In januari 2010 maakte Google bekend dat het het slachtoffer was geworden van een geavanceerde cyberaanval uit China. De aanvallers richtten zich op het bedrijfsnetwerk van Google, wat resulteerde in diefstal van intellectueel eigendom en toegang tot Gmail-accounts van mensenrechtenactivisten. Naast Google was de aanval ook gericht op meer dan 30 bedrijven in de fintech-, media-, internet- en chemiesector.

Deze aanvallen werden uitgevoerd door de Chinese Elderwood Group en later door beveiligingsexperts aangeduid als Operatie Aurora. Dus wat is er eigenlijk gebeurd? Hoe werd het uitgevoerd? En wat was de nasleep van Operatie Aurora?

Wat is operatie Aurora?

Operatie Aurora was een reeks gerichte cyberaanvallen tegen tientallen organisaties, waaronder Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace en Dow Chemicals. Google deelde voor het eerst details van de aanvallen in een blogpost waarin werd beweerd dat het door de staat gesponsorde aanvallen waren.

Kort na de aankondiging van Google onthulden meer dan 30 andere bedrijven dat dezelfde tegenstander hun bedrijfsnetwerken had gehackt.

instagram viewer

De naam van de aanvallen komt van verwijzingen in de malware naar een map met de naam "Aurora", gevonden door MacAfee-onderzoekers op een van de computers die door de aanvallers werden gebruikt.

Hoe werd de aanval uitgevoerd?

Deze cyberspionageoperatie is gestart met behulp van de spear-phishing-techniek. Aanvankelijk ontvingen de beoogde gebruikers een kwaadaardige URL in een e-mail of expresbericht dat een reeks gebeurtenissen in gang zette. Als de gebruikers op de URL klikten, werden ze naar een website geleid die nog meer kwaadaardige JavaScript-code uitvoerde.

De JavaScript-code maakte misbruik van een kwetsbaarheid in Microsoft Internet Explorer die op dat moment vrij onbekend was. Dergelijke kwetsbaarheden zijn: vaak "zero-day exploits" genoemd.

Dankzij de zero-day-exploit kon malware in Windows worden uitgevoerd en werd een achterdeur opgezet voor cybercriminelen de controle over het systeem overnemen en inloggegevens, intellectueel eigendom of wat dan ook stelen op zoek naar.

Wat was het doel van operatie Aurora?

Operatie Aurora was een zeer geavanceerde en succesvolle aanval. Maar de echte redenen achter de aanval blijven onduidelijk. Toen Google de Aurora-bom onthulde, vermeldde het de volgende redenen en gevolgen:

  • Diefstal van intellectueel eigendom: De aanvallers richtten zich op de bedrijfsinfrastructuur, wat resulteerde in diefstal van intellectueel eigendom.
  • Cyber ​​spionage: Het zei ook dat de aanvallen deel uitmaakten van een cyberspionage-operatie die probeerde Gmail-accounts van Chinese dissidenten en mensenrechtenactivisten te infiltreren.

Echter, een paar jaar later, een senior directeur van Microsoft's Institute for Advanced Technology verklaarde dat de aanvallen eigenlijk bedoeld waren om de Amerikaanse regering te onderzoeken, om te controleren of zij de identiteit had ontdekt van Chinese undercoveragenten die hun taken in de Verenigde Staten uitvoerden.

Waarom kreeg operatie Aurora zoveel aandacht?

Operatie Aurora is een veelbesproken cyberaanval vanwege de aard van de aanvallen. Hier zijn een paar belangrijke punten waardoor het opvalt:

  • Dit was een zeer gerichte campagne waarin de aanvallers grondige inlichtingen hadden over hun doelen. Dit zou kunnen duiden op de betrokkenheid van een grotere organisatie en zelfs op nationale actoren.
  • Cyberincidenten gebeuren de hele tijd, maar veel bedrijven praten er niet over. Voor een bedrijf dat zo geavanceerd is als Google, is het een groot probleem om naar buiten te komen en het in het openbaar bekend te maken.
  • Veel veiligheidsexperts houden de Chinese overheid verantwoordelijk voor de aanslagen. Als de geruchten waar zijn, dan heb je een situatie waarin een overheid bedrijfsentiteiten aanvalt op een manier die nog nooit eerder aan de kaak is gesteld.

De nasleep van operatie Aurora

Vier maanden na de aanslagen besloot Google zijn activiteiten in China stop te zetten. Het beëindigde Google.com.cn en leidde al het verkeer om naar Google.com.hk - een Google-versie voor Hong Kong, aangezien Hong Kong andere wetten hanteert dan het vasteland van China.

Google heeft ook zijn aanpak geherstructureerd om de kans te verkleinen dat dergelijke incidenten zich opnieuw voordoen. Het implementeerde de architectuur zonder vertrouwen genaamd BeyondCorp, wat een goede beslissing is gebleken.

Veel bedrijven bieden onnodig verhoogde toegangsrechten, waardoor ze wijzigingen in het netwerk kunnen aanbrengen en zonder beperkingen kunnen werken. Dus als een aanvaller een weg vindt naar een systeem met privileges op beheerdersniveau, kan hij die privileges gemakkelijk misbruiken.

Het zero-trust model werkt op de principes van toegang met minimale bevoegdheden en nano-segmentatie. Het is een nieuwe manier om vertrouwen te creëren waarbij gebruikers alleen toegang hebben tot die delen van een netwerk die ze echt nodig hebben. Dus als de inloggegevens van een gebruiker worden gecompromitteerd, hebben de aanvallers alleen toegang tot de tools en applicaties die beschikbaar zijn voor die specifieke gebruiker.

Later begonnen veel meer bedrijven het zero-trust-paradigma toe te passen door de toegang tot gevoelige tools en applicaties op hun netwerken te reguleren. Het doel is om elke gebruiker te verifiëren en het voor aanvallers moeilijk te maken om wijdverbreide schade aan te richten.

Verdedigen tegen operatie Aurora en soortgelijke aanvallen

De operatie Aurora-aanvallen onthulden dat zelfs organisaties met aanzienlijke middelen zoals Google, Yahoo en Adobe nog steeds het slachtoffer kunnen worden. Als grote IT-bedrijven met enorme financiële middelen kunnen worden gehackt, zullen kleinere bedrijven met minder middelen het moeilijk hebben om zich tegen dergelijke aanvallen te verdedigen. Operatie Aurora heeft ons echter ook enkele belangrijke lessen geleerd die ons kunnen helpen ons te verdedigen tegen soortgelijke aanvallen.

Pas op voor sociale engineering

De aanvallen benadrukten het risico van het menselijke element in cyberbeveiliging. Mensen zijn de belangrijkste verspreiders van aanvallen en het social engineering-karakter van het klikken op onbekende links is niet veranderd.

Om ervoor te zorgen dat Aurora-achtige aanvallen niet opnieuw gebeuren, moeten bedrijven terug naar de... basisprincipes van informatiebeveiliging. Ze moeten werknemers voorlichten over veilige cyberbeveiligingspraktijken en hoe ze omgaan met technologie.

De aard van de aanvallen is zo geavanceerd geworden dat zelfs een ervaren beveiligingsprofessional het moeilijk vindt om een goede URL onderscheiden van een kwaadaardige.

Versleuteling gebruiken

VPN's, proxyservers en meerdere versleutelingslagen kunnen worden gebruikt om kwaadaardige communicatie op een netwerk te verbergen.

Om de communicatie van gecompromitteerde computers te detecteren en te voorkomen, moeten alle netwerkverbindingen worden gecontroleerd, vooral die buiten het bedrijfsnetwerk. Het identificeren van abnormale netwerkactiviteit en het bewaken van de hoeveelheid gegevens die van een pc uitgaan, kan een goede manier zijn om de gezondheid ervan te evalueren.

Preventie van gegevensuitvoering uitvoeren

Een andere manier om beveiligingsrisico's tot een minimum te beperken, is door Preventie van gegevensuitvoering (DEP) op uw computer uit te voeren. DEP is een beveiligingsfunctie die voorkomt dat ongeautoriseerde scripts in uw computergeheugen worden uitgevoerd.

U kunt het inschakelen door naar Systeem en beveiliging > Systeem > Geavanceerde systeeminstellingen in het Configuratiescherm.

Door de DEP-functie in te schakelen, wordt het voor aanvallers moeilijker om Aurora-achtige aanvallen uit te voeren.

Aurora en de weg voorwaarts

De wereld is nog nooit zo blootgesteld geweest aan de risico's van door de staat gesteunde aanvallen als nu. Aangezien de meeste bedrijven nu afhankelijk zijn van een extern personeelsbestand, is het handhaven van de beveiliging moeilijker dan ooit.

Gelukkig passen bedrijven snel de zero-trust beveiligingsbenadering toe die werkt volgens het principe niemand te vertrouwen zonder continue verificatie.

Ontkracht: 6 mythes over beveiliging zonder vertrouwen

Het Zero Trust Model is een effectieve manier om datalekken te beperken, maar er zijn te veel misvattingen over de implementatie ervan.

Lees volgende

DelenTweetenE-mail
Gerelateerde onderwerpen
  • Beveiliging
  • Cyberbeveiliging
  • Cyber ​​oorlog
  • Google
  • Online beveiliging
Over de auteur
Fawad Ali (30 artikelen gepubliceerd)

Fawad is een IT- en communicatie-ingenieur, aspirant-ondernemer en schrijver. Hij betrad de arena van het schrijven van inhoud in 2017 en heeft sindsdien gewerkt met twee digitale marketingbureaus en tal van B2B- en B2C-klanten. Hij schrijft over beveiliging en technologie bij MUO, met als doel het publiek te onderwijzen, te entertainen en te betrekken.

Meer van Fawad Ali

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren