Aurora Operasyonu Hakkında Bilmeniz Gereken Her Şey

Ocak 2010'da Google, Çin kaynaklı karmaşık bir siber saldırının kurbanı olduğunu açıkladı. Saldırganlar, Google'ın kurumsal ağını hedef aldı ve bunun sonucunda fikri mülkiyet hırsızlığı ve insan hakları aktivistlerinin Gmail hesaplarına erişim sağlandı. Saldırı Google'ın yanı sıra fintech, medya, internet ve kimya sektörlerindeki 30'dan fazla şirketi de hedef aldı.

Bu saldırılar Çin Elderwood Grubu tarafından gerçekleştirildi ve daha sonra güvenlik uzmanları tarafından Aurora Operasyonu olarak adlandırıldı. Peki gerçekte ne oldu? Nasıl gerçekleştirildi? Ve Aurora Operasyonunun ardından ne oldu?

Aurora Operasyonu Nedir?

Aurora Operasyonu, diğerleri arasında Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace ve Dow Chemicals dahil olmak üzere düzinelerce kuruluşa yönelik bir dizi hedefli siber saldırıydı. Google, saldırıların ayrıntılarını ilk olarak, bunların devlet destekli saldırılar olduğunu iddia eden bir blog gönderisinde paylaştı.

Google'ın duyurusundan kısa bir süre sonra, 30'dan fazla şirket, aynı düşmanın kurumsal ağlarını ihlal ettiğini açıkladı.

Saldırıların adı, kötü amaçlı yazılımdaki MacAfee araştırmacıları tarafından saldırganlar tarafından kullanılan bilgisayarlardan birinde bulunan "Aurora" adlı bir klasöre yapılan referanslardan geliyor.

Saldırı Nasıl Gerçekleştirildi?

Bu siber casusluk operasyonu, zıpkınla kimlik avı tekniği. Başlangıçta, hedeflenen kullanıcılar, bir dizi olayı başlatan bir e-posta veya anlık iletide kötü amaçlı bir URL aldı. Kullanıcılar URL'yi tıkladıkça, onları daha fazla kötü amaçlı JavaScript kodu çalıştıran bir web sitesine götürecekti.

JavaScript kodu, Microsoft Internet Explorer'da o sırada pek bilinmeyen bir güvenlik açığından yararlandı. Bu tür güvenlik açıkları genellikle "sıfır gün açıkları" olarak adlandırılır.

Sıfır gün açığı, kötü amaçlı yazılımın Windows'ta çalışmasına ve siber suçluların erişebileceği bir arka kapı oluşturmasına izin verdi. sistemin kontrolünü ele geçirin ve kimlik bilgilerini, fikri mülkiyeti veya başka ne varsa çalın arıyor.

Aurora Operasyonunun Amacı Neydi?

Aurora Operasyonu oldukça karmaşık ve başarılı bir saldırıydı. Ancak saldırının arkasındaki gerçek nedenler belirsizliğini koruyor. Google, Aurora bombasını ifşa ettiğinde, aşağıdaki nedenleri ve sonuçları belirtti:

• Fikri Mülkiyet Hırsızlığı: Saldırganlar, fikri mülkiyet hırsızlığına neden olan kurumsal altyapıyı hedef aldı.
• Siber casusluk: Ayrıca saldırıların, Çinli muhaliflerin ve insan hakları aktivistlerinin Gmail hesaplarına sızmaya çalışan bir siber casusluk operasyonunun parçası olduğu belirtildi.

Ancak, birkaç yıl sonra, kıdemli bir yönetici Microsoft'un İleri Teknoloji Enstitüsü saldırıların aslında ABD hükümetini araştırmak, ABD'de görevlerini yerine getiren gizli Çinli ajanların kimliğini ortaya çıkarıp çıkarmadığını kontrol etmek için yapıldığını belirtti.

Aurora Operasyonu Neden Bu Kadar Dikkat Çekti?

Aurora Operasyonu, saldırıların doğası gereği yaygın olarak tartışılan bir siber saldırıdır. İşte onu öne çıkaran birkaç önemli nokta:

• Bu, saldırganların hedefleri hakkında kapsamlı istihbarata sahip olduğu, oldukça hedefli bir kampanyaydı. Bu, daha büyük bir organizasyonun ve hatta ulus-devlet aktörlerinin katılımına işaret edebilir.
• Siber olaylar her zaman olur, ancak birçok şirket onlardan bahsetmez. Google kadar bilgili bir şirket için bunu ortaya çıkarmak ve bunu kamuya açıklamak çok önemli.
• Birçok güvenlik uzmanı saldırılardan Çin hükümetini sorumlu tutuyor. Söylentiler doğruysa, o zaman bir hükümetin kurumsal varlıklara daha önce hiç ortaya çıkmamış bir şekilde saldırdığı bir durumunuz var.

Aurora Operasyonunun Ardından

Saldırılardan dört ay sonra Google, Çin'deki operasyonlarını durdurma kararı aldı. Google.com.cn'yi sonlandırdı ve tüm trafiği Google.com.hk'ye (Hong Kong için bir Google sürümü) yönlendirdi, çünkü Hong Kong, Çin anakarasıyla farklı yasalara sahiptir.

