Operation Aurora

Operation Aurora was een cyberaanval op meer dan 30 organisaties binnen verschillende sectors waaronder Google en Adobe.^[1] Deze aanvallen werden publiekelijk bekendgemaakt door Google op 12 januari 2010 in een blogpost. Google werd midden december slachtoffer van diefstal van intellectuele eigendom door een zeer geavanceerde en doelgerichte aanval vanuit China.^[2]^[3] Minuten nadat Google de cyberaanval verkondigde, erkende Adobe in een blogpost dat ze op 2 januari 2010 ontdekte dat ze ook doelwit waren van zo'n aanval. Noch Google, noch Adobe gaf meer informatie omtrent deze hacks.^[1]

Bloemen aan Google China's hoofdkwartier na de beslissing om China te verlaten

Dmitri Alperovitch, Vice President of Threat Research bij McAfee, noemde de aanval "Operation Aurora". De naam komt van een verwijzing binnen de malware naar een map genaamd "Aurora". Volgens McAfee-onderzoekers had de compiler van de hacker bij het compileren van zijn broncode naar een uitvoerbaar bestand de naam van zijn map waaruit hij werkte erin gecodeerd. McAfee meende dat de hackers deze benaming aan hun missie gaven.^[1]

Operation Aurora veranderde het risicolandschap van denial-of-serviceaanvallen en malware ontworpen om netwerken te beschadigen of uit te schakelen naar doelgerichte aanvallen ontwikkeld om te functioneren zonder onderbrekingen en onopgemerkt informatie te stelen.^[4] Deze cyberaanval werd de basis voor wat nu algemeen gekend is als Advanced Persistent Threat (APT).^[5]

Geschiedenis bewerken

In 2009 werden Google, Adobe en 34 andere bedrijven het slachtoffer van een cyberaanval genaamd "Operation Aurora". De aanvallen begonnen rond 15 december. De groep hackers maakte gebruik van het Hydraq Trojan tijdens deze aanval.^[2]^[6] Alperovitch zegt dat de aanvallen zijn gestopt op 4 januari 2010. Google verkondigde dat ze midden december hadden ontdekt dat ze waren gehackt. Adobe maakte het bekend dat zij het hadden ontdekt op 2 januari 2010.^[2] Als gevolg van deze cyberaanval, herzag Google de haalbaarheid van hun bedrijfsvoering. Ze beslisten om hun zoekresultaten niet langer meer te censureren. Over de komende weken ging Google samen met de Chinese regering bespreken of het mogelijk zou zijn om een ongefilterde zoekmachine te laten werken binnen de wetgeving. De Chinezen waren teleurgesteld van de beslissing en gingen bloemen leggen aan het hoofdkwartier van Google. De bloemen werden weggenomen door security agenten, waaronder een van hen zei dat dit een "illegaal bloemen eerbetoon" (illegal flower tribute) was als ze geen vergunning hadden aangevraagd.^[2]

"De aanvallen stopten op 4 januari", zei Aperovitch. "Echter weten ze niet of de hackers zijn gestopt of dat een andere organisatie ze heeft kunnen stoppen."^[2]

Analyse van de aanval bewerken

Google ontdekte de zeer geavanceerde en doelgerichte cyberaanval half december 2009.^[2] Deze cyberaanval, afkomstig vanuit China, leidde tot diefstal van intellectuele eigendom. Tijdens het onderzoek ontdekte Google dat er meerdere bedrijven uit verschillende sectoren slachtoffer waren van de cyberaanval. Tijdens de cyberaanval op Google probeerden de hackers toegang te krijgen tot de Gmail-accounts van Chinese mensenrechtenactivisten, maar slechts twee accounts werden gehackt. De inhoud van de e-mails werd niet bekeken, ze konden alleen bij de accountinformatie komen.^[7]

Twee dagen na dat Google de aanval postte op hun blog, onthulde McAfee dat de hackers een zero-day attack uitvoerde op een beveiligingslek in Internet Explorer om toegang te krijgen tot Google en andere bedrijven.^[1] Op 21 januari 2010 gaf Microsoft toe dat ze al van september 2009 op de hoogte waren van deze fout binnen Internet Explorer. Door deze noodsituatie voerde Microsoft onmiddellijke de nodige IE-update uit om deze fout te herstellen.^[8] Wanneer de hackers toegang hadden tot de computers, verstuurden ze data door naar hun command-and-control servers in Illinois, Texas en Taiwan. In Texas, Verenigde Staten werd een server van Rackspace aangetast en gebruikt door de hackers.^[1]

iDefense maakte bekend dat de hackers het hadden gemunt op de opslagplaatsen van de broncode van vele organisaties. In de meeste gevallen hebben ze hun doel ook bereikt. De aanvallen werden verondersteld definitief geëindigd te zijn op 4 januari 2010. Volgens Alperovitch, weten ze echter niet of de hackers zijn gestopt of dat een andere organisatie ze heeft kunnen stoppen.^[1]

