I januar 2010 afslørede Google, at det var blevet offer for et sofistikeret cyberangreb med oprindelse i Kina. Angriberne målrettede Googles virksomhedsnetværk, hvilket resulterede i tyveri af intellektuel ejendom og adgang til Gmail-konti tilhørende menneskerettighedsaktivister. Udover Google var angrebet også rettet mod over 30 virksomheder i fintech-, medie-, internet- og kemikaliesektoren.
Disse angreb blev udført af den kinesiske Elderwood Group og senere betegnet af sikkerhedseksperter som Operation Aurora. Så hvad skete der egentlig? Hvordan blev det udført? Og hvad var efterspillet af Operation Aurora?
Hvad er Operation Aurora?
Operation Aurora var en række målrettede cyberangreb mod snesevis af organisationer, inklusive Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace og Dow Chemicals, blandt andre. Google delte først detaljer om angrebene i et blogindlæg, som hævdede, at disse var statssponsorerede angreb.
Kort efter Googles meddelelse afslørede mere end 30 andre firmaer, at den samme modstander havde brudt deres virksomhedsnetværk.
Navnet på angrebene kommer fra referencer i malwaren til en mappe ved navn "Aurora" fundet af MacAfee-forskere på en af de computere, som angriberne brugte.
Hvordan blev angrebet udført?
Denne cyberspionageoperation blev indledt ved hjælp af spyd-phishing-teknik. Til at begynde med modtog de målrettede brugere en ondsindet URL i en e-mail eller onlinemeddelelse, der startede en række begivenheder. Efterhånden som brugerne klikkede på URL'en, ville den føre dem til et websted, der udførte yderligere ondsindet JavaScript-kode.
JavaScript-koden udnyttede en sårbarhed i Microsoft Internet Explorer, som var ret ukendt på det tidspunkt. Sådanne sårbarheder er ofte kaldet "nul-dages bedrifter".
Zero-day udnyttelsen tillod malware at køre i Windows og oprettede en bagdør for cyberkriminelle til at tage kontrol over systemet og stjæle legitimationsoplysninger, intellektuel ejendom eller hvad de ellers var søger.
Hvad var formålet med Operation Aurora?
Operation Aurora var et meget sofistikeret og vellykket angreb. Men de reelle årsager bag angrebet er stadig uklare. Da Google afslørede Aurora-bomben, angav den følgende årsager og konsekvenser:
- Intellektuel ejendomstyveri: Angriberne målrettede virksomhedens infrastruktur, hvilket resulterede i tyveri af intellektuel ejendom.
- Cyberspionage: Den sagde også, at angrebene var en del af en cyberspionageoperation, der forsøgte at infiltrere Gmail-konti tilhørende kinesiske dissidenter og menneskerettighedsaktivister.
Et par år senere blev en seniordirektør i Microsofts Institut for Avanceret Teknologi udtalte, at angrebene faktisk var beregnet til at undersøge den amerikanske regering for at kontrollere, om den havde afsløret identiteten af undercover kinesiske agenter, der udfører deres opgaver i USA.
Hvorfor fik Operation Aurora så meget opmærksomhed?
Operation Aurora er et meget omtalt cyberangreb på grund af angrebenes karakter. Her er et par nøglepunkter, der får det til at skille sig ud:
- Dette var en meget målrettet kampagne, hvor angriberne havde grundig efterretning om deres mål. Dette kan antyde involvering af en større organisation og endda nationalstatslige aktører.
- Cyberhændelser sker hele tiden, men mange virksomheder taler ikke om dem. For en virksomhed så sofistikeret som Google er det en stor sag at komme ud og afsløre det offentligt.
- Mange sikkerhedseksperter holder den kinesiske regering ansvarlig for angrebene. Hvis rygterne er sande, så har du en situation, hvor en regering angriber virksomhedsenheder på en måde, der aldrig er blevet afsløret før.
Efterdønningerne af Operation Aurora
Fire måneder efter angrebene besluttede Google at lukke sine aktiviteter i Kina. Den afsluttede Google.com.cn og omdirigerede al trafik til Google.com.hk – en Google-version til Hong Kong, da Hong Kong opretholder forskellige love til det kinesiske fastland.
