Tudo o que você precisa saber sobre a Operação Aurora

Em janeiro de 2010, o Google divulgou que havia se tornado vítima de um sofisticado ataque cibernético originário da China. Os atacantes visaram a rede corporativa do Google, o que resultou em roubo de propriedade intelectual e acesso a contas do Gmail de ativistas de direitos humanos. Além do Google, o ataque também teve como alvo mais de 30 empresas nos setores de fintech, mídia, internet e química.

Esses ataques foram conduzidos pelo Chinese Elderwood Group e mais tarde denominados por especialistas em segurança como Operação Aurora. Então, o que realmente aconteceu? Como foi realizado? E quais foram as consequências da Operação Aurora?

O que é a Operação Aurora?

A Operação Aurora foi uma série de ataques cibernéticos direcionados contra dezenas de organizações, incluindo Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace e Dow Chemicals, entre outras. O Google primeiro compartilhou detalhes dos ataques em uma postagem no blog que afirmava que eram ataques patrocinados pelo Estado.

Logo após o anúncio do Google, mais de 30 outras empresas revelaram que o mesmo adversário havia violado suas redes corporativas.

O nome dos ataques vem de referências no malware a uma pasta chamada "Aurora" encontrada por pesquisadores da MacAfee em um dos computadores usados ​​pelos invasores.

Como foi realizado o ataque?

Esta operação de ciberespionagem foi iniciada usando o técnica de spear phishing. Inicialmente, os usuários visados ​​receberam uma URL maliciosa em um e-mail ou mensagem instantânea que iniciou uma série de eventos. À medida que os usuários clicassem no URL, ele os levaria a um site que executava mais código JavaScript malicioso.

O código JavaScript explorou uma vulnerabilidade no Microsoft Internet Explorer que era bastante desconhecida na época. Tais vulnerabilidades são muitas vezes chamados de "exploits zero-day".

A exploração de dia zero permitiu que o malware fosse executado no Windows e configurasse um backdoor para os cibercriminosos assumir o controle do sistema e roubar credenciais, propriedade intelectual ou o que quer que seja buscando.

Qual foi o objetivo da Operação Aurora?

A Operação Aurora foi um ataque altamente sofisticado e bem-sucedido. Mas as verdadeiras razões por trás do ataque permanecem obscuras. Quando o Google divulgou a bomba Aurora, declarou os seguintes motivos e consequências:

• Roubo de propriedade intelectual: Os invasores visaram a infraestrutura corporativa, o que resultou em roubo de propriedade intelectual.
• Espionagem cibernética: Ele também disse que os ataques faziam parte de uma operação de espionagem cibernética que tentou se infiltrar em contas do Gmail de dissidentes chineses e ativistas de direitos humanos.

No entanto, alguns anos depois, um diretor sênior da Instituto de Tecnologia Avançada da Microsoft afirmou que os ataques foram, na verdade, destinados a investigar o governo dos EUA, para verificar se ele havia descoberto a identidade de agentes chineses disfarçados desempenhando suas funções nos Estados Unidos.

Por que a Operação Aurora recebeu tanta atenção?

A Operação Aurora é um ataque cibernético amplamente discutido devido à natureza dos ataques. Aqui estão alguns pontos-chave que o destacam:

• Esta foi uma campanha altamente direcionada na qual os atacantes tinham informações completas sobre seus alvos. Isso pode sugerir o envolvimento de uma organização maior e até mesmo de atores do estado-nação.
• Incidentes cibernéticos acontecem o tempo todo, mas muitas empresas não falam sobre eles. Para uma empresa tão sofisticada quanto o Google, sair do armário e divulgá-lo em público é um grande negócio.
• Muitos especialistas em segurança responsabilizam o governo chinês pelos ataques. Se os rumores forem verdadeiros, então você tem uma situação em que um governo está atacando entidades corporativas de uma maneira nunca exposta antes.

As consequências da Operação Aurora

Quatro meses após os ataques, o Google decidiu encerrar suas operações na China. Ele encerrou o Google.com.cn e redirecionou todo o tráfego para o Google.com.hk – uma versão do Google para Hong Kong, já que Hong Kong mantém leis diferentes da China continental.

O Google também reestruturou sua abordagem para mitigar as chances de tais incidentes acontecerem novamente. Implementou o arquitetura de confiança zero chamado BeyondCorp, que provou ser uma boa decisão.

Muitas empresas fornecem desnecessariamente privilégios de acesso elevados, que lhes permitem fazer alterações na rede e operar sem restrições. Portanto, se um invasor encontrar uma maneira de entrar em um sistema com privilégios de nível de administrador, ele poderá usar facilmente esses privilégios.

O modelo de confiança zero funciona no Princípios de acesso com privilégios mínimos e nano-segmentação. É uma nova maneira de estabelecer confiança na qual os usuários podem acessar apenas as partes de uma rede que realmente precisam. Portanto, se as credenciais de um usuário forem comprometidas, os invasores poderão acessar apenas as ferramentas e aplicativos disponíveis para esse usuário específico.

Mais tarde, muitas outras empresas começaram a adotar o paradigma de confiança zero, regulando o acesso a ferramentas e aplicativos confidenciais em suas redes. O objetivo é verificar todos os usuários e dificultar que os invasores causem danos generalizados.

Defesa contra a Operação Aurora e ataques semelhantes

Os ataques da Operação Aurora revelaram que mesmo organizações com recursos significativos como Google, Yahoo e Adobe ainda podem ser vitimizadas. Se grandes empresas de TI com enorme financiamento puderem ser invadidas, empresas menores com menos recursos terão dificuldade em se defender contra esses ataques. No entanto, a Operação Aurora também nos ensinou algumas lições importantes que podem nos ajudar a nos defender contra ataques semelhantes.

Cuidado com a Engenharia Social

Os ataques destacaram o risco do elemento humano na segurança cibernética. Os humanos são os principais propagadores de ataques e a natureza da engenharia social de clicar em links desconhecidos não mudou.

Para garantir que ataques do tipo Aurora não aconteçam novamente, as empresas precisam voltar ao noções básicas de segurança da informação. Eles precisam educar os funcionários sobre práticas seguras de segurança cibernética e como eles interagem com a tecnologia.

A natureza dos ataques tornou-se tão sofisticada que até mesmo um profissional de segurança experiente acha difícil distinguir um bom URL de um malicioso.

Usar criptografia

VPNs, servidores proxy e várias camadas de criptografia podem ser usadas para ocultar comunicações maliciosas em uma rede.

Para detectar e impedir a comunicação de computadores comprometidos, todas as conexões de rede devem ser monitoradas, principalmente aquelas que saem da rede da empresa. Identificar atividades anormais de rede e monitorar o volume de dados que saem de um PC pode ser uma boa maneira de avaliar sua integridade.

Executar prevenção de execução de dados

Outra maneira de minimizar as ameaças à segurança é executando a Prevenção de Execução de Dados (DEP) em seu computador. DEP é um recurso de segurança que impede a execução de scripts não autorizados na memória do computador.

Você pode habilitá-lo acessando Sistema e segurança > Sistema > Configurações avançadas do sistema no Painel de Controle.

Ativar o recurso DEP tornará mais difícil para os invasores realizarem ataques semelhantes ao Aurora.

Aurora e o caminho a seguir

O mundo nunca esteve tão exposto aos riscos de ataques patrocinados pelo Estado como agora. Como a maioria das empresas agora depende de uma força de trabalho remota, manter a segurança é mais difícil do que nunca.

Felizmente, as empresas estão adotando rapidamente a abordagem de segurança de confiança zero que funciona com base no princípio de não confiar em ninguém sem verificação contínua.

Desmascarado: 6 mitos sobre a segurança Zero Trust

O Zero Trust Model é uma maneira eficaz de limitar violações de dados, mas há muitos equívocos sobre sua implementação.

Leia a seguir

Sobre o autor