4425-6 .
• Poder, seguridad nacional y eventos globales transformadores: Desafíos que enfrentan Estados Unidos, China e Irán: [ ing. ]  / Thomas A. Johnson. - CRC Press, 2012. - ISBN 9781439884225 .