Operación Aurora | |||||||
---|---|---|---|---|---|---|---|
| |||||||
Beligerantes | |||||||
Estados Unidos | Porcelana | ||||||
Bajas y pérdidas | |||||||
Propiedad intelectual robada de Google [1] |
La Operación Aurora fue una serie de ataques cibernéticos realizados por amenazas persistentes avanzadas como el Grupo Elderwood con sede en Beijing , China , con asociaciones con el Ejército Popular de Liberación . [2] Revelados públicamente por primera vez por Google (una de las víctimas) el 12 de enero de 2010, mediante una publicación en un blog , [1] los ataques comenzaron a mediados de 2009 y continuaron hasta diciembre de 2009. [3]
El ataque estaba dirigido contra decenas de otras organizaciones, de las cuales Adobe Systems , [4] Akamai Technologies , [5] Juniper Networks , [6] y Rackspace [7] han confirmado públicamente que fueron el objetivo. Según informes de los medios, Yahoo , Symantec , Northrop Grumman , Morgan Stanley , [8] y Dow Chemical [9] también estaban entre los objetivos.
Como resultado del ataque, Google afirmó en su blog que planea operar una versión completamente sin censura de su motor de búsqueda en China "dentro de la ley, si es que lo hace", y reconoció que si esto no es posible, podría abandonar China y cerrar sus oficinas en ese país. [1] Fuentes oficiales chinas afirmaron que esto era parte de una estrategia desarrollada por el gobierno de los EE. UU. [10]
El ataque fue bautizado como "Operación Aurora" por Dmitri Alperovitch , vicepresidente de investigación de amenazas de la empresa de ciberseguridad McAfee . La investigación de McAfee Labs descubrió que "Aurora" formaba parte de la ruta de archivo en la máquina del atacante que estaba incluida en dos de los binarios de malware que, según McAfee, estaban asociados con el ataque. "Creemos que el nombre era el nombre interno que el o los atacantes dieron a esta operación", afirmó George Kurtz, director de tecnología de McAfee , en una publicación en el blog. [11]
Según McAfee, el objetivo principal del ataque era obtener acceso y modificar los repositorios de código fuente de estas empresas contratistas de alta tecnología, seguridad y defensa. "[Los repositorios de código fuente ] estaban completamente abiertos", afirma Alperovitch. "Nadie pensó nunca en protegerlos, pero eran las joyas de la corona de la mayoría de estas empresas en muchos sentidos: mucho más valiosos que cualquier dato financiero o de identificación personal que puedan tener y que tanto tiempo y esfuerzo dedican a proteger". [12]
El 12 de enero de 2010, Google reveló en su blog que había sido víctima de un ciberataque. La compañía dijo que el ataque ocurrió a mediados de diciembre y se originó en China. Google afirmó que más de 20 empresas habían sido atacadas; otras fuentes han citado desde entonces que más de 34 organizaciones fueron el objetivo. [9] Como resultado del ataque, Google dijo que estaba revisando su negocio en China. [1] El mismo día, la Secretaria de Estado de los Estados Unidos, Hillary Clinton, emitió una breve declaración condenando los ataques y solicitando una respuesta de China. [13]
El 13 de enero de 2010, la agencia de noticias All Headline News informó que el Congreso de los Estados Unidos planea investigar las acusaciones de Google de que el gobierno chino utilizó el servicio de la compañía para espiar a activistas de derechos humanos. [14]
En Pekín , algunos visitantes dejaron flores en el exterior de la oficina de Google, pero luego fueron retiradas y un guardia de seguridad chino afirmó que se trataba de un "tributo floral ilegal". [15] El gobierno chino aún no ha emitido una respuesta formal, aunque un funcionario anónimo afirmó que China estaba buscando más información sobre las intenciones de Google. [16]
La evidencia técnica, que incluye direcciones IP, nombres de dominio, firmas de malware y otros factores, muestra que Elderwood estaba detrás del ataque Operation Aurora. El grupo "Elderwood" fue bautizado por Symantec (en honor a una variable del código fuente utilizada por los atacantes) y Dell Secureworks lo denomina "Beijing Group" . El grupo obtuvo parte del código fuente de Google, así como acceso a información sobre activistas chinos. [17] Elderwood también atacó a muchas otras empresas de los sectores de transporte marítimo, aeronáutica, armamentístico, energético, manufacturero, de ingeniería, electrónico, financiero y de software. [2] [18]
