Operación Aurora

De FdIwiki ELP
Saltar a: navegación, buscar

La Operación Aurora fue una serie de ataques cibernéticos realizados por grupos de hackers persistentes como el Grupo Elderwood con sede en Beijing, China. Fue divulgado públicamente por Google el 12 de enero de 2010, donde lo hizo público en una publicación en su blog. Los ataques comenzaron a mediados de 2009 (en junio) y continuaron hasta diciembre de 2009. Ocurrió a escala mundial e incluso provocó un incidente diplomático entre Estados Unidos y China. Entre sus consecuencias, están el robo de propiedad intelectual de Google.

El ataque fue dirigido a docenas de otras organizaciones, entre las que se encuentran Adobe Systems, Juniper Networks y Rackspace, que confirmaron públicamente que fueron atacadas. Según los informes de los medios, Yahoo, Symantec, Northrop Grumman, Morgan Stanley y Dow Chemical también se encontraban entre los objetivos.

Como resultado del ataque, Google afirmó en su blog que planeaba operar una versión de su motor de búsqueda sin ningún tipo de censura en China y reconoció que si esto no es posible, podría abandonar China y cerrar sus oficinas en el pais asiático. Fuentes oficiales chinas afirmaron que esto era parte de una estrategia desarrollada por el gobierno de los Estados Unidos.

El ataque fue llamado "Operación Aurora" (Operation Aurora, en inglés) por Dmitri Alperovitch, Vicepresidente de Investigación de Amenazas de la compañía de seguridad cibernética McAfee. La investigación realizada por McAfee Labs descubrió que "Aurora" era parte de la ruta del archivo en la máquina del atacante que se incluyó en dos de los archivos binarios de malware que estaban asociados con el ataque. "Creemos que el nombre era el nombre interno que los atacantes le dieron a esta operación", dijo el director de tecnología de McAfee, George Kurtz, en una publicación de blog.

Según McAfee, el objetivo principal del ataque era obtener acceso y modificar potencialmente los repositorios de código fuente en estas compañías de alta tecnología, seguridad y defensa. "Los archivos de configuración de software estaban abiertos", dice Alperovitch. "Nadie pensó en asegurarlos, sin embargo, estas fueron las joyas de la corona de la mayoría de estas compañías en muchos aspectos, mucho más valiosas que cualquier información financiera o de identificación personal que puedan tener y que tanto tiempo y esfuerzo protegen".

Desarrollo del ataque

Entre los objetivos del ataque, se encontraba parte de la propiedad intelectual de Google, la cual fue robada, y el acceso a cuentas de Gmail de algunos disidentes chinos, de los cuales se pudo obtener la fecha de creación de sus cuentas y los asuntos de sus mensajes.

Los expertos en seguridad notaron inmediatamente la sofisticación del ataque. Dos días después de que el ataque se hiciera público, McAfee informó que los atacantes habían explotado supuestas vulnerabilidades en Internet Explorer. Una semana después del informe de McAfee, Microsoft emitió una solución para el problema, y admitió haber tenido conocimiento del agujero de seguridad utilizado desde septiembre. Se encontraron vulnerabilidades adicionales en Perforce, el software de revisión del código fuente utilizado por Google para administrar su código fuente.

Los Laboratorios iDefense de VeriSign afirmaron que los ataques fueron perpetrados por agentes del estado chino o representantes del mismo. Una fuente china sugirió que el ataque era parte de una campaña coordinada ejecutada por agentes del gobierno, expertos en seguridad pública y delincuentes de Internet reclutados por el gobierno chino.

Usando las vulnerabilidades, y una vez que el sistema de la víctima estaba en peligro, una conexión de puerta trasera que se hacía pasar por una conexión SSL realizó conexiones con servidores de comando y control que se ejecutaban en Illinois, Texas y Taiwán, incluidas las máquinas que se ejecutaban bajo cuentas de clientes robadas de Rackspace. Luego, la máquina de la víctima comenzó a explorar la intranet corporativa protegida de la que formaba parte, en busca de otros sistemas vulnerables, así como de fuentes de propiedad intelectual (específicamente, los contenidos de los repositorios de códigos fuente).

Se pensó que los ataques habían terminado definitivamente el 4 de enero cuando los servidores de comando y control fueron derribados, aunque en este momento no se sabe si los atacantes intencionalmente los cerraron o no. Sin embargo, los ataques seguían ocurriendo a partir de febrero de 2010.

Ver también

Referencias