Mọi thứ bạn cần biết về hoạt động Aurora
Vào tháng 1 năm 2010, Google tiết lộ rằng họ đã trở thành nạn nhân của một cuộc tấn công mạng tinh vi bắt nguồn từ Trung Quốc. Những kẻ tấn công đã nhắm mục tiêu vào mạng công ty của Google, dẫn đến hành vi trộm cắp tài sản trí tuệ và quyền truy cập vào tài khoản Gmail của các nhà hoạt động nhân quyền. Ngoài Google, cuộc tấn công còn nhắm vào hơn 30 công ty trong lĩnh vực fintech, truyền thông, internet và hóa chất.
Các cuộc tấn công này được thực hiện bởi Tập đoàn Elderwood của Trung Quốc và sau đó được các chuyên gia bảo mật gọi là Chiến dịch Aurora. Vậy điều gì đã thực sự xảy ra? Nó đã được thực hiện như thế nào? Và hậu quả của Chiến dịch Aurora là gì?
Mục Lục
Chiến dịch Aurora là gì?
Chiến dịch Aurora là một loạt các cuộc tấn công mạng có chủ đích nhằm vào hàng chục tổ chức, bao gồm Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace và Dow Chemicals, cùng những tổ chức khác. Google lần đầu tiên chia sẻ thông tin chi tiết về các cuộc tấn công trong một bài đăng trên blog tuyên bố rằng đây là các cuộc tấn công do nhà nước bảo trợ.
Ngay sau thông báo của Google, hơn 30 công ty khác đã tiết lộ rằng đối thủ tương tự đã xâm phạm mạng công ty của họ.
Tên của các cuộc tấn công xuất phát từ các tham chiếu trong phần mềm độc hại đến một thư mục có tên “Aurora” được các nhà nghiên cứu MacAfee tìm thấy trên một trong những máy tính được những kẻ tấn công sử dụng.
Cuộc tấn công được tiến hành như thế nào?
.jpg?q=50&fit=crop&w=750&dpr=1.5)
Hoạt động gián điệp mạng này được bắt đầu bằng cách sử dụng kỹ thuật lừa đảo trực tuyến. Ban đầu, những người dùng được nhắm mục tiêu đã nhận được một URL độc hại trong một email hoặc tin nhắn tức thì bắt đầu một loạt sự kiện. Khi người dùng nhấp vào URL, nó sẽ đưa họ đến một trang web thực thi thêm mã JavaScript độc hại.
Mã JavaScript đã khai thác một lỗ hổng trong Microsoft Internet Explorer mà lúc đó khá chưa được biết đến. Những lỗ hổng như vậy thường được gọi là “khai thác zero-day.”
Khai thác zero-day cho phép phần mềm độc hại chạy trong Windows và thiết lập một cửa sau để tội phạm mạng kiểm soát hệ thống và lấy cắp thông tin đăng nhập, tài sản trí tuệ hoặc bất kỳ thứ gì khác mà chúng đang tìm kiếm.
Mục đích của Chiến dịch Aurora là gì?
Chiến dịch Aurora là một cuộc tấn công rất tinh vi và thành công. Nhưng lý do thực sự đằng sau vụ tấn công vẫn chưa rõ ràng. Khi Google tiết lộ vỏ bom Aurora, nó đã nêu những lý do và hậu quả sau:
- Trộm cắp tài sản trí tuệ: Những kẻ tấn công nhắm mục tiêu vào cơ sở hạ tầng của công ty, dẫn đến hành vi trộm cắp tài sản trí tuệ.
- Hoạt động gián điệp mạng: Nó cũng nói rằng các cuộc tấn công là một phần của hoạt động gián điệp mạng cố gắng xâm nhập vào tài khoản Gmail của các nhà bất đồng chính kiến và các nhà hoạt động nhân quyền Trung Quốc.
Tuy nhiên, một vài năm sau, một giám đốc cấp cao của Viện Công nghệ tiên tiến của Microsoft tuyên bố rằng các cuộc tấn công thực sự nhằm thăm dò chính phủ Hoa Kỳ, để kiểm tra xem liệu nó có phát hiện ra danh tính của các điệp viên bí mật của Trung Quốc thực hiện nhiệm vụ của họ ở Hoa Kỳ hay không.
Tại sao Chiến dịch Aurora lại được chú ý nhiều đến vậy?
Chiến dịch Aurora là một cuộc tấn công mạng được thảo luận rộng rãi vì bản chất của các cuộc tấn công. Dưới đây là một số điểm chính làm cho nó nổi bật:
- Đây là một chiến dịch có mục tiêu cao, trong đó những kẻ tấn công có thông tin tình báo kỹ lưỡng về các mục tiêu của chúng. Điều này có thể gợi ý đến sự tham gia của một tổ chức lớn hơn và thậm chí cả các tổ chức quốc gia – nhà nước.
- Các sự cố mạng xảy ra mọi lúc, nhưng nhiều công ty không nói về chúng. Đối với một công ty phức tạp như Google, việc công khai và tiết lộ nó trước công chúng là một vấn đề lớn.
- Nhiều chuyên gia bảo mật cho rằng chính phủ Trung Quốc phải chịu trách nhiệm về các vụ tấn công. Nếu những tin đồn là sự thật, thì bạn đã có một tình huống trong đó chính phủ đang tấn công các tổ chức doanh nghiệp theo cách chưa từng được tiết lộ trước đây.