Google ayrıca, bu tür olayların tekrar meydana gelme olasılığını azaltmak için yaklaşımını yeniden yapılandırdı. Uyguladı sıfır güven mimarisi İyi bir karar olduğu kanıtlanan BeyondCorp olarak adlandırıldı.

Birçok şirket, gereksiz yere, ağda değişiklik yapmalarına ve kısıtlama olmaksızın çalışmasına izin veren yükseltilmiş erişim ayrıcalıkları sağlar. Bu nedenle, bir saldırgan yönetici düzeyinde ayrıcalıklara sahip bir sisteme girmenin bir yolunu bulursa, bu ayrıcalıkları kolayca kötüye kullanabilir.

Sıfır güven modeli şu şekilde çalışır: en az ayrıcalıklı erişim ilkeleri ve nano-segmentasyon. Kullanıcıların bir ağın yalnızca gerçekten ihtiyaç duydukları bölümlerine erişebilecekleri bir güven oluşturmanın yeni bir yolu. Bu nedenle, bir kullanıcının kimlik bilgileri tehlikeye girerse, saldırganlar yalnızca o belirli kullanıcı için mevcut olan araçlara ve uygulamalara erişebilir.

Daha sonra birçok firma, ağlarındaki hassas araçlara ve uygulamalara erişimi düzenleyerek sıfır güven paradigmasını benimsemeye başladı. Amaç, her kullanıcıyı doğrulamak ve saldırganların yaygın hasara neden olmasını zorlaştırmak.

Aurora Operasyonu ve Benzer Saldırılara Karşı Savunma

Aurora Operasyonu saldırıları, Google, Yahoo ve Adobe gibi önemli kaynaklara sahip kuruluşların bile mağdur olabileceğini ortaya çıkardı. Muazzam finansmana sahip büyük BT şirketleri saldırıya uğrayabilirse, daha az kaynağa sahip daha küçük şirketler bu tür saldırılara karşı savunma yapmakta zorlanırlar. Ancak Aurora Operasyonu bize benzer saldırılara karşı savunmamıza yardımcı olabilecek bazı önemli dersler de verdi.

Sosyal Mühendislikten Uzak Durun

Saldırılar, siber güvenlikte insan unsurunun riskini vurguladı. Saldırıların birincil yayıcıları insanlardır ve bilinmeyen bağlantılara tıklamanın sosyal mühendislik doğası değişmemiştir.

Aurora benzeri saldırıların bir daha olmamasını sağlamak için şirketler, bilgi güvenliğinin temelleri. Çalışanlarını güvenli siber güvenlik uygulamaları ve teknolojiyle nasıl etkileşime girdikleri konusunda eğitmeleri gerekiyor.

Saldırıların doğası o kadar karmaşık hale geldi ki, deneyimli bir güvenlik uzmanı bile bunu yapmakta zorlanıyor. iyi bir URL'yi kötü niyetli olandan ayırt edin.

Şifrelemeyi Kullan

Bir ağdaki kötü niyetli iletişimleri gizlemek için VPN'ler, proxy sunucuları ve birden çok şifreleme katmanı kullanılabilir.

Güvenliği ihlal edilmiş bilgisayarların iletişimini tespit etmek ve önlemek için, özellikle şirket ağının dışına çıkanlar olmak üzere tüm ağ bağlantıları izlenmelidir. Anormal ağ etkinliğini belirlemek ve bir PC'den çıkan veri hacmini izlemek, sağlığını değerlendirmek için iyi bir yol olabilir.

Veri Yürütme Engellemesi Çalıştırın

Güvenlik tehditlerini en aza indirmenin başka bir yolu da bilgisayarınızda Veri Yürütme Engellemesi'ni (DEP) çalıştırmaktır. DEP, bilgisayarınızın belleğinde yetkisiz komut dosyalarının çalışmasını engelleyen bir güvenlik özelliğidir.

adresine giderek etkinleştirebilirsiniz. Sistem ve Güvenlik > Sistem > Gelişmiş Sistem Ayarları Denetim Masası'nda.

DEP özelliğini açmak, saldırganların Aurora benzeri saldırılar gerçekleştirmesini zorlaştıracaktır.

Aurora ve İleriye Giden Yol

Dünya, devlet destekli saldırıların risklerine şimdi olduğu kadar hiç bu kadar maruz kalmamıştı. Çoğu şirket artık uzak bir işgücüne güvendiğinden, güvenliği sağlamak her zamankinden daha zor.

Neyse ki şirketler, sürekli doğrulama olmadan kimseye güvenmeme ilkesiyle çalışan sıfır güven güvenlik yaklaşımını hızla benimsiyor.

Çürütüldü: Sıfır Güven Güvenliği Hakkında 6 Efsane

Sıfır Güven Modeli, veri ihlallerini sınırlamanın etkili bir yoludur, ancak uygulanması konusunda çok fazla yanlış anlama vardır.

Sonrakini Oku

Yazar hakkında