La designación "APT" para los actores de amenazas chinos responsables de atacar a Google es APT17. [19]
Elderwood se especializa en atacar e infiltrarse en proveedores de segunda línea de la industria de defensa que fabrican componentes electrónicos o mecánicos para las principales compañías de defensa. Esas compañías se convierten entonces en un "trampolín" cibernético para obtener acceso a los principales contratistas de defensa. Un procedimiento de ataque utilizado por Elderwood es infectar sitios web legítimos frecuentados por empleados de la compañía objetivo, un ataque denominado "ataque de pozo de agua", de la misma manera que los leones vigilan un pozo de agua para su presa. Elderwood infecta estos sitios menos seguros con malware que se descarga en un ordenador que accede al sitio. Después de eso, el grupo busca dentro de la red a la que está conectada la computadora infectada, encuentra y luego descarga correos electrónicos de ejecutivos y documentos críticos sobre planes, decisiones, adquisiciones y diseños de productos de la empresa. [2]
En su blog, Google afirmó que parte de su propiedad intelectual había sido robada y sugirió que los atacantes estaban interesados en acceder a las cuentas de Gmail de disidentes chinos . Según el Financial Times , dos cuentas utilizadas por Ai Weiwei habían sido atacadas, sus contenidos leídos y copiados; sus cuentas bancarias fueron investigadas por agentes de seguridad del Estado que afirmaron que estaba siendo investigado por "delitos sospechosos no especificados". [20] Sin embargo, los atacantes solo pudieron ver los detalles de dos cuentas y esos detalles se limitaban a información como la línea de asunto y la fecha de creación de las cuentas. [1]
Los expertos en seguridad notaron inmediatamente la sofisticación del ataque. [11] Dos días después de que el ataque se hiciera público, McAfee informó que los atacantes habían explotado supuestas vulnerabilidades de día cero (no corregidas y previamente desconocidas para los desarrolladores del sistema objetivo) en Internet Explorer y bautizaron el ataque como "Operación Aurora". Una semana después del informe de McAfee, Microsoft publicó una solución para el problema, [21] y admitió que conocían la falla de seguridad utilizada desde septiembre. [22] Se encontraron vulnerabilidades adicionales en Perforce , el software de revisión de código fuente utilizado por Google para administrar su código fuente. [23] [24]
iDefense Labs de VeriSign afirmó que los ataques fueron perpetrados por "agentes del estado chino o sus representantes". [25]
Según un cable diplomático de la embajada de Estados Unidos en Pekín, una fuente china informó de que el Politburó chino había dirigido la intrusión en los sistemas informáticos de Google. El cable sugería que el ataque formaba parte de una campaña coordinada ejecutada por "agentes del gobierno, expertos en seguridad pública y delincuentes de Internet reclutados por el gobierno chino". [26] El informe sugería que formaba parte de una campaña en curso en la que los atacantes han "entrado en los ordenadores del gobierno estadounidense y de los aliados occidentales, el Dalai Lama y empresas estadounidenses desde 2002". [27] Según el informe de The Guardian sobre la filtración, los ataques fueron "orquestados por un miembro de alto rango del Politburó que tecleó su propio nombre en la versión global del motor de búsqueda y encontró artículos que lo criticaban personalmente". [28]
Una vez que el sistema de la víctima se vio comprometido, una conexión de puerta trasera que se hacía pasar por una conexión SSL establecía conexiones con servidores de comando y control que operaban en Illinois, Texas y Taiwán, incluidas máquinas que utilizaban cuentas de clientes robadas de Rackspace . La máquina de la víctima comenzó entonces a explorar la intranet corporativa protegida de la que formaba parte, en busca de otros sistemas vulnerables, así como de fuentes de propiedad intelectual, específicamente el contenido de los repositorios de código fuente .
Se cree que los ataques terminaron definitivamente el 4 de enero cuando se desactivaron los servidores de comando y control, aunque no se sabe en este momento si los atacantes los desactivaron intencionalmente o no. [29] Sin embargo, los ataques todavía estaban ocurriendo en febrero de 2010. [3]
Los gobiernos alemán, australiano y francés emitieron advertencias públicas a los usuarios de Internet Explorer después del ataque, aconsejándoles que utilizaran navegadores alternativos al menos hasta que se solucionara la brecha de seguridad. [30] [31] [32] Los gobiernos alemán, australiano y francés consideraron que todas las versiones de Internet Explorer eran vulnerables o potencialmente vulnerables. [33] [34]
En un aviso del 14 de enero de 2010, Microsoft afirmó que los atacantes que tenían como objetivo a Google y otras empresas estadounidenses utilizaban software que explotaba una falla en Internet Explorer. La vulnerabilidad afecta a las versiones 6, 7 y 8 de Internet Explorer en Windows 7, Vista, Windows XP, Server 2003, Server 2008 R2, así como a IE 6 Service Pack 1 en Windows 2000 Service Pack 4. [35]
El código de explotación de Internet Explorer utilizado en el ataque se ha hecho público y se ha incorporado al programa de pruebas de penetración Metasploit Framework . Se ha subido una copia del código de explotación a Wepawet, un servicio para detectar y analizar malware basado en la web operado por el grupo de seguridad informática de la Universidad de California en Santa Bárbara. "La publicación del código de explotación aumenta la posibilidad de ataques generalizados que utilicen la vulnerabilidad de Internet Explorer", dijo George Kurtz, director de tecnología de McAfee, sobre el ataque. "El código informático ahora público puede ayudar a los cibercriminales a diseñar ataques que utilicen la vulnerabilidad para comprometer los sistemas Windows". [36]
La compañía de seguridad Websense dijo que identificó "un uso público limitado" de la vulnerabilidad sin parchear de IE en ataques contra usuarios que se desviaron hacia sitios web maliciosos. [37] Según Websense, el código de ataque que detectó es el mismo que el exploit que se hizo público la semana pasada. [ aclaración necesaria ] "Los usuarios de Internet Explorer se enfrentan actualmente a un peligro real y presente debido a la divulgación pública de la vulnerabilidad y la publicación del código de ataque, lo que aumenta la posibilidad de ataques generalizados", dijo George Kurtz, director de tecnología de McAfee, en una actualización del blog. [38] Confirmando esta especulación, Websense Security Labs identificó sitios adicionales que utilizan el exploit el 19 de enero. [39] Según informes de Ahnlab, la segunda URL se difundió a través de la red de mensajería instantánea Misslee Messenger, un popular cliente de mensajería instantánea en Corea del Sur. [39]
Los investigadores han creado un código de ataque que explota la vulnerabilidad en Internet Explorer 7 (IE7) e IE8, incluso cuando la medida defensiva recomendada por Microsoft ( Prevención de ejecución de datos (DEP)) está activada. [ dudoso – discutir ] Según Dino Dai Zovi, un investigador de vulnerabilidades de seguridad, "incluso el IE8 más nuevo no está a salvo de ataques si se ejecuta en Windows XP Service Pack 2 (SP2) o anterior, o en Windows Vista RTM (release to manufacturing), la versión que Microsoft envió en enero de 2007" . [40]
Microsoft admitió que conocían la falla de seguridad utilizada desde septiembre. [22] Se priorizó el trabajo en una actualización [41] y el jueves 21 de enero de 2010, Microsoft lanzó un parche de seguridad destinado a contrarrestar esta debilidad, los exploits publicados basados en ella y una serie de otras vulnerabilidades informadas de forma privada. [42] No indicaron si alguno de estos últimos había sido utilizado o publicado por explotadores o si estos tenían alguna relación particular con la operación Aurora, pero toda la actualización acumulativa se calificó como crítica para la mayoría de las versiones de Windows, incluido Windows 7.
Los investigadores de seguridad continuaron investigando los ataques. HBGary , una empresa de seguridad, publicó un informe en el que afirmaba haber encontrado algunos marcadores importantes que podrían ayudar a identificar al desarrollador del código. La empresa también dijo que el código estaba basado en el idioma chino, pero que no podía asociarse específicamente con ninguna entidad gubernamental. [43]
El 19 de febrero de 2010, un experto en seguridad que investigaba el ciberataque a Google afirmó que las personas que llevaron a cabo el ataque también eran responsables de los ciberataques realizados a varias empresas de Fortune 100 en el último año y medio. También rastrearon el origen del ataque, que parece ser dos escuelas chinas, la Universidad Jiao Tong de Shanghái y la Escuela Vocacional Lanxiang . [44] Como destacó The New York Times , ambas escuelas tienen asociaciones con el motor de búsqueda chino Baidu , un rival de Google China . [45] Tanto la Universidad Vocacional Lanxiang como la Universidad Jiaotong han negado la acusación. [46] [47]
En marzo de 2010, Symantec , que estaba ayudando a investigar el ataque para Google, identificó a Shaoxing como la fuente del 21,3% de todos los correos electrónicos maliciosos (12 mil millones) enviados en todo el mundo. [48]
El 3 de octubre de 2022, Google en YouTube lanzó una serie de seis episodios [49] sobre los eventos que ocurrieron durante la Operación Aurora, con comentarios de personas con información privilegiada que lidiaron con el ataque, aunque el énfasis principal de la serie fue asegurar al público usuario de Google que existen medidas para contrarrestar los intentos de piratería.
{{cite web}}
: CS1 maint: URL no apta ( enlace )hackeo de Google fue parte de una campaña coordinada de sabotaje informático llevada a cabo por agentes del gobierno, expertos en seguridad privada y delincuentes de Internet reclutados por el gobierno chino. Han entrado en las computadoras del gobierno estadounidense y en las de los aliados occidentales, el Dalai Lama y empresas estadounidenses desde 2002, ...