Doelwitten bewerken

Zo'n 15 minuten nadat Google bekendmaakte dat zij en nog 20 andere organisaties slachtoffer waren van een cyberaanval, erkende Adobe in een blogpost dat ze op 2 januari 2010 eveneens ontdekt hadden dat ze een doelwit waren. The Washington Post meldde de andere doelwitten: Yahoo!, Symantec, Northrop Grumman en Dow Chemical. Yahoo! en Symantec weigerden de bewering te bevestigen of te ontkennen. Yahoo woordvoerster zei: "Yahoo bekend zo'n informatie over het algemeen niet, maar we nemen veiligheid zeer serieus en we nemen de nodige maatregelen bij elke soort van inbreuk." Symantec verklaarde het volgende: "Als werelds grootste security provider, zijn we vaak het doelwit van cyberaanvallen. We onderzoeken deze aanvallen grondig, zoals we doen met alle dreiging, om ervoor te zorgen dat we de passende bescherming kunnen aanbieden aan onze klanten. Verder hebben we geen details." Ondertussen werd door verschillende bronnen gezegd dat Juniper Networks eveneens werd aangevallen.^[7]

Onderzoekers VeriSign iDefense zegt dat er zo'n 34 organisaties slachtoffer waren van deze cyberaanval, allemaal gelegen in Silicon Valley.^[7]

Daders bewerken

De dader(s) verantwoordelijk voor deze cyberaanvallen worden genaamd de Elderwood Gang. Symantec gebruikt deze naam om de groep en de aanvallen te beschrijven. 'Elderwood' is afkomstig van een stuk code dat door de hackers werd gebruikt. De aanvallen werden verondersteld definitief geëindigd te zijn op 4 januari 2010. Deze groep, Elderwood, is echter nooit non-actief geweest.^[9]

Volgens Symantec is Operation Aurora slechts een klein deel van een groter geheel, namelijk The Elderwood Project. The Elderwood Project is de naam gegeven door aan de cyberaanvallen van dezelfde groep die verantwoordelijk zijn voor Operation Aurora.^[9]

Zie ook bewerken

Externe links bewerken

(en) Symantec: Trojan.Hydraq
(en) YouTube: Operation Aurora explained

Bronnen, noten en/of referenties

↑ ^a ^b ^c ^d ^e ^f (en) Wired (2010) - Google hack attack was ultra sophisticated, new details show
↑ ^a ^b ^c ^d ^e ^f (en) Google Blog (2010) - A new approach to China
↑ (en) Shakarian, P., Shakarian, J., & Ruef, A. (2013) - Introduction to Cyber-Warfare: A Multidisciplinary Approach
↑ (en) Knapp, E. (2011) - Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Vontrol Systems
↑ (en) InformationWeek (2012) - Google Aurora Attackers Still On Loose, Symantec Says
↑ (en) Symantic (2012) - The Elderwood Project
↑ ^a ^b ^c (en) CNET (2010) - Behind the China attacks on Google (FAQ)
↑ (en) ZDNet (2010) - Microsoft knew of IE zero-day flaw since last September
↑ ^a ^b (en) Infosecurity Magazine (2012) - The Elderwood project – it started with Aurora, but continues today

[wired-1] ↑ ^a ^b ^c ^d ^e ^f (en) Wired (2010) - Google hack attack was ultra sophisticated, new details show

[gblog-2] ↑ ^a ^b ^c ^d ^e ^f (en) Google Blog (2010) - A new approach to China

[3] (en) Shakarian, P., Shakarian, J., & Ruef, A. (2013) - Introduction to Cyber-Warfare: A Multidisciplinary Approach

[4] (en) Knapp, E. (2011) - Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Vontrol Systems

[infoweek-5] (en) InformationWeek (2012) - Google Aurora Attackers Still On Loose, Symantec Says

[6] (en) Symantic (2012) - The Elderwood Project

[cnet-7] (en) CNET (2010) - Behind the China attacks on Google (FAQ)

[zdnet-8] (en) ZDNet (2010) - Microsoft knew of IE zero-day flaw since last September

[info-9] (en) Infosecurity Magazine (2012) - The Elderwood project – it started with Aurora, but continues today

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]