Hậu quả của Chiến dịch Aurora
Bốn tháng sau các cuộc tấn công, Google đã quyết định đóng cửa các hoạt động của mình tại Trung Quốc. Nó đã kết thúc Google.com.cn và chuyển hướng tất cả lưu lượng truy cập đến Google.com.hk — một phiên bản Google dành cho Hồng Kông, vì Hồng Kông duy trì các luật khác nhau đối với Trung Quốc đại lục.
Google cũng đã cơ cấu lại cách tiếp cận của mình để giảm thiểu khả năng những sự cố như vậy xảy ra lần nữa. Nó đã triển khai cấu trúc không tin cậy có tên là BeyondCorp, đã được chứng minh là một quyết định đúng đắn.
Nhiều công ty cung cấp các đặc quyền truy cập nâng cao một cách không cần thiết, cho phép họ thực hiện các thay đổi đối với mạng và hoạt động mà không bị hạn chế. Vì vậy, nếu kẻ tấn công tìm thấy đường vào hệ thống có đặc quyền cấp quản trị viên, chúng có thể dễ dàng sử dụng sai các đặc quyền đó.
Mô hình không tin cậy hoạt động trên nguyên tắc truy cập đặc quyền ít nhất và phân đoạn nano. Đó là một cách mới để thiết lập lòng tin trong đó người dùng chỉ có thể truy cập vào những phần của mạng mà họ thực sự cần. Vì vậy, nếu thông tin đăng nhập của người dùng bị xâm phạm, những kẻ tấn công chỉ có thể truy cập các công cụ và ứng dụng có sẵn cho người dùng cụ thể đó.
Sau đó, nhiều công ty khác bắt đầu áp dụng mô hình zero-trust bằng cách điều chỉnh quyền truy cập vào các công cụ và ứng dụng nhạy cảm trên mạng của họ. Mục đích là để xác minh mọi người dùng và gây khó khăn cho những kẻ tấn công gây ra thiệt hại trên diện rộng.
Bảo vệ chống lại Chiến dịch Aurora và các cuộc tấn công tương tự
Các cuộc tấn công của Chiến dịch Aurora tiết lộ rằng ngay cả các tổ chức có nguồn lực quan trọng như Google, Yahoo và Adobe vẫn có thể trở thành nạn nhân. Nếu các công ty CNTT lớn với nguồn kinh phí khổng lồ có thể bị tấn công, thì các công ty nhỏ hơn với ít nguồn lực hơn sẽ gặp khó khăn trong việc phòng thủ trước các cuộc tấn công như vậy. Tuy nhiên, Chiến dịch Aurora cũng dạy chúng ta những bài học quan trọng nhất định có thể giúp chúng ta phòng thủ trước những cuộc tấn công tương tự.
Cẩn thận với Kỹ thuật xã hội
Các cuộc tấn công làm nổi bật nguy cơ của yếu tố con người trong an ninh mạng. Con người là kẻ truyền bá chính của các cuộc tấn công và bản chất kỹ thuật xã hội của việc nhấp vào các liên kết không xác định không thay đổi.
Để đảm bảo rằng các cuộc tấn công kiểu Aurora không xảy ra nữa, các công ty phải quay trở lại những điều cơ bản về bảo mật thông tin. Họ cần giáo dục nhân viên về các thực hành an ninh mạng an toàn và cách họ tương tác với công nghệ.
Bản chất của các cuộc tấn công đã trở nên tinh vi đến mức ngay cả một chuyên gia bảo mật dày dạn kinh nghiệm cũng khó phân biệt được URL tốt với URL độc hại.
Sử dụng mã hóa
VPN, máy chủ proxy và nhiều lớp mã hóa có thể được sử dụng để ẩn thông tin liên lạc độc hại trên mạng.
Để phát hiện và ngăn chặn liên lạc của các máy tính bị xâm nhập, tất cả các kết nối mạng phải được giám sát, đặc biệt là những kết nối ra bên ngoài mạng của công ty. Xác định hoạt động mạng bất thường và theo dõi khối lượng dữ liệu đi ra từ PC có thể là một cách tốt để đánh giá tình trạng của nó.
Chạy ngăn chặn thực thi dữ liệu
Một cách khác để giảm thiểu các mối đe dọa bảo mật là chạy Ngăn chặn Thực thi Dữ liệu (DEP) trên máy tính của bạn. DEP là một tính năng bảo mật ngăn chặn các tập lệnh trái phép chạy trong bộ nhớ máy tính của bạn.
Bạn có thể kích hoạt nó bằng cách vào Hệ thống và bảo mật> Hệ thống> Cài đặt hệ thống nâng cao trong Bảng điều khiển.
Việc bật tính năng DEP sẽ khiến những kẻ tấn công khó thực hiện các cuộc tấn công kiểu Aurora hơn.
Aurora and the Way Forward
Chưa bao giờ thế giới lại phải hứng chịu nhiều rủi ro của các cuộc tấn công do nhà nước bảo trợ như lúc này. Vì hầu hết các công ty hiện nay đều dựa vào lực lượng lao động từ xa, nên việc duy trì an ninh trở nên khó khăn hơn bao giờ hết.
May mắn thay, các công ty đang nhanh chóng áp dụng phương pháp bảo mật bằng không tin cậy hoạt động trên nguyên tắc không tin tưởng bất kỳ ai mà không cần xác minh liên tục.
Đọc tiếp
Thông tin về các Tác giả
