Nel gennaio 2010, Google ha rivelato di essere diventata vittima di un sofisticato attacco informatico originario della Cina. Gli aggressori hanno preso di mira la rete aziendale di Google, provocando il furto di proprietà intellettuale e l'accesso agli account Gmail di attivisti per i diritti umani. Oltre a Google, l'attacco ha preso di mira anche oltre 30 aziende nei settori fintech, media, Internet e chimico.

Questi attacchi sono stati condotti dal gruppo cinese Elderwood e successivamente definiti dagli esperti di sicurezza come Operazione Aurora. Allora, cosa è successo davvero? Come è stato effettuato? E quali furono le conseguenze dell'operazione Aurora?

Cos'è l'operazione Aurora?

L'operazione Aurora è stata una serie di attacchi informatici mirati contro dozzine di organizzazioni, tra cui Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace e Dow Chemicals, tra gli altri. Google ha condiviso per la prima volta i dettagli degli attacchi in un post sul blog in cui si affermava che si trattava di attacchi sponsorizzati dallo stato.

instagram viewer

Subito dopo l'annuncio di Google, più di altre 30 aziende hanno rivelato che lo stesso avversario aveva violato le loro reti aziendali.

Il nome degli attacchi deriva dai riferimenti nel malware a una cartella denominata "Aurora" trovata dai ricercatori MacAfee su uno dei computer utilizzati dagli aggressori.

Come è stato effettuato l'attacco?

Questa operazione di spionaggio informatico è stata avviata utilizzando il tecnica di spear-phishing. Inizialmente, gli utenti presi di mira hanno ricevuto un URL dannoso in un'e-mail o in un messaggio istantaneo che ha avviato una serie di eventi. Quando gli utenti facevano clic sull'URL, venivano portati su un sito Web che eseguiva altro codice JavaScript dannoso.

Il codice JavaScript sfruttava una vulnerabilità in Microsoft Internet Explorer che all'epoca era abbastanza sconosciuta. Tali vulnerabilità sono spesso definiti "exploit zero-day".

L'exploit zero-day ha consentito al malware di funzionare in Windows e di creare una backdoor per i criminali informatici prendere il controllo del sistema e rubare credenziali, proprietà intellettuale o qualsiasi altra cosa fossero cercando.

Qual era lo scopo dell'operazione Aurora?

L'operazione Aurora è stata un attacco altamente sofisticato e di successo. Ma le vere ragioni dietro l'attacco rimangono poco chiare. Quando Google ha rivelato la bomba Aurora, ha dichiarato i seguenti motivi e conseguenze:

  • Furto di proprietà intellettuale: Gli aggressori hanno preso di mira l'infrastruttura aziendale, provocando un furto di proprietà intellettuale.
  • Spionaggio informatico: Ha anche affermato che gli attacchi facevano parte di un'operazione di spionaggio informatico che ha cercato di infiltrarsi negli account Gmail di dissidenti cinesi e attivisti per i diritti umani.

Tuttavia, pochi anni dopo, un anziano direttore di Istituto Microsoft per la tecnologia avanzata ha affermato che gli attacchi avevano in realtà lo scopo di sondare il governo degli Stati Uniti, per verificare se avesse scoperto l'identità di agenti cinesi sotto copertura che svolgevano i loro compiti negli Stati Uniti.

Perché l'operazione Aurora ha ricevuto così tanta attenzione?

L'operazione Aurora è un attacco informatico ampiamente discusso a causa della natura degli attacchi. Ecco alcuni punti chiave che lo contraddistinguono:

  • Questa è stata una campagna altamente mirata in cui gli aggressori avevano informazioni approfondite sui loro obiettivi. Ciò potrebbe suggerire il coinvolgimento di un'organizzazione più ampia e persino di attori di stati nazione.
  • Gli incidenti informatici accadono continuamente, ma molte aziende non ne parlano. Per un'azienda sofisticata come Google, fare coming out e rivelarlo in pubblico è un grosso problema.
  • Molti esperti di sicurezza ritengono il governo cinese responsabile degli attacchi. Se le voci sono vere, allora hai una situazione in cui un governo sta attaccando entità aziendali in un modo mai esposto prima.

Le conseguenze dell'operazione Aurora

Quattro mesi dopo gli attacchi, Google ha deciso di chiudere le sue operazioni in Cina. Ha chiuso Google.com.cn e reindirizzato tutto il traffico a Google.com.hk, una versione di Google per Hong Kong, poiché Hong Kong mantiene leggi diverse sulla Cina continentale.

Google ha anche ristrutturato il suo approccio per mitigare le possibilità che tali incidenti si ripetano. Ha implementato il architettura zero-trust chiamato BeyondCorp, che si è rivelata una buona decisione.

Molte aziende forniscono inutilmente privilegi di accesso elevati, che consentono loro di apportare modifiche alla rete e operare senza restrizioni. Pertanto, se un utente malintenzionato trova un modo per accedere a un sistema con privilegi di amministratore, può facilmente abusare di tali privilegi.

Il modello zero-trust funziona su principi di accesso con privilegi minimi e nano-segmentazione. È un nuovo modo per stabilire la fiducia in cui gli utenti possono accedere solo a quelle parti di una rete di cui hanno veramente bisogno. Pertanto, se le credenziali di un utente vengono compromesse, gli aggressori possono accedere solo agli strumenti e alle applicazioni disponibili per quel particolare utente.

Successivamente, molte altre aziende hanno iniziato ad adottare il paradigma zero-trust regolamentando l'accesso a strumenti e applicazioni sensibili sulle proprie reti. L'obiettivo è verificare ogni utente e rendere difficile per gli aggressori causare danni diffusi.

Difesa contro l'operazione Aurora e attacchi simili

Gli attacchi dell'Operazione Aurora hanno rivelato che anche le organizzazioni con risorse significative come Google, Yahoo e Adobe possono ancora essere vittime. Se le grandi aziende IT con enormi finanziamenti possono essere violate, le aziende più piccole con meno risorse avranno difficoltà a difendersi da tali attacchi. Tuttavia, l'operazione Aurora ci ha anche insegnato alcune importanti lezioni che possono aiutarci a difenderci da attacchi simili.

Attenzione all'ingegneria sociale

Gli attacchi hanno evidenziato il rischio dell'elemento umano nella sicurezza informatica. Gli esseri umani sono i principali propagatori di attacchi e la natura di ingegneria sociale del fare clic su collegamenti sconosciuti non è cambiata.

Per assicurarsi che gli attacchi simili ad Aurora non si ripetano, le aziende devono tornare al nozioni di base sulla sicurezza delle informazioni. Devono istruire i dipendenti sulle pratiche di sicurezza informatica e su come interagiscono con la tecnologia.

La natura degli attacchi è diventata così sofisticata che anche un esperto professionista della sicurezza ha difficoltà a farlo distinguere un buon URL da uno dannoso.

Usa la crittografia

VPN, server proxy e più livelli di crittografia possono essere utilizzati per nascondere comunicazioni dannose su una rete.

Per rilevare e prevenire le comunicazioni dei computer compromessi, è necessario monitorare tutte le connessioni di rete, in particolare quelle che escono dalla rete aziendale. Identificare un'attività di rete anomala e monitorare il volume di dati in uscita da un PC può essere un buon modo per valutarne lo stato di salute.

Esegui la prevenzione dell'esecuzione dei dati

Un altro modo per ridurre al minimo le minacce alla sicurezza consiste nell'eseguire Data Execution Prevention (DEP) sul computer. DEP è una funzione di sicurezza che impedisce l'esecuzione di script non autorizzati nella memoria del computer.

Puoi abilitarlo andando su Sistema e sicurezza > Sistema > Impostazioni di sistema avanzate nel Pannello di controllo.

L'attivazione della funzione DEP renderà più difficile per gli aggressori eseguire attacchi simili ad Aurora.

Aurora e la via da seguire

Il mondo non è mai stato così esposto ai rischi degli attacchi sponsorizzati dallo stato come lo è ora. Poiché la maggior parte delle aziende ora si affida a una forza lavoro remota, mantenere la sicurezza è più difficile che mai.

Fortunatamente, le aziende stanno rapidamente adottando l'approccio di sicurezza zero-trust che funziona secondo il principio di non fidarsi di nessuno senza una verifica continua.

Sfatato: 6 miti sulla sicurezza Zero Trust

Il modello Zero Trust è un modo efficace per limitare le violazioni dei dati, ma ci sono troppe idee sbagliate sulla sua attuazione.

Leggi Avanti

CondividereTwittaE-mail
Argomenti correlati
  • Sicurezza
  • Sicurezza informatica
  • Guerra cibernetica
  • Google
  • Sicurezza in linea
Circa l'autore
Fawad Alì (30 articoli pubblicati)

Fawad è un ingegnere informatico e delle comunicazioni, aspirante imprenditore e scrittore. È entrato nell'arena della scrittura di contenuti nel 2017 e da allora ha lavorato con due agenzie di marketing digitale e numerosi clienti B2B e B2C. Scrive di sicurezza e tecnologia al MUO, con l'obiettivo di educare, intrattenere e coinvolgere il pubblico.

Altro da Fawad Ali

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti