Operazione Aurora

Operazione Aurora è un attacco cibernetico cominciato a metà del 2009 e terminato nel dicembre dello stesso anno.^[1] La notizia dell'attacco è stata resa pubblica da Google il 12 gennaio 2010 in un blog.^[2] Nel post Google ha dichiarato che l'attacco ha avuto origine in Cina.

In seguito, l'attacco è stato lanciato verso dozzine di altre aziende, tra cui Adobe,^[3] Juniper Networks^[4] e Rackspace, che hanno confermato pubblicamente di essere state prese di mira. Secondo alcuni media anche Yahoo!, Symantec, Northrop Grumman, Morgan Stanley^[5] e Dow Chemical^[6] sono state tra gli obiettivi dell'attacco.

Dopo l'attacco, Google ha scritto sul suo blog che pensava di fornire in Cina una versione del suo motore di ricerca completamente priva di censura, aggiungendo che se ciò non fosse stato possibile, avrebbe potuto lasciare la Cina e chiudere tutti i suoi uffici nel paese asiatico.^[2] I media ufficiali cinesi hanno risposto affermando che l'incidente è parte di una cospirazione ad opera del governo degli Stati Uniti.

L'attacco è stato chiamato “Operazione Aurora” da Dmitri Alperovitch, vicepresidente della sezione Ricerca sulle minacce di McAfee. La ricerca ai laboratori McAfee ha scoperto che la parola “Aurora” faceva parte del percorso, nel computer di chi ha compiuto l'attacco, incluso in due dei file binari malware che McAfee sostiene che siano associati con l'attacco stesso. «Crediamo che questo sia il nome che chi ha compiuto l'attacco ha dato a questa operazione.» ha scritto in un blog George Kurtz, chief technology officer di McAfee.^[7]

Sempre secondo McAfee, l'obiettivo principale dell'attacco era di ottenere l'accesso e potenzialmente di modificare i repository dei codici sorgente delle compagnie che ha preso di mira, che sono tra le più importanti negli USA nei settori di difesa, sicurezza ed alta tecnologia.^[8]

Storia

 

I fiori lasciati all'ingresso degli uffici di Google in Cina dopo l'annuncio del possibile abbandono del paese. I fiori sono stati rimossi perché l'omaggio è stato ritenuto illegale dalle autorità cinesi.

Il 12 gennaio 2010 Google ha rivelato sul suo blog che è stata vittima di un attacco cibernetico. L'azienda ha affermato che l'attacco ha avuto luogo a metà di dicembre ed è partito dalla Cina. L'azienda di Mountain View ha anche aggiunto che più di 20 altre compagnie sono state attaccate; altre fonti hanno detto che le aziende prese di mira fossero almeno 34.^[2] Come risultato dell'attacco, Google ha annunciato l'intenzione di rivedere la sua posizione in Cina.^[2] Lo stesso giorno, il segretario di Stato statunitense Hillary Clinton ha rilasciato una breve dichiarazione condannando l'attacco e chiedendo una risposta dalla Cina.^[9]

Il 13 gennaio l'agenzia di stampa All Headline News ha riportato che il Congresso statunitense aveva l'intenzione di indagare sull'asserzione di Google che il governo cinese abbia usato i servizi della compagnia per spiare gli attivisti dei diritti umani.

A Pechino i visitatori hanno lasciato dei fiori fuori dagli uffici di Google. Tuttavia essi sono stati rimossi ed una guardia di sicurezza cinese ha affermato che si è trattato di un tributo floreale illegale.^[10]

Analisi dell'attacco

Nel suo blog, Google ha scritto che una parte della sua proprietà intellettuale è stata rubata. Ha anche ipotizzato che chi ha compiuto l'attacco intendesse accedere agli indirizzi di posta elettronica Gmail dei dissidenti cinesi. Secondo il Financial Times, due indirizzi usati da Ai Weiwei sono stati violati ed il loro contenuto letto e copiato; i suoi conti bancari sono stati messi sotto indagine da parte di agenti di sicurezza statali che dissero che egli era indagato per "non specificati sospetti crimini".

Gli esperti di sicurezza hanno notato immediatamente la complessità dell'attacco.^[7] Due giorni dopo che la notizia dell'attacco diventasse pubblica, McAfee ha dichiarato che i pirati informatici hanno utilizzato alcune vulnerabilità 0-day in Internet Explorer che prima dell'attacco erano sconosciute ai programmatori che avevano creato il sistema, ed hanno battezzato l'attacco "Operazione Aurora". Un mese dopo, Microsoft ha rilasciato una patch per risolvere il problema^[11] ed ha ammesso che sapevano della falla usata nell'attacco fin da settembre.^[12] Ulteriori vulnerabilità sono state trovate in Perforce, il software di controllo versione usato da Google per controllare il suo codice sorgente.^[8][13]

I laboratori iDefense di VeriSign hanno dichiarato che l'attacco è stato perpetrato da "agenti del governo cinese o vicini ad esso".^[14]

Secondo un cablogramma proveniente dall'ambasciata statunitense a Pechino e reso pubblico da WikiLeaks, una fonte in Cina ha riportato che l'ufficio politico del Partito Comunista Cinese ha diretto l'intrusione nei sistemi di Google. Il cablogramma sostiene inoltre che l'attacco faceva parte di una campagna coordinata ed eseguita da "operatori governativi, esperti di pubblica sicurezza e criminali cibernetici reclutati dal governo cinese". Il documento inoltre affermava che ciò facesse parte di una campagna nella quale i pirati informatici "sono entrati nei computer del governo statunitense, dei suoi alleati in Occidente e del Dalai Lama fin dal 2002".^[15] Secondo il quotidiano The Guardian, l'attacco "è stato orchestrato dopo che un membro dell'ufficio politico cinese ha inserito il suo nome nel motore di ricerca e ha trovato degli articoli che lo criticavano".^[16]

Una volta che in computer viene compromesso, una connessione backdoor mascherata da connessione SSL si collega ai server di controllo della botnet in Illinois, Texas e Taiwan, tra cui sistemi che funzionano con account sottratti alla Rackspace. Il computer della vittima a quel punto comincia ad esplorare la rete interna dell'azienda di cui fa parte, cercando altri sistemi vulnerabili e codici proprietari, tra cui soprattutto i repository dei codici sorgente.

L'attacco è terminato il 4 gennaio 2010, quando i server di controllo sono stati disattivati; tuttavia non si sa se i pirati informatici li abbiano spenti intenzionalmente oppure no.^[17]

Note

1. ^ (EN) Kelly Jackson Higgins, 'Aurora' Attacks Still Under Way, Investigators Closing In On Malware Creators, su darkreading.com, Dark Reading, 10 febbraio 2010. URL consultato il 3 giugno 2011 (archiviato dall'url originale il 15 agosto 2011).
2. (EN) David Drummond, A new approach to China, su googleblog.blogspot.com, Google Inc., 12 gennaio 2010. URL consultato il 3 giugno 2011.
3. ^ (EN) Pooja Prasad, Adobe Investigates Corporate Network Security Issue, su blogs.adobe.com, Adobe, 12 gennaio 2010. URL consultato il 3 giugno 2011.
4. ^ (EN) Benjamin Pimentel, Juniper Networks investigating cyber-attacks, su marketwatch.com, MarketWatch, 15 gennaio 2010. URL consultato il 3 giugno 2011.
5. ^ (EN) Lawrence Latif, HBGary email leak claims Morgan Stanley was hacked, su theinquirer.net, The Inquirer, 1º marzo 2011. URL consultato il 3 giugno 2011 (archiviato dall'url originale il 3 marzo 2011).
6. ^ (EN) Ariana Eunjung Cha, Ellen Nakashima, Google China cyberattack part of vast espionage campaign, experts say, su washingtonpost.com, The Washington Post, 14 gennaio 2010. URL consultato il 3 giugno 2011.
7. (EN) George Kurtz, Operation “Aurora” Hit Google, Others, su siblog.mcafee.com, McAfee, 14 gennaio 2010. URL consultato il 3 giugno 2011.
8. (EN) Kim Zetter, ‘Google’ Hackers Had Ability to Alter Source Code, su wired.com, Wired, 3 marzo 2010. URL consultato il 3 giugno 2011.
9. ^ (EN) Hillary Clinton, Statement on Google Operations in China, su state.gov, Dipartimento di Stato degli Stati Uniti d'America, 12 gennaio 2010. URL consultato il 3 giugno 2011.
10. ^ (EN) Matthew Robertson, Flowers Laid, and Removed, at Google Headquarters in China, su theepochtimes.com, The Epoch Times, 15 gennaio 2010. URL consultato il 3 giugno 2011.
11. ^ (EN) Microsoft Security Advisory (979352), su microsoft.com, Microsoft Corporation, 14 gennaio 2010. URL consultato il 3 giugno 2011.
12. ^ (EN) Ryan Naraine, Microsoft knew of IE zero-day flaw since last September, su zdnet.com, ZDNet, 21 gennaio 2010. URL consultato il 3 giugno 2011.
13. ^ (EN) Protecting Your Critical Assets. Lessons Learned from “Operation Aurora” (PDF), su wired.com, McAfee. URL consultato il 3 giugno 2011.
14. ^ (EN) Ryan Paul, Researchers identify command servers behind Google attack, su arstechnica.com, Ars Technica. URL consultato il 3 giugno 2011.
15. ^ (EN) Scott Shane, Andrew W. Lehren, Leaked Cables Offer Raw Look at U.S. Diplomacy, su nytimes.com, The New York Times, 28 novembre 2010. URL consultato il 3 giugno 2011.
16. ^ (EN) David Leigh, US embassy cables leak sparks global diplomatic crisis, su guardian.co.uk, The Guardian, 28 novembre 2010. URL consultato il 3 giugno 2011.
17. ^ (EN) Kim Zetter, Google Hack Attack Was Ultra Sophisticated, New Details Show, su wired.com, Wired, 14 gennaio 2010. URL consultato il 3 giugno 2011.

Voci correlate

• Google Cina
• Guerra cibernetica
• Titan Rain
• Spionaggio industriale

  Portale Informatica

  Portale Sicurezza informatica