La Operación Aurora fue una serie de ataques cibernéticos llevados a cabo por amenazas persistentes avanzadas como el Elderwood Group con sede en Beijing , China , con vínculos con el Ejército Popular de Liberación . [2] Revelados públicamente por primera vez por Google el 12 de enero de 2010, en una publicación de blog , [1] los ataques comenzaron a mediados de 2009 y continuaron hasta diciembre de 2009. [3]
Operación Aurora | |||||||
---|---|---|---|---|---|---|---|
| |||||||
Beligerantes | |||||||
| porcelana | ||||||
Bajas y perdidas | |||||||
Propiedad intelectual de Google robada [1] |
El ataque estaba dirigido a docenas de otras organizaciones, de las cuales Adobe Systems , [4] Akamai Technologies , [5] Juniper Networks , [6] y Rackspace [7] han confirmado públicamente que fueron atacados. Según informes de los medios, Yahoo , Symantec , Northrop Grumman , Morgan Stanley , [8] y Dow Chemical [9] también se encontraban entre los objetivos.
Como resultado del ataque, Google declaró en su blog que planea operar una versión completamente sin censura de su motor de búsqueda en China "dentro de la ley, si es que lo hace", y reconoció que si esto no es posible, puede salir de China. y cerrar sus oficinas chinas. [1] Fuentes oficiales chinas afirmaron que esto era parte de una estrategia desarrollada por el gobierno de Estados Unidos. [10]
El ataque fue denominado "Operación Aurora" por Dmitri Alperovitch , vicepresidente de investigación de amenazas de la empresa de ciberseguridad McAfee . La investigación de McAfee Labs descubrió que "Aurora" era parte de la ruta del archivo en la máquina del atacante que estaba incluida en dos de los binarios de malware que McAfee dijo que estaban asociados con el ataque. "Creemos que el nombre era el nombre interno que los atacantes le dieron a esta operación", dijo el director de tecnología de McAfee, George Kurtz, en una publicación de blog. [11]
Según McAfee, el objetivo principal del ataque era obtener acceso y posiblemente modificar los repositorios de código fuente en estas empresas contratistas de alta tecnología, seguridad y defensa. "[Los SCM ] estaban abiertos de par en par", dice Alperovitch. "Nadie pensó en asegurarlos, sin embargo, estas fueron las joyas de la corona de la mayoría de estas empresas de muchas maneras, mucho más valiosas que cualquier dato financiero o de identificación personal que puedan tener y dedicar tanto tiempo y esfuerzo a proteger". [12]
Historia
El 12 de enero de 2010, Google reveló en su blog que había sido víctima de un ciberataque. La compañía dijo que el ataque ocurrió a mediados de diciembre y se originó en China. Google declaró que más de 20 empresas más habían sido atacadas; Desde entonces, otras fuentes han citado que más de 34 organizaciones fueron atacadas. [9] Como resultado del ataque, Google dijo que estaba revisando su negocio en China. [1] El mismo día, la secretaria de Estado de los Estados Unidos, Hillary Clinton, emitió una breve declaración condenando los ataques y solicitando una respuesta de China. [13]
El 13 de enero de 2010, la agencia de noticias All Headline News informó que el Congreso de los Estados Unidos planea investigar las acusaciones de Google de que el gobierno chino utilizó el servicio de la compañía para espiar a activistas de derechos humanos. [14]
En Beijing , los visitantes dejaron flores fuera de la oficina de Google. Sin embargo, estos fueron retirados más tarde, y un guardia de seguridad chino afirmó que se trataba de un "tributo ilegal a las flores". [15] El gobierno chino aún no ha emitido una respuesta formal, aunque un funcionario anónimo declaró que China estaba buscando más información sobre las intenciones de Google. [dieciséis]
Atacantes involucrados
La evidencia técnica, que incluye direcciones IP, nombres de dominio, firmas de malware y otros factores, muestra que Elderwood estuvo detrás del ataque de la Operación Aurora. Symantec nombró al grupo "Elderwood" en honor a una variable de código fuente utilizada por los atacantes, y Dell Secureworks lo denomina "Grupo Beijing" . El grupo obtuvo parte del código fuente de Google, así como acceso a información sobre activistas chinos. [17] Elderwood también apuntó a muchas otras empresas en los sectores de transporte, aeronáutica, armamento, energía, manufactura, ingeniería, electrónica, finanzas y software. [2] [18]
La designación "APT" para los actores de amenazas chinos responsables de atacar a Google es APT17. [19]
Elderwood se especializa en atacar e infiltrarse en proveedores de la industria de defensa de segundo nivel que fabrican componentes electrónicos o mecánicos para las principales empresas de defensa. Luego, esas empresas se convierten en un "trampolín" cibernético para obtener acceso a contratistas de defensa de primer nivel. Un procedimiento de ataque utilizado por Elderwood es infectar sitios web legítimos frecuentados por empleados de la empresa objetivo, un ataque llamado "pozo de agua", al igual que los leones vigilan un pozo de agua para sus presas. Elderwood infecta estos sitios menos seguros con malware que se descarga en una computadora que hace clic en el sitio. Después de eso, el grupo busca dentro de la red a la que está conectada la computadora infectada, encontrando y luego descargando correos electrónicos de ejecutivos y documentos críticos sobre planes, decisiones, adquisiciones y diseños de productos de la empresa. [2]
Análisis de ataques
En su publicación en el blog, Google declaró que le habían robado parte de su propiedad intelectual . Sugirió que los atacantes estaban interesados en acceder a las cuentas de Gmail de los disidentes chinos . Según el Financial Times , dos cuentas utilizadas por Ai Weiwei habían sido atacadas, su contenido leído y copiado; sus cuentas bancarias fueron investigadas por agentes de la seguridad del Estado que afirmaron que estaba siendo investigado por "presuntos delitos no especificados". [20] Sin embargo, los atacantes solo pudieron ver los detalles de dos cuentas y esos detalles se limitaron a cosas como el asunto y la fecha de creación de las cuentas. [1]
Los expertos en seguridad notaron de inmediato la sofisticación del ataque. [11] Dos días después de que el ataque se hiciera público, McAfee informó que los atacantes habían explotado supuestas vulnerabilidades de día cero (no corregidas y previamente desconocidas para los desarrolladores del sistema objetivo) en Internet Explorer y denominaron el ataque "Operación Aurora". Una semana después del informe de McAfee, Microsoft emitió una solución para el problema, [21] y admitió que habían sabido sobre el agujero de seguridad utilizado desde septiembre. [22] Se encontraron vulnerabilidades adicionales en Perforce , el software de revisión de código fuente utilizado por Google para administrar su código fuente. [23] [24]
IDefense Labs de VeriSign afirmó que los ataques fueron perpetrados por "agentes del estado chino o sus representantes". [25]
Según un cable diplomático de la Embajada de Estados Unidos en Beijing, una fuente china informó que el Politburó chino dirigió la intrusión en los sistemas informáticos de Google. El cable sugirió que el ataque fue parte de una campaña coordinada ejecutada por "agentes del gobierno, expertos en seguridad pública y forajidos de Internet reclutados por el gobierno chino". [26] El informe sugirió que era parte de una campaña en curso en la que los atacantes han "irrumpido en las computadoras del gobierno estadounidense y las de los aliados occidentales, el Dalai Lama y empresas estadounidenses desde 2002". [27] Según el informe de The Guardian sobre la filtración, los ataques fueron "orquestados por un miembro de alto rango del Politburó que escribió su propio nombre en la versión global del motor de búsqueda y encontró artículos que lo criticaban personalmente". [28]
Una vez que el sistema de la víctima se vio comprometido, una conexión de puerta trasera que se hizo pasar por una conexión SSL hizo conexiones a los servidores de comando y control que se ejecutaban en Illinois, Texas y Taiwán, incluidas las máquinas que se ejecutaban con cuentas de clientes de Rackspace robadas . Luego, la máquina de la víctima comenzó a explorar la intranet corporativa protegida de la que formaba parte, buscando otros sistemas vulnerables, así como fuentes de propiedad intelectual, específicamente el contenido de los repositorios de código fuente .
Se pensaba que los ataques habían terminado definitivamente el 4 de enero cuando se desactivaron los servidores de comando y control, aunque no se sabe en este momento si los atacantes los cerraron intencionalmente o no. [29] Sin embargo, los ataques seguían ocurriendo en febrero de 2010. [3]
Respuesta y secuelas
Los gobiernos alemán, australiano y francés emitieron advertencias públicas a los usuarios de Internet Explorer después del ataque, advirtiéndoles que usaran navegadores alternativos al menos hasta que se corrigiera el agujero de seguridad. [30] [31] [32] Los gobiernos de Alemania, Australia y Francia consideraron que todas las versiones de Internet Explorer eran vulnerables o potencialmente vulnerables. [33] [34]
En un aviso del 14 de enero de 2010, Microsoft dijo que los atacantes que tenían como objetivo a Google y otras empresas estadounidenses utilizaban software que explota un agujero en Internet Explorer. La vulnerabilidad afecta a las versiones 6, 7 y 8 de Internet Explorer en Windows 7, Vista, Windows XP, Server 2003, Server 2008 R2, así como a IE 6 Service Pack 1 en Windows 2000 Service Pack 4. [35]
El código de explotación de Internet Explorer utilizado en el ataque se ha lanzado al dominio público y se ha incorporado a la herramienta de prueba de penetración Metasploit Framework . Se cargó una copia del exploit en Wepawet, un servicio para detectar y analizar malware basado en la web operado por el grupo de seguridad informática de la Universidad de California en Santa Bárbara. "La publicación pública del código de explotación aumenta la posibilidad de ataques generalizados utilizando la vulnerabilidad de Internet Explorer", dijo George Kurtz, CTO de McAfee, sobre el ataque. "El código informático ahora público puede ayudar a los ciberdelincuentes a crear ataques que utilicen la vulnerabilidad para comprometer los sistemas Windows". [36]
La empresa de seguridad Websense dijo que identificó un "uso público limitado" de la vulnerabilidad de IE sin parchear en ataques desde el interior contra usuarios que se desviaron hacia sitios web maliciosos. [37] Según Websense, el código de ataque que detectó es el mismo que el exploit que se hizo público la semana pasada. [ aclaración necesaria ] "Los usuarios de Internet Explorer se enfrentan actualmente a un peligro real y presente debido a la divulgación pública de la vulnerabilidad y la liberación del código de ataque, lo que aumenta la posibilidad de ataques generalizados", dijo George Kurtz, director de tecnología de McAfee, en un blog. actualizar . [38] Confirmando esta especulación, Websense Security Labs identificó sitios adicionales que usaban el exploit el 19 de enero. [39] Según informes de Ahnlab, la segunda URL se difundió a través de la red de mensajería instantánea Misslee Messenger, un popular cliente de mensajería instantánea en Corea del Sur. [39]
Los investigadores han creado un código de ataque que aprovecha la vulnerabilidad en Internet Explorer 7 (IE7) e IE8, incluso cuando la medida defensiva recomendada por Microsoft ( Prevención de ejecución de datos (DEP)) está activada. [ dudoso ] Según Dino Dai Zovi, un investigador de vulnerabilidades de seguridad, "incluso el IE8 más nuevo no está a salvo de ataques si se ejecuta en Windows XP Service Pack 2 (SP2) o anterior, o en Windows Vista RTM (versión para de fabricación), la versión que Microsoft envió en enero de 2007 ". [40]
Microsoft admitió que conocían el agujero de seguridad utilizado desde septiembre. [22] Se priorizó el trabajo en una actualización [41] y el jueves 21 de enero de 2010, Microsoft lanzó un parche de seguridad con el objetivo de contrarrestar esta debilidad, los exploits publicados basados en ella y una serie de otras vulnerabilidades reportadas de forma privada. [42] No indicaron si alguno de estos últimos había sido utilizado o publicado por los explotadores o si estos tenían alguna relación particular con la operación Aurora, pero la actualización acumulativa completa se calificó como crítica para la mayoría de las versiones de Windows, incluido Windows 7.
Los investigadores de seguridad continuaron investigando los ataques. HBGary , una empresa de seguridad, publicó un informe en el que afirmaban haber encontrado algunos marcadores importantes que podrían ayudar a identificar al desarrollador del código. La firma también dijo que el código se basaba en el idioma chino, pero que no podía vincularse específicamente a ninguna entidad gubernamental. [43]
El 19 de febrero de 2010, un experto en seguridad que investigaba el ciberataque a Google afirmó que las personas detrás del ataque también eran responsables de los ciberataques realizados a varias empresas de Fortune 100 en el último año y medio. También han rastreado el ataque hasta su punto de origen, que parece ser dos escuelas chinas, la Universidad Jiao Tong de Shanghai y la Escuela Vocacional Lanxiang . [44] Como destaca The New York Times , ambas escuelas tienen vínculos con el motor de búsqueda chino Baidu , un rival de Google China . [45] Tanto Lanxiang Vocational como la Universidad de Jiaotong han negado la acusación. [46] [47]
En marzo de 2010, Symantec , que estaba ayudando a investigar el ataque de Google, identificó a Shaoxing como la fuente del 21,3% de todos los (12 mil millones) de correos electrónicos maliciosos enviados en todo el mundo. [48]
Para prevenir futuros ataques cibernéticos como la Operación Aurora, Amitai Etzioni del Instituto de Estudios de Política Comunitaria ha sugerido que Estados Unidos y China acuerden una política de contención mutuamente asegurada con respecto al ciberespacio. Esto implicaría permitir que ambos Estados tomen las medidas que consideren necesarias para su autodefensa y al mismo tiempo acordar abstenerse de tomar medidas ofensivas; también implicaría examinar estos compromisos. [49]
Ver también
- Actividad de inteligencia china en otros países
- Operaciones de inteligencia de China en los Estados Unidos
- Guerra cibernética
- Espionaje económico e industrial
- GhostNet
- Unión Honker
- Titan Rain
- Vulcanbot
- MUSCULAR (programa de vigilancia)
Referencias
- ^ a b c d e "Un nuevo enfoque de China" . Google Inc. 2010-01-12 . Consultado el 17 de enero de 2010 .
- ^ a b c Clayton, Mark (14 de septiembre de 2012). "Robar secretos comerciales de Estados Unidos: los expertos identifican dos enormes 'pandillas' cibernéticas en China" . Monitor de la Ciencia Cristiana . Consultado el 24 de febrero de 2013 .
- ^ a b " Ataques ' Aurora' aún en curso, los investigadores se acercan a los creadores de malware" . Lectura oscura . DarkReading.com. 2010-02-10 . Consultado el 13 de febrero de 2010 .
- ^ "Adobe investiga el problema de seguridad de la red corporativa" . 2010-01-12. Archivado desde el original el 14 de enero de 2010.
- ^ "9 años después: de la operación Aurora a la confianza cero" . Lectura oscura . DarkReading.com. 2019-02-20 . Consultado el 9 de mayo de 2020 .
- ^ "Juniper Networks investigando ciberataques" . Reloj de mercado. 2010-01-15 . Consultado el 17 de enero de 2010 .
- ^ "Respuesta de Rackspace a los ataques cibernéticos" . Archivado desde el original el 18 de enero de 2010 . Consultado el 17 de enero de 2010 .
- ^ "La fuga de correo electrónico de HBGary afirma que Morgan Stanley fue pirateado" . Consultado el 2 de marzo de 2010 .
- ^ a b Cha, Ariana Eunjung; Ellen Nakashima (14 de enero de 2010). "El ciberataque de Google China forma parte de una vasta campaña de espionaje, dicen los expertos" . The Washington Post . Consultado el 17 de enero de 2010 .
- ^ Hille, Kathrine (20 de enero de 2010). "Los medios chinos golpean a 'Google de la Casa Blanca ' " . Financial Times . Consultado el 20 de enero de 2010 .
- ^ a b Kurtz, George (14 de enero de 2010). "Operación" Aurora "Hit Google, Otros" . McAfee, Inc. Archivado desde el original el 11 de septiembre de 2012 . Consultado el 17 de enero de 2010 .
- ^ Zetter, Kim (3 de marzo de 2010). " Los piratas informáticos de ' Google' tenían la capacidad de alterar el código fuente" . Cableado . Consultado el 4 de marzo de 2010 .
- ^ Clinton, Hillary (12 de enero de 2010). "Declaración sobre las operaciones de Google en China" . Departamento de estado de los Estados Unidos. Archivado desde el original el 16 de enero de 2010 . Consultado el 17 de enero de 2010 .
- ^ "Congreso para investigar los cargos de Google de espionaje chino en Internet" . Todas las noticias de titulares . 13 de enero de 2010. Archivado desde el original el 28 de marzo de 2010 . Consultado el 13 de enero de 2010 .
- ^ Osnos, Evan (14 de enero de 2010). "China y Google:" Tributo de flores ilegales " " . The New Yorker . Consultado el 10 de noviembre de 2020 .
- ^ "El gobierno chino busca información sobre las intenciones de Google" . China Daily . Xinhua. 2010-01-13 . Consultado el 18 de enero de 2010 .
- ^ Nakashima, Ellen. "Los piratas informáticos chinos que violaron Google obtuvieron acceso a datos confidenciales, dicen los funcionarios estadounidenses" . WashingtonPost . Consultado el 5 de diciembre de 2015 .
- ^ Riley, Michael; Dune Lawrence (26 de julio de 2012). "Hackers vinculados al ejército de China desde la UE a DC" Bloomberg . Consultado el 24 de febrero de 2013 .
- ^ Gertz, Bill. "Nueva unidad de inteligencia china vinculada al programa de espionaje cibernético masivo" . Baliza libre de Washington . Consultado el 5 de noviembre de 2019 .
- ^ Anderlini, Jamil (15 de enero de 2010). " 'Visitantes desconocidos del disidente chino ' " . Financial Times .
- ^ "Aviso de seguridad de Microsoft (979352)" . Microsoft. 2010-01-21 . Consultado el 26 de enero de 2010 .
- ^ a b Naraine, Ryan. Microsoft sabía de la falla de día cero de IE desde septiembre pasado , ZDNet, 21 de enero de 2010. Consultado el 28 de enero de 2010.
- ^ "Protección de sus activos críticos, lecciones aprendidas de la" Operación Aurora ", por McAfee Labs y McAfee Foundstone Professional Services" (PDF) . wired.com .
- ^ " Los piratas informáticos de ' Google' tenían la capacidad de alterar el código fuente" . Cableado . Consultado el 27 de julio de 2016 .
- ^ Paul, Ryan (14 de enero de 2010). "Los investigadores identifican los servidores de comando detrás del ataque de Google" . Ars Technica . Consultado el 17 de enero de 2010 .
- ^ Shane, Scott; Lehren, Andrew W. (28 de noviembre de 2010). "Cables obtenidos por WikiLeaks brillan en canales diplomáticos secretos" . The New York Times . Consultado el 28 de noviembre de 2010 .
- ^ Scott Shane y Andrew W. Lehren (28 de noviembre de 2010). "Cables filtrados ofrecen mirada cruda a la diplomacia estadounidense" . The New York Times . Consultado el 26 de diciembre de 2010 .
La piratería de Google fue parte de una campaña coordinada de sabotaje informático llevada a cabo por agentes del gobierno, expertos en seguridad privada y forajidos de Internet reclutados por el gobierno chino. Se han infiltrado en las computadoras del gobierno estadounidense y las de los aliados occidentales, el Dalai Lama y las empresas estadounidenses desde 2002, ...
- ^ Fugas de cables de la embajada de Estados Unidos provocan crisis diplomática global The Guardian 28 de noviembre de 2010
- ^ Zetter, Kim (14 de enero de 2010). "Google Hack Attack fue ultra sofisticado, se muestran nuevos detalles" . Cableado . Consultado el 23 de enero de 2010 .
- ^ One News (19 de enero de 2010). "Francia, Alemania advierte a los usuarios de Internet Explorer" . TVNZ . Consultado el 22 de enero de 2010 .
- ^ Relax News (18 de enero de 2010). "Por qué debería cambiar su navegador de Internet y cómo elegir el que mejor se adapte a sus necesidades" . The Independent . Londres . Consultado el 22 de enero de 2010 .
- ^ "El gobierno emite una advertencia de seguridad de IE" . ABC (Australia). 19 de enero de 2010 . Consultado el 27 de julio de 2016 .
- ^ NZ Herald Staff (19 de enero de 2010). "Francia, Alemania advierten contra Internet Explorer" . The New Zealand Herald . Consultado el 22 de enero de 2010 .
- ^ Govan, Fiona (18 de enero de 2010). "Alemania advierte contra el uso de Microsoft Internet Explorer" . The Daily Telegraph . Londres . Consultado el 22 de enero de 2010 .
- ^ Mills, Elinor (14 de enero de 2010). "Nuevo agujero de IE explotado en ataques a empresas estadounidenses" . CNET . Consultado el 22 de enero de 2010 .
- ^ "El código de día cero de Internet Explorer se hace público" . Infoseguridad. 18 de enero de 2010 . Consultado el 22 de enero de 2010 .
- ^ "Laboratorios de seguridad - Noticias y vistas de seguridad - Raytheon - Forcepoint" . Consultado el 27 de julio de 2016 .
- ^ Keizer, Gregg. "Los piratas informáticos utilizan el exploit IE más reciente en ataques drive-by" . Consultado el 27 de julio de 2016 .
- ^ a b "Laboratorios de seguridad - Noticias y vistas de seguridad - Raytheon - Forcepoint" . Consultado el 27 de julio de 2016 .
- ^ Keizer, Gregg (19 de enero de 2010). "Los investigadores apostan, crean exploits para IE7, IE8" . Computerworld . Consultado el 22 de enero de 2010 .
- ^ "Seguridad - ZDNet" . Consultado el 27 de julio de 2016 .
- ^ "Boletín de seguridad de Microsoft MS10-002 - Crítico" . Consultado el 27 de julio de 2016 .
- ^ "Cazando al Creador de Aurora" . TheNewNewInternet. 13 de febrero de 2010 . Consultado el 13 de febrero de 2010 .(Enlace muerto)
- ^ Markoff, John; Barboza, David (18 de febrero de 2010). "Se dice que 2 escuelas de China están vinculadas a ataques en línea" . New York Times . Consultado el 26 de marzo de 2010 .
- ^ "El ataque de Google Aurora se originó en las escuelas chinas" . es proporcional. 19 de febrero de 2010 . Consultado el 19 de febrero de 2010 .
- ^ Areddy, James T. (4 de junio de 2011). "Chefs Who Spy? Rastreando a los piratas informáticos de Google en China" , a través de www.wsj.com.
- ^ Universidad, Jiao Tong. "Universidad de Jiao Tong - 【Shanghai Daily】 Experto cibernético critica el informe" espía " . en.sjtu.edu.cn .
- ^ Sheridan, Michael, "Chinese City Is World's Hacker Hub", London Sunday Times , 28 de marzo de 2010.
- ^ Etzioni, Amitai, "MAR: Un modelo para las relaciones entre Estados Unidos y China", The Diplomat , 20 de septiembre de 2013, [1] .
enlaces externos
- Los expertos de Google China pueden haber ayudado con el ataque news.cnet.com
- Operación Aurora: ¡el comienzo de la era de los ataques piratas ultra sofisticados! Sporkings.com 18 de enero de 2010
- In Google We Trust Por qué el enfrentamiento de la empresa con China podría cambiar el futuro de Internet. Rafal Rohozinski entrevistado por Jessica Ramirez de Newsweek en 2010.1.29
- Ciberataques recientes: ¿más de lo que parece? Sporkings.com 19 de febrero de 2010
- Los piratas informáticos de 'Google' pudieron alterar el código fuente Wired.com 3 de marzo de 2010
- El código 'Aurora' circuló durante años en sitios en inglés ¿Dónde está la conexión con China?
- Gross, Michael Joseph, " Enter the Cyber-dragon ", Vanity Fair , septiembre de 2011.
- Bodmer, S., Kilger, M., Carpenter, G. y Jones, J. (2012). Engaño inverso: contra-explotación organizada de amenazas cibernéticas . Nueva York: McGraw-Hill Osborne Media. ISBN 0-07-177249-9 , ISBN 978-0-07-177249-5
- El exploit Operación Aurora Internet Explorer - ¡en vivo!
- Descripción general de McAfee Operation Aurora
- Operación Aurora explicada por CNET