מבצע אורורה

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

מבצע אורורה היה סדרה של מתקפות סייבר שכללו איומים מתמשכים מתקדמים (APT) (אנ') ובוצעו על ידי קבוצת אלדרווד שבסיסה בבייג'ינג, סין, עם קשרים לצבא השחרור העממי.[1] המתקפות נחשפו לראשונה בפומבי על ידי גוגל (שהייתה גם אחת הקורבנות) ב-12 בינואר 2010 בבלוג הרשמי של החברה.[2] הם החלו באמצע 2009 ונמשכו עד דצמבר 2009.[3]

המתקפה כוונה נגד עשרות ארגונים. אדובי מערכות,[4] Akamai Technologies (אנ'),[5] ג'וניפר נטוורקס (אנ'),[6] ורקספייס טכנולוג'י (אנ')[7] אישרו בפומבי שהם היו על הכוונת. על פי דיווחים בתקשורת, יאהו, סימנטק, נורת'רופ גראמן, מורגן סטנלי,[8][9] ודאו כימיקלים היו גם הם בין המטרות.[10]

כתוצאה מהמתקפה, גוגל הצהירה בבלוג שלה כי היא מתכננת להפעיל גרסה לא מצונזרת לחלוטין של מנוע החיפוש שלה בסין "במסגרת החוק, אם בכלל", והודתה שאם זה לא יתאפשר, היא עשויה לעזוב את סין ולסגור את משרדיה במדינה.[2] מקורות סיניים רשמיים טענו שזה חלק מאסטרטגיה של ממשלת ארצות הברית.[11]

המתקפה כונתה "מבצע אורורה" על ידי דמיטרי אלפרוביץ' (אנ'), סגן נשיא למחקר איומים בחברת אבטחת הסייבר מקאפי. מחקר של מעבדות מקאפי גילה כי "אורורה" היה חלק מנתיב הקבצים במחשב של התוקף, שנכלל בשניים מהקבצים הבינאריים של התוכנות הזדוניות שלדעתה של מקאפי היו קשורים למתקפה. "אנו מאמינים שהשם היה השם הפנימי שנתנו התוקפים למבצע", אמר מנהל הטכנולוגיה הראשי של מקאפי, ג'ורג' קורץ (אנ').[12] לפי מקאפי, המטרה העיקרית של המתקפה הייתה להשיג גישה ואולי לשנות מאגרי קוד מקור בחברות של קבלני היי-טק, אבטחה וביטחון. לפי אלפרוביץ', "המאגרים היו פתוחים לרווחה. אף אחד מעולם לא חשב לאבטח אותם, אבל אלה היו היהלומים שבכתר של רוב החברות הללו במובנים רבים - הרבה יותר יקרי ערך מכל מידע פיננסי או אישי שאולי יש להם והם משקיעים כל כך הרבה זמן ומאמץ בהגנה עליהם".[13]

היסטוריה

הפרחים מחוץ למטה גוגל

ב-12 בינואר 2010 חשפה גוגל בבלוג שלה שהיא נפלה קורבן למתקפת סייבר. החברה מסרה כי המתקפה התרחשה באמצע דצמבר ומקורה בסין. גוגל הצהירה כי יותר מ-20 חברות אחרות הותקפו. מקורות אחרים ציינו מאז כי יותר מ-34 ארגונים היו על הכוונת.[10] כתוצאה מהמתקפה, גוגל אמרה שהיא בוחנת את עסקיה בסין.[2] באותו יום פרסמה מזכירת המדינה של ארצות הברית הילרי קלינטון הודעה קצרה המגנה את המתקפות ומבקשת תגובה מסין.[14]

ב-13 בינואר 2010 דיווחה סוכנות הידיעות All Headline News (אנ') כי הקונגרס של ארצות הברית מתכנן לחקור את טענותיה של גוגל כי ממשלת סין השתמשה בשירות החברה כדי לרגל אחר פעילי זכויות אדם.[15]

בבייג'ינג, מבקרים השאירו פרחים מחוץ למשרדי גוגל. עם זאת, אלה הוסרו מאוחר יותר, כאשר מאבטח סיני הצהיר כי מדובר ב"מחווה לא חוקית לפרחים".[16] ממשלת סין טרם פרסמה תגובה רשמית, אם כי פקיד אנונימי הצהיר כי סין מחפשת מידע נוסף על כוונותיה של גוגל.[17]

זהות התוקפים

ראיות טכניות כולל כתובות IP, שמות דומיינים, חתימות תוכנות זדוניות וגורמים אחרים, מראות שקבוצת אלדרווד עמדה מאחורי מבצע אורורה. הקבוצה נקראה כך על ידי סימנטק (על שם משתנה קוד מקור ששימש את התוקפים), ומכונה גם "קבוצת בייג'ינג". הקבוצה השיגה חלק מקוד המקור של גוגל, כמו גם גישה למידע על פעילים סינים.[18] אלדרווד התמקדה גם בחברות רבות אחרות במגזרי הספנות, האווירונאוטיקה, הנשק, האנרגיה, הייצור, ההנדסה, האלקטרוניקה, הפיננסים והתוכנה.[1][19] קבוצה של אנליסטים אנונימיים חשפה בהמשך את זהות מי שלדעתם עמדו מאחורי התקיפה בשם הקוד APT17.[20]

קבוצת אלדרווד התמחתה בתקיפה וחדירה לספקים מהשורה השנייה בתעשייה הביטחונית, כאלה שמייצרים רכיבים אלקטרוניים או מכניים עבור חברות ביטחוניות גדולות. חברות אלה הופכות לאחר מכן ל"קרש קפיצה" כדי לקבל גישה לקבלני ההגנה הגדולים. נוהל תקיפה אחד שבו משתמשת אלדרווד הוא להדביק אתרים לגיטימיים שעובדים של חברת היעד פוקדים אותם - מה שמכונה מתקפת "בור מים". Elderwood מדביקה את האתרים הפחות מאובטחים האלה בתוכנות זדוניות שיורדות למחשב שממנו מתבצעת כניסה לאתר. לאחר מכן, הקבוצה מחפשת בתוך הרשת שאליה מחובר המחשב הנגוע, מוצאת ומורידה הודעות דואר אלקטרוני ומסמכים קריטיים של מנהלים על תוכניות החברה, החלטות, רכישות ועיצובי מוצרים.[1]

ניתוח המתקפה

בפוסט בבלוג שלה, גוגל הצהירה שחלק מהקניין הרוחני שלה נגנב. הפוסט רמז כי התוקפים מעוניינים לגשת לחשבונות Gmail של מתנגדי משטר סינים. על פי הפייננשל טיימס, שני חשבונות ששימשו את איי וייוויי הותקפו, תוכנם נקרא והועתק. חשבונות הבנק שלו נחקרו על ידי סוכני ביטחון המדינה שטענו שהוא נחקר בגין "חשד לפשעים לא מוגדרים".[21] עם זאת, התוקפים הצליחו לצפות רק בפרטים של שני חשבונות ופרטים אלה הוגבלו למידע כמו שורת הנושא ותאריך יצירת החשבונות.[2]

מומחי אבטחה ציינו מיד את התחכום של המתקפה.[12] יומיים לאחר שהמתקפה התפרסמה, מקאפי דיווחה כי התוקפים ניצלו מתקפות אפס ימים לכאורה באינטרנט אקספלורר. שבוע לאחר הדיווח של מקאפי, מיקרוסופט פרסמה תיקון לבעיה,[22] והודתה שהם ידעו על ליקוי האבטחה בו נעשה שימוש מאז ספטמבר.[23] נקודות חולשה נוספות נמצאו ב-Perforce (אנ'), תוכנת גרסת קוד המקור המשמשת את גוגל לניהול קוד המקור שלה.[24][25]