Google har også omstruktureret sin tilgang for at mindske chancerne for, at sådanne hændelser sker igen. Det gennemførte nul-tillid arkitektur kaldet BeyondCorp, hvilket har vist sig at være en god beslutning.
Mange virksomheder giver unødvendigt forhøjede adgangsrettigheder, som giver dem mulighed for at foretage ændringer på netværket og operere uden begrænsninger. Så hvis en hacker finder vej til et system med administratorrettigheder, kan de nemt misbruge disse privilegier.
Nultillidsmodellen virker på principper om mindst privilegeret adgang og nano-segmentering. Det er en ny måde at skabe tillid til, hvor brugerne kun kan få adgang til de dele af et netværk, som de virkelig har brug for. Så hvis en brugers legitimationsoplysninger er kompromitteret, kan angriberne kun få adgang til de værktøjer og applikationer, der er tilgængelige for den pågældende bruger.
Senere begyndte mange flere virksomheder at adoptere nul-tillidsparadigmet ved at regulere adgangen til følsomme værktøjer og applikationer på deres netværk. Målet er at verificere hver bruger og gøre det svært for angribere at forårsage omfattende skade.
Forsvar mod Operation Aurora og lignende angreb
Operation Aurora-angrebene afslørede, at selv organisationer med betydelige ressourcer som Google, Yahoo og Adobe stadig kan blive ofre. Hvis store it-virksomheder med enorme midler kan blive hacket, så vil mindre virksomheder med færre ressourcer have svært ved at forsvare sig mod sådanne angreb. Operation Aurora lærte os dog også visse vigtige lektioner, som kan hjælpe os med at forsvare os mod lignende angreb.
Pas på Social Engineering
Angrebene fremhævede risikoen for det menneskelige element i cybersikkerhed. Mennesker er de primære propagatorer af angreb, og den sociale manipulation af at klikke på ukendte links har ikke ændret sig.
For at sikre, at Aurora-lignende angreb ikke sker igen, er virksomheder nødt til at vende tilbage til grundlæggende informationssikkerhed. De skal uddanne medarbejderne om sikker cybersikkerhedspraksis, og hvordan de interagerer med teknologi.
Karakteren af angrebene er blevet så sofistikerede, at selv en erfaren sikkerhedsprofessionel har svært ved det skelne en god URL fra en ondsindet.
Brug kryptering
VPN'er, proxyservere og flere lag af kryptering kan bruges til at skjule ondsindet kommunikation på et netværk.
For at opdage og forhindre kommunikation fra kompromitterede computere skal alle netværksforbindelser overvåges, især dem, der går uden for virksomhedens netværk. At identificere unormal netværksaktivitet og overvåge mængden af data, der går ud fra en pc, kan være en god måde at evaluere dens helbred på.
Kør Data Execution Prevention
En anden måde at minimere sikkerhedstrusler er ved at køre Data Execution Prevention (DEP) på din computer. DEP er en sikkerhedsfunktion, der forhindrer uautoriserede scripts i at køre i din computers hukommelse.
Du kan aktivere det ved at gå til System og sikkerhed > System > Avancerede systemindstillinger i Kontrolpanel.
Aktivering af DEP-funktionen vil gøre det sværere for angribere at udføre Aurora-lignende angreb.
Aurora og vejen frem
Verden har aldrig været mere udsat for risici for statssponsorerede angreb, som den er nu. Da de fleste virksomheder nu er afhængige af en ekstern arbejdsstyrke, er det sværere end nogensinde at opretholde sikkerheden.
Heldigvis vedtager virksomheder hurtigt nul-tillidssikkerhedstilgangen, der fungerer efter princippet om at stole på ingen uden løbende verifikation.
Zero Trust-modellen er en effektiv måde at begrænse databrud på, men der er for mange misforståelser om dens implementering.
Læs Næste
- Sikkerhed
- Cybersikkerhed
- Cyberkrigsførelse
- Online sikkerhed
Fawad er IT- og kommunikationsingeniør, håbefuld iværksætter og forfatter. Han trådte ind på arenaen for indholdsskrivning i 2017 og har arbejdet med to digitale marketingbureauer og adskillige B2B- og B2C-kunder siden da. Han skriver om sikkerhed og teknologi på MUO med det formål at uddanne, underholde og engagere publikum.
Abonner på vores nyhedsbrev
Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!
Klik her for at abonnere