عملية أورورا

عملية أورور هي سلسلة من الهجمات السيبرانية كانت بشكل تهديدات مستمرة متقدمة من مجموعة إلدروود "Elderwood" ومقرها بكين في الصين، التي كانت على علاقات مع جيش التحرير الشعبي.^[1] كشفت لأول مرة علنًا عن طريق جوجل في 12 يناير 2010، في منشور مدونة، ^[2] بدأت الهجمات في منتصف عام 2009 واستمرت حتى ديسمبر 2009.^[3]

عملية أورورا
معلومات عامة
التاريخ يونيو-ديسمبر 2009 الموقع غير محدد – حدث على مستوى عالمي. النتيجة حادث دبلوماسي بين الولايات المتحدة والصين
المتحاربون
الولايات المتحدة جوجل أدوبي أكاماي جونيبر راك سبيس ياهو! (مزعوم) Symantec (مزعوم) نورثروب جرومان (مزعوم) مورجان ستانلي (مزعوم) شركة داو كيميكال (مزعوم) بلاك بيري (مزعوم)	الصين وحدة جيش التحرير الشعبي رقم 61398
الخسائر
سرقة حقوق الملكية الفكرية لجوجل
تعديل مصدري - تعديل

استهدف الهجوم عشرات المنظمات الأخرى، ومنها أدوبي ^[4] أكاماي ^[5] جونيبر للشبكات ^[6] وراكسبيس ^[7] التي أكدت علنًا أنها مستهدفة. وفقًا لتقارير وسائل الإعلام، كان من بين الأهداف أيضًا ياهو!، سيمانتك، نورثروب غرومان، مورغان ستانلي،^[8] داو كيميكال ^[9] وبلاك بيري.^[10]

نتيجة للهجوم، ذكرت جوجل في مدونتها أنها تخطط لتشغيل نسخة غير خاضعة للرقابة تمامًا من محرك البحث الخاص بها في الصين «ضمن القانون، إذا كان على الإطلاق»، واعترفت بأنه إذا لم يