오로라 작전

Operation Aurora
오로라 제너레이터 테스트와 혼동하지 마십시오.
오로라 작전
날짜.2009년 6월~12월
위치
특정되지 않음 – 전 세계적으로 발생.
결과미국과 중국의 외교 사건
교전국

미국

중국
사상자 및 손실
Google 지적 재산[1] 도난

오로라 작전은 중국 베이징에 본부를 둔 엘더우드 그룹 등 중국 인민해방군[2]연계된 일련의 지속적인 위협에 의한 사이버 공격이었다.2010년 1월 12일 구글에 의해 블로그 [1]투고에서 처음 공개된 이 공격은 2009년 중반부터 시작되어 [3]2009년 12월까지 계속되었다.

공격은 Adobe Systems,[4] Akamai Technologies,[5] Juniper Networks,[6] Rackspace[7] 등 수십 개의 다른 조직을 대상으로 한 것으로, 그 중 몇 개의 조직이 공격 대상이 되고 있는 것을 공식적으로 확인했습니다.언론 보도에 따르면, 야후, 시만텍, 노스롭 그루먼, [8]모건 스탠리, 다우[9] 케미칼 등도 공격 대상에 포함됐다.

구글은 이번 공격의 결과로 중국에서 완전 검열되지 않은 버전의 검색엔진을 법에 따라 운영할 계획이라고 밝히고 이것이 불가능할 경우 중국을 떠나 중국 [1]사무실을 폐쇄할 수도 있음을 인정했다.중국 공식 소식통들은 이것이 미국 [10]정부가 개발한 전략의 일부라고 주장했다.

이번 공격은 사이버 보안 회사인 McAfee의 드미트리 알페로비치 위협 연구소 부사장에 의해 "오로라 작전"으로 명명되었다.McAfee Labs의 조사 결과 "Aurora"는 McAfee가 공격과 관련된 멀웨어 이진 파일 중 두 개에 포함된 공격자 시스템의 파일 경로의 일부인 것으로 밝혀졌습니다.McAfee 최고기술책임자(CTO)인 조지 커츠는 블로그 [11]게시물에서 "이 이름은 공격자가 이 작업에 붙인 내부 이름이라고 생각합니다."라고 말했습니다.

McAfee에 따르면 이번 공격의 주요 목표는 이러한 첨단 기술, 보안 및 방위 계약 업체의 소스 코드 저장소에 액세스하여 잠재적으로 수정하는 것이었습니다.Alperovitch는 "SCM은 매우 개방적이었다"고 말한다."아무도 보안 보호에 대해 생각해 본 적이 없지만, 이러한 데이터들은 여러 가지 면에서 이들 기업의 가장 중요한 보석이었습니다. 보호하는데 [12]많은 시간과 노력을 들일 수 있는 재무 데이터나 개인 식별 가능한 데이터보다 훨씬 더 가치가 있습니다."

역사

구글 차이나가 출국할 수도 있다는 발표 후 본사 에 남겨진 꽃들

2010년 1월 12일, 구글은 블로그에서 자신들이 사이버 공격의 희생자라고 밝혔다.이 회사는 이번 공격이 12월 중순에 발생했으며 중국에서 발생했다고 밝혔다.구글은 20개 이상의 다른 회사들이 공격을 당했다고 밝혔다; 다른 소식통들은 34개 이상의 조직들이 [9]공격 대상이 되었다고 언급했다.이 공격의 결과로, 구글은 [1]중국에서의 사업을 검토하고 있다고 말했다.힐러리 클린턴 미 국무장관이날 성명을 내고 이번 테러를 규탄하고 중국의 [13]대응을 요청했다.

2010년 1월 13일, 뉴스 통신사인 All Headline News는 미국 의회가 인권 운동가들을 [14]염탐하기 위해 구글의 서비스를 이용했다는 구글의 주장을 조사할 계획이라고 보도했다.

베이징에서는 방문자들이 구글 사무실 밖에 꽃을 두고 왔다.그러나 나중에 중국 보안요원이 "불법적인 헌화"[15]라고 말함으로써 이것들은 제거되었다.익명의 한 관리는 중국이 구글의 [16]의도에 대해 더 많은 정보를 찾고 있다고 밝혔지만 중국 정부는 아직 공식적인 답변을 내놓지 않았다.

관련된 공격자

IP 주소, 도메인 이름, 멀웨어 서명 및 기타 요소를 포함한 기술적 증거로 볼 때 Elderwood가 Aurora 작전의 배후임을 알 수 있습니다."Elderwood" 그룹은 Symantec(공격자가 사용하는 소스 코드 변수)에 의해 명명되었으며, Dell Secureworks에서는 "Beiging Group"이라고 부릅니다.이 단체는 구글의 소스코드 일부와 중국 [17]활동가들에 대한 정보를 입수했다.또한 Elderwood는 해운, 항공, 무기, 에너지, 제조, 엔지니어링, 전자, 금융 및 소프트웨어 [2][18]분야의 수많은 다른 회사들을 대상으로 했습니다.

구글 공격에 책임이 있는 중국의 위협 행위자들을 지칭하는 APT는 APT17이다.[19]

엘더우드는 상위 방산업체의 전자부품 또는 기계부품을 만드는 2차 방산업체를 공격하고 침투시키는 것을 전문으로 하고 있다.그 후 이들 기업은 사이버상의 "디딤돌"이 되어 최고 수준의 방위사업자와 접촉할 수 있게 됩니다.엘더우드가 사용하는 공격 절차 중 하나는 대상 회사의 직원들이 자주 방문하는 합법적인 웹사이트를 감염시키는 것입니다. 이른바 "물구멍" 공격입니다. 이는 사자가 먹이를 위해 물웅덩이를 잠그는 것과 같습니다.Elderwood는 보안 수준이 낮은 이러한 사이트를 클릭하는 컴퓨터에 다운로드되는 멀웨어에 감염시킵니다.그 후, 그룹은 감염된 컴퓨터가 접속되어 있는 네트워크 내부를 검색해, 기업의 계획, 의사결정, 인수,[2] 제품 설계에 관한 경영진의 이메일이나 중요한 문서를 찾아내 다운로드한다.

공격 분석

구글은 블로그에 올린 글에서 지적 재산 중 일부를 도난당했다고 밝혔다.그것은 공격자들이 중국 반체제 인사들의 Gmail 계정에 접속하는 데 관심이 있다고 시사했다.파이낸셜타임스따르면 아이웨이웨이가 사용한 두 개의 계정이 공격을 받아 내용을 읽고 복사했으며, 그의 은행 계좌는 "특정되지 않은 범죄"[20]로 수사 중이라고 주장하는 주 보안 요원에 의해 조사되었다.그러나 공격자는 두 개의 계정에서만 세부 정보를 볼 수 있었고 이러한 세부 정보는 제목 줄과 계정 생성 날짜 [1]등의 항목으로 제한되었습니다.

보안 전문가들은 즉각 공격의 [11]정교함을 지적했다.공격이 공개된 지 이틀 후 McAfee는 공격자가 Internet Explorer의 제로 데이 취약점(고정되지 않고 이전에는 대상 시스템 개발자가 알지 못했던 것)을 이용하여 공격을 "Operation Aurora"라고 불렀다고 보고했습니다.McAfee의 보고서 1주일 후, 마이크로소프트[21]이 문제에 대한 수정을 발표했고,[22] 9월부터 사용된 보안 취약점에 대해 알고 있었다고 인정했다.Google이 소스 [23][24]코드를 관리하기 위해 사용하는 소스 코드 수정 소프트웨어인 Perforce에서 추가적인 취약성이 발견되었습니다.

베리 사인의 iDefense Labs 이번 공격이"중국 국가 또는 프록시의 대리인에"에 의해 저질러 지었다고 주장했다.[25]

미국 대사관 베이징의 외교적 케이블에 따르면 중국 소식통은 중국 공산당 구글의 컴퓨터 시스템에 침입했다고 보도했다.그 케이블은 공동 캠페인 정부, 공공 보안 전문가와 인터넷 무법자들은 중국 정부에 의해 채용 operatives"에 의한 사형 집행의 그 공격이 부분을 제안했다."[26]그 보고서에는 공격자는 미국 정부 컴퓨터와 그 서구 동맹국의, 달라이 라마는 미국의 기업은 2002년 이후에 나온 진행 중인 캠페인의 일부분이라고 제안했다."[27]그 누출에 가디언의 보도에 따르면 공격이 공산당 정치국은 검색 엔진의 글로벌 버전에 개인적으로 그를 비판하고 있는 기사들을 발견 자신의 이름을 삽입했다의 간부에 의해 주도되었다."[28]

일단 피해자의 시스템은 위태로웠다, SSL연결로 변장했다 비밀 연결 도난 당한 Rackspace 고객 계정 밑에 달리고 있는 기계 등 제어 명령 서버 일리노이 주, 텍사스 및 대만에서 뛰어놀고에 대한 연결을 만들었다.피해자의 기곈 다음 보호된 기업 인트라 넷을 탐험하는 것이 부분, 다른 취약한 계통들 뿐만 아니라 지적 재산권의 출처, 소스 코드 보고 구체적으로 콘텐츠를 찾기 시작했다.

여부 가해자들이 의도적으로 폐쇄 조치로 비록 이 지점에서 알려지지 않는 공격 때, 명령 제어 서버가 취해 진 명확하게 1월 4일 끝난 것으로 여겨졌다.[29]그러나 공격이 여전히 2월 2010년을 기준으로 일어나고 있었다.[3]

대응 및 후폭풍

그, 호주, 독일과 프랑스 정부 공개적으로 InternetExplorer의 사용자에게 그 공격이 있은 후까지 안전 구멍을 고쳐 만들어졌다 적어도 우리 아이들을 대체 브라우저를 사용하라고 권고하고 경보를 발령하다.[30][31일][32]그, 호주, 독일과 프랑스 정부들이 인터넷 익스플로러의 모든 버전이나 잠재적으로 취약한 취약하게 고려했다.[33][34]

마이크로소프트는 2010년 1월 14일 권고를 통해 구글과 다른 미국 회사들을 겨냥한 공격자들이 인터넷 익스플로러의 구멍을 이용하는 소프트웨어를 사용했다고 말했다.이 취약성은 Windows 7, Vista, Windows XP, Server 2003, Server 2008 R2 및 Windows 2000 Service Pack [35]4의 IE 6 Service Pack 1의 Internet Explorer 버전 6, 7, 및 8에 영향을 미칩니다.

공격에 사용된 Internet Explorer 부정 이용 코드는 퍼블릭도메인에 공개되어 Metasploit Framework 침입 테스트툴에 포함되어 있습니다.이 공격의 복사본은 캘리포니아 대학 샌타바바라 컴퓨터 보안 그룹이 운영하는 웹 기반 악성 프로그램을 탐지하고 분석하는 서비스인 Wepawet에 업로드되었습니다.McAfee의 George Kurtz CTO는 "공격 코드 공개는 Internet Explorer의 취약성을 이용한 광범위한 공격의 가능성을 높인다"고 말했다."현재 공개된 컴퓨터 코드는 사이버 범죄자들이 이 취약성을 이용하여 윈도 [36]시스템을 손상시키는 공격을 계획하는 데 도움이 될 수 있습니다."

보안업체 웹센스는 악성 웹사이트에 [37]침입한 사용자들에 대한 드라이브 바이 공격에서 패치되지 않은 IE의 취약점을 "제한적인 공공 용도"로 확인했다고 밝혔다.Websense에 따르면, 그것이 발견한 공격 코드는 지난 [clarification needed]주에 공개된 공격 코드와 같다.McAfee의 최고기술책임자(CTO)인 조지 커츠는 블로그 [38]업데이트에서 "현재 Internet Explorer 사용자들은 취약성의 공개와 공격 코드의 공개로 인해 현실적이고 현재의 위험에 직면해 있으며, 이로 인해 광범위한 공격의 가능성이 높아지고 있다"고 말했다.이러한 추측을 확인한 Websense Security Labs는 1월 [39]19일 이 취약성을 이용한 추가 사이트를 식별했다.안철수연구소의 보도에 따르면, 두 번째 URL은 한국의 [39]인기 IM 클라이언트인 인스턴트 메신저 네트워크인 Misslee Messenger를 통해 퍼졌다.

연구진은 Microsoft의 권장 방어 수단(DEP)이 켜져 [dubious discuss]있는 경우에도 Internet Explorer 7(IE7) 및 IE8의 취약성을 악용하는 공격 코드를 작성했습니다.보안 취약성 조사원인 Dino Dai Zovi에 따르면, "최신 IE8이 Windows XP Service Pack 2(SP2) 이전 버전 또는 2007년 [40]1월에 출하된 Microsoft 버전인 Windows Vista RTM(Release to Manufacturing) 상에서 실행되고 있다면 공격으로부터 안전하지 않습니다."

마이크로소프트는 사용된 [22]보안 취약점이 9월부터 그들에게 알려졌다고 인정했다.업데이트 작업이 우선시되어[41] 2010년 1월 21일 목요일 Microsoft는 이 취약점, 이를 기반으로 게시된 악용 및 기타 다수의 비공개 보고된 [42]취약성에 대응하기 위한 보안 패치를 발표했습니다.이들은 후자의 어떤 것이 악용자에 의해 사용되거나 게시되었는지, 또는 이것들이 Aurora 운영과 특별한 관련이 있는지 여부에 대해서는 언급하지 않았지만, 전체 누적 업데이트는 Windows 7을 포함한 대부분의 Windows 버전에서 중요한 것으로 간주되었습니다.

보안 연구원들은 계속해서 그 공격들을 조사했다.보안 회사인 HBGary는 코드 개발자를 식별하는 데 도움이 될 수 있는 몇 가지 중요한 마커를 발견했다고 주장하는 보고서를 발표했습니다.이 회사는 또한 이 코드가 중국어에 기반을 두고 있지만 구체적으로 어떤 정부 [43]기관과도 관련이 없다고 말했다.

2010년 2월 19일, 구글에 대한 사이버 공격을 조사하는 보안 전문가는 이 공격의 배후에 있는 사람들이 지난 1년 반 동안 Fortune 100대 기업에 대한 사이버 공격에 책임이 있다고 주장했다.그들은 또한 상하이 자오퉁 대학란샹 직업학교 [44]두 곳의 중국 학교인 것으로 보이는 공격의 원점을 추적했다.뉴욕타임스(NYT)가 소개한 것처럼 두 학교는 구글 [45]차이나의 라이벌인 중국 검색엔진 바이두와 인연을 맺고 있다.란샹 직업대학과 자오퉁 대학 모두 이 [46][47]혐의를 부인했다.

2010년 3월, Google의 공격 조사를 서포트하고 있던 Symantec은, Saoxing이,[48] 전 세계에 송신된 악의 있는 전자 메일의 21.3%(120억건)의 발신기지라고 특정했습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c d e "A new approach to China". Google Inc. 2010-01-12. Retrieved 17 January 2010.
  2. ^ a b c Clayton, Mark (14 September 2012). "Stealing US business secrets: Experts ID two huge cyber 'gangs' in China". Christian Science Monitor. Retrieved 24 February 2013.
  3. ^ a b "'Aurora' Attacks Still Under Way, Investigators Closing In On Malware Creators". Dark Reading. DarkReading.com. 2010-02-10. Retrieved 2010-02-13.
  4. ^ "Adobe Investigates Corporate Network Security Issue". 2010-01-12. Archived from the original on 2010-01-14.
  5. ^ "9 Years After: From Operation Aurora to Zero Trust". Dark Reading. DarkReading.com. 2019-02-20. Retrieved 2020-05-09.
  6. ^ "Juniper Networks investigating cyber-attacks". MarketWatch. 2010-01-15. Retrieved 17 January 2010.
  7. ^ "Rackspace Response to Cyber Attacks". Archived from the original on 18 January 2010. Retrieved 17 January 2010.
  8. ^ "HBGary email leak claims Morgan Stanley was hacked". Archived from the original on March 3, 2011. Retrieved 2 Mar 2010.{{cite web}}: CS1 유지보수: 부적합한 URL(링크)
  9. ^ a b Cha, Ariana Eunjung; Ellen Nakashima (2010-01-14). "Google China cyberattack part of vast espionage campaign, experts say". The Washington Post. Retrieved 17 January 2010.
  10. ^ Hille, Kathrine (2010-01-20). "Chinese media hit at 'White House's Google'". Financial Times. Retrieved 20 January 2010.
  11. ^ a b Kurtz, George (2010-01-14). "Operation "Aurora" Hit Google, Others". McAfee, Inc. Archived from the original on 11 September 2012. Retrieved 17 January 2010.
  12. ^ Zetter, Kim (2010-03-03). "'Google' Hackers Had Ability to Alter Source Code". Wired. Retrieved 4 March 2010.
  13. ^ Clinton, Hillary (2010-01-12). "Statement on Google Operations in China". US Department of State. Archived from the original on 2010-01-16. Retrieved 17 January 2010.
  14. ^ "Congress to Investigate Google Charges Of Chinese Internet Spying". All Headline News. 13 January 2010. Archived from the original on 28 March 2010. Retrieved 13 January 2010.
  15. ^ Osnos, Evan (14 January 2010). "China and Google: "Illegal Flower Tribute"". The New Yorker. Retrieved 10 November 2020.
  16. ^ "Chinese govt seeks information on Google intentions". China Daily. Xinhua. 2010-01-13. Retrieved 18 January 2010.
  17. ^ Nakashima, Ellen. "Chinese hackers who breached Google gained access to sensitive data, U.S. officials say". WashingtonPost. Retrieved 5 December 2015.
  18. ^ Riley, Michael; Dune Lawrence (26 July 2012). "Hackers Linked to China's Army Seen From EU to D.C." Bloomberg. Retrieved 24 February 2013.
  19. ^ Gertz, Bill (31 October 2014). "New Chinese Intelligence Unit Linked to Massive Cyber Spying Program". Washington Free Beacon. Retrieved 5 November 2019.
  20. ^ Anderlini, Jamil (January 15, 2010). "The Chinese dissident's 'unknown visitors'". Financial Times.
  21. ^ "Microsoft Security Advisory (979352)". Microsoft. 2010-01-21. Retrieved 26 January 2010.
  22. ^ a b 나레인, 라이언Microsoft는 2010년 1월 21일 ZDNet, 작년 9월부터 IE 제로 데이 결함을 알게 되었습니다.2010년 1월 28일 취득.
  23. ^ "Protecting Your Critical Assets, Lessons Learned from "Operation Aurora", By McAfee Labs and McAfee Foundstone Professional Services" (PDF). wired.com.
  24. ^ Zetter, Kim. "'Google' Hackers Had Ability to Alter Source Code". Wired. Retrieved 27 July 2016.
  25. ^ Paul, Ryan (2010-01-14). "Researchers identify command servers behind Google attack". Ars Technica. Retrieved 17 January 2010.
  26. ^ Shane, Scott; Lehren, Andrew W. (28 November 2010). "Cables Obtained by WikiLeaks Shine Light Into Secret Diplomatic Channels". The New York Times. Retrieved 28 November 2010.
  27. ^ Scott Shane and Andrew W. Lehren (November 28, 2010). "Leaked Cables Offer Raw Look at U.S. Diplomacy". The New York Times. Retrieved 2010-12-26. The Google hacking was part of a coordinated campaign of computer sabotage carried out by government operatives, private security experts and Internet outlaws recruited by the Chinese government. They have broken into American government computers and those of Western allies, the Dalai Lama and American businesses since 2002, ...
  28. ^ 미국 대사관 케이블 유출로 글로벌 외교 위기 촉발 2010년 11월 28일
  29. ^ Zetter, Kim (2010-01-14). "Google Hack Attack Was Ultra Sophisticated, New Details Show". Wired. Retrieved 23 January 2010.
  30. ^ One News (19 January 2010). "France, Germany warn Internet Explorer users". TVNZ. Retrieved 22 January 2010.
  31. ^ Relax News (18 January 2010). "Why you should change your internet browser and how to choose the best one for you". The Independent. London. Archived from the original on January 21, 2010. Retrieved 22 January 2010.
  32. ^ "Govt issues IE security warning". ABC (Australia). 19 January 2010. Retrieved 27 July 2016.
  33. ^ NZ Herald Staff (19 January 2010). "France, Germany warn against Internet Explorer". The New Zealand Herald. Retrieved 22 January 2010.
  34. ^ Govan, Fiona (18 January 2010). "Germany warns against using Microsoft Internet Explorer". The Daily Telegraph. London. Retrieved 22 January 2010.
  35. ^ Mills, Elinor (14 January 2010). "New IE hole exploited in attacks on U.S. firms". CNET. Archived from the original on 24 December 2013. Retrieved 22 January 2010.
  36. ^ "Internet Explorer zero-day code goes public". Infosecurity. 18 January 2010. Retrieved 22 January 2010.
  37. ^ "Security Labs – Security News and Views – Raytheon – Forcepoint". Retrieved 27 July 2016.
  38. ^ Keizer, Gregg (19 January 2010). "Hackers wield newest IE exploit in drive-by attacks". Retrieved 27 July 2016.
  39. ^ a b "Security Labs – Security News and Views – Raytheon – Forcepoint". Retrieved 27 July 2016.
  40. ^ Keizer, Gregg (19 January 2010). "Researchers up ante, create exploits for IE7, IE8". Computerworld. Retrieved 22 January 2010.
  41. ^ "Security – ZDNet". Retrieved 27 July 2016.
  42. ^ "Microsoft Security Bulletin MS10-002 – Critical". Microsoft. Retrieved 27 July 2016.
  43. ^ "Hunting Down the Aurora Creator". TheNewNewInternet. 13 February 2010. Retrieved 13 February 2010.(데드링크)
  44. ^ Markoff, John; Barboza, David (18 February 2010). "2 China Schools Said to Be Tied to Online Attacks". New York Times. Retrieved 26 March 2010.
  45. ^ "Google Aurora Attack Originated From Chinese Schools". itproportal. 19 February 2010. Retrieved 19 February 2010.
  46. ^ Areddy, James T. (4 June 2011). "Chefs Who Spy? Tracking Google's Hackers in China". Wall Street Journal – via www.wsj.com.
  47. ^ University, Jiao Tong. "Jiao Tong University - 【Shanghai Daily】Cyber expert slams "spy" report". en.sjtu.edu.cn. Archived from the original on 2019-11-29. Retrieved 2013-06-26.
  48. ^ Sheridan, Michael, "Chinese City is World's Hacker Hub", London Sunday Times, 2010년 3월 28일

외부 링크