מעבדות iDefense של Verisign (אנ') טענו כי המתקפות בוצעו על ידי "סוכנים של המדינה הסינית או שליחיה".[26]

על פי מברק דיפלומטי משגרירות ארצות הברית בבייג'ינג, מקור סיני דיווח כי הפוליטביורו הסיני ניהל את החדירה למערכות המחשב של גוגל. המברק רמז כי המתקפה הייתה חלק מקמפיין מתואם שבוצע על ידי "סוכני ממשל, מומחי ביטחון ציבורי ופורעי חוק באינטרנט שגויסו על ידי ממשלת סין". הדו"ח מצביע על כך שזה היה חלק מקמפיין מתמשך שבו תוקפים "פרצו למחשבי הממשל האמריקאי ולמחשבים של בעלות ברית מערביות, הדלאי לאמה ועסקים אמריקאים מאז 2002".[27] על פי הדיווח של הגרדיאן על ההדלפה, ההתקפות "תוכננו על ידי חבר בכיר בפוליטביורו שהקליד את שמו בגרסה הגלובלית של מנוע החיפוש ומצא מאמרים שמתחו עליו ביקורת אישית".[28]

ברגע שהמערכת של הקורבן נפגעה, חיבור דלת אחורית שהתחזה לחיבור SSL הפעיל בוטנט בשרתי פיקוד ובקרה שפעלו באילינוי, טקסס וטאיוואן, כולל מכונות שהשתמשו בחשבונות לקוחות גנובים של רקספייס. המחשב שנפגע החל לחקור את האינטראנט הארגוני המוגן שהוא חלק ממנו, תוך שהוא מחפש מערכות פגיעות אחרות, וכמו גם מקורות של קניין רוחני, במיוחד את התוכן של מאגרי קוד המקור.

ההערכה היא שהמתקפות הסתיימו סופית ב-4 בינואר כאשר שרתי הפיקוד והבקרה הושבתו, אם כי לא ידוע בשלב זה אם התוקפים השביתו אותם בכוונה או לא.[29] עם זאת, התקיפות עדיין התרחשו נכון לפברואר 2010.[3]

תגובות והשלכות

ממשלות גרמניה, אוסטרליה וצרפת פרסמו אזהרות פומביות למשתמשי אינטרנט אקספלורר לאחר המתקפה, וייעצו להם להשתמש בדפדפנים חלופיים לפחות עד לתיקון פרצת האבטחה.[30][31]

ב-14 בינואר 2010 אמרה מיקרוסופט כי תוקפים המכוונים לגוגל ולחברות אמריקאיות אחרות השתמשו בתוכנה המנצלת פגם באינטרנט אקספלורר. הפגיעות משפיעה על Internet Explorer בגרסאות 6, 7 ו-8 ב-Windows 7, Vista, Windows XP, Server 2003, Server 2008 R2 וכן ב-IE 6 Service Pack 1 ב-Windows 2000 Service Pack 4.[32]

קוד הניצול של Internet Explorer ששימש במתקפה שוחרר לנחלת הכלל, ושולב בתוכנית בדיקות החדירה של פרויקט Metasploit. עותק הועלה ל-Wepawet, שירות לאיתור וניתוח תוכנות זדוניות מבוססות אינטרנט המופעל על ידי קבוצת אבטחת המחשבים באוניברסיטת קליפורניה, סנטה ברברה. ג'ורג' קורץ ממקאפי הזהיר כי "השחרור הפומבי של קוד הניצול מגדיל את האפשרות להתקפות נרחבות באמצעות הפגיעות של אינטרנט אקספלורר. קוד המחשב הציבורי כעת עשוי לעזור לפושעי סייבר לתכנן התקפות המשתמשות בפגיעות כדי לסכן מערכות Windows".[33]

מיקרוסופט הודתה כי ליקוי האבטחה בו נעשה שימוש היה ידוע להם מאז ספטמבר.[23] העבודה על עדכון קיבלה עדיפות[34] וביום חמישי, 21 בינואר 2010, מיקרוסופט פרסמה תיקון אבטחה שנועד להתמודד עם החולשה, הפרצות שפורסמו המבוססות עליה ומספר נקודות חולשה אחרות שדווחו באופן פרטי.[35]

חוקרי אבטחה המשיכו לחקור את המתקפות. HBGary (אנ'), חברת אבטחה, פרסמה דו"ח שבו טענה שעובדיה מצאו כמה סמנים משמעותיים שעשויים לעזור לזהות את מפתח הקוד. החברה גם אמרה כי הקוד מבוסס על השפה הסינית, אך לא ניתן לשייך אותו ספציפית לשום ישות ממשלתית.[36]

ב-19 בפברואר 2010 טען מומחה אבטחה החוקר את מתקפת הסייבר על גוגל, כי האנשים שביצעו את המתקפה היו אחראים גם למתקפות הסייבר שבוצעו על מספר חברות Fortune 100 בשנה וחצי האחרונות. במסגרת מעקב אחרי מקורות המתקפה, נטען כי מדובר בשני בתי ספר סיניים, אוניברסיטת ג'יאו טונג שאנגחאי ובית הספר המקצועי לנשיאנג (אנ').[37] כפי שהודגש על ידי הניו יורק טיימס, לשני בתי הספר הללו יש קשרים עם מנוע החיפוש הסיני Baidu, יריב של גוגל סין.[38] שני המוסדות הכחישו את ההאשמה.[39][40]

רטרוספקטיבה של גוגל

ב-3 באוקטובר 2022, גוגל פרסמה ביוטיוב סדרה בת שישה פרקים העוסקת באירועים שהתרחשו במהלך מבצע אורורה, עם פרשנות ממקורבים שהתמודדו עם המתקפה, אם כי הדגש העיקרי של הסדרה היה להרגיע את הציבור המשתמש בגוגל כי קיימים אמצעים נגד ניסיונות פריצה.[41]

ראו גם

הערות שוליים

  1. ^ 1.0 1.1 1.2 "Stealing US business secrets: Experts ID two huge cyber 'gangs' in China". Christian Science Monitor. ISSN 0882-7729. נבדק ב-2025-08-10.
  2. ^ 2.0 2.1 2.2 2.3 Google, A new approach to China, Official Google Blog
  3. ^ 3.0 3.1 TechWeb, 'Aurora' Attacks Still Under Way, Investigators Closing In On Malware Creators - DarkReading, www.darkreading.com
  4. Adobe Investigates Corporate Network Security Issue (Adobe Featured Blogs), blogs.adobe.com
  5. 9 Years After: From Operation Aurora to Zero Trust, www.darkreading.com
  6. Benjamin Pimentel, Juniper Networks investigating cyber-attacks, MarketWatch, ‏2010-01-15
  7. Rackspace Response to Cyber Attacks | The Official Rackspace Blog, www.rackspace.com
  8. Hbgary email leak claims morgan stanley was hacked- The Inquirer, www.theinquirer.net
  9. רשת המחשבים של מורגן סטנלי נפרצה בהתקפת הסייבר הסינית שפגעה בגוגל לפני שנה, באתר TheMarker‏, 1 במרץ 2011
  10. ^ 10.0 10.1 Nakashima, Ariana Eunjung Cha and Ellen (2010-01-14). "Google China cyberattack part of vast espionage campaign, experts say". ISSN 0190-8286. נבדק ב-2025-08-10.
  11. Client Challenge, www.ft.com
  12. ^ 12.0 12.1 Operation “Aurora” Hit Google, Others by George Kurtz | Blog Central, blogs.mcafee.com
  13. Zetter, Kim (2010-03-03). "'Google' Hackers Had Ability to Alter Source Code | Threat Level | Wired.com". Threat Level. נבדק ב-2025-08-10.
  14. Statement on Google Operations in China, www.state.gov
  15. Congress to Investigate Google Charges Of Chinese Internet Spying | AHN, www.allheadlinenews.com
  16. Nast, Condé (2010-01-14). "China and Google: "Illegal Flower Tribute"". The New Yorker. נבדק ב-2025-08-10.
  17. Chinese govt seeks information on Google intentions, www.chinadaily.com.cn
  18. "Chinese hackers who breached Google gained access to sensitive data, U.S. officials say". The Washington Post. 2013-05-20. ISSN 0190-8286. נבדק ב-2025-08-10.
  19. Hackers Linked to China’s Army Seen From EU to D.C., בלומברג, ‏27.8.2012
  20. APT-doxing group exposes APT17 as Jinan bureau of China's Security Ministry, ZDNET
  21. Client Challenge, www.ft.com
  22. Microsoft Security Advisory (979352): Vulnerability in Internet Explorer Could Allow Remote Code Execution, www.microsoft.com
  23. ^ 23.0 23.1 Microsoft knew of IE zero-day flaw since last September, ZDNET
  24. Wayback Machine, www.wired.com
  25. Zetter, Kim (2010-03-03). "'Google' Hackers Had Ability to Alter Source Code | Threat Level | Wired.com". Threat Level. נבדק ב-2025-08-10.
  26. Ryan Paul, Researchers identify command servers behind Google attack, Ars Technica, ‏2010-01-14
  27. "Leaked Cables Offer Raw Look at U.S. Diplomacy (Published 2010)". 2010-11-28. נבדק ב-2025-08-10.
  28. Leigh, David (2010-11-28). "US embassy cables leak sparks global diplomatic crisis". The Guardian. ISSN 0261-3077. נבדק ב-2025-08-10.
  29. Zetter, Kim (2010-01-14). "Google Hack Attack Was Ultra Sophisticated, New Details Show | Threat Level | Wired.com". Threat Level. נבדק ב-2025-08-10.
  30. France, Germany warn against Internet Explorer, NZ Herald, ‏2010-01-14
  31. Fiona Govan, Germany warns against using Microsoft Internet Explorer, The Telegraph, ‏2010-01-18
  32. "New IE hole exploited in attacks on U.S. firms". CNET. נבדק ב-2025-08-10.
  33. Elsevier Ltd, The Boulevard, Langford Lane, Kidlington, Oxford, OX5 1GB, United Kingdom, Infosecurity (USA) - Internet Explorer zero-day code goes public, www.infosecurity-us.com
  34. Ryan Naraine, Microsoft readies emergency IE patch to counter public exploits, ZDNet.com
  35. Microsoft Security Bulletin MS10-002 - Critical: Cumulative Security Update for Internet Explorer (978207), www.microsoft.com
  36. Hunting Down the Aurora Creator | The New New Internet, www.thenewnewinternet.com
  37. "2 China Schools Said to Be Tied to Online Attacks (Published 2010)". 2010-02-19. נבדק ב-2025-08-10.
  38. "Google Aurora Attack Originated From Chinese Schools". IT Pro Portal. נבדק ב-2025-08-10.
  39. Areddy, James T. (2011-06-03). "Chefs Who Spy? Tracking Google's Hackers in China". Wall Street Journal. ISSN 0099-9660. נבדק ב-2025-08-10.
  40. Jiao Tong University, Jiao Tong University - 【Shanghai Daily】Cyber expert slams "spy" report, en.sjtu.edu.cn
  41. HACKING GOOGLE Series, YouTube
הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

מבצע אורורה41623794Q1063139

אוחזר מתוך "https://www.hamichlol.org.il/w/index.php?title=מבצע_אורורה&oldid=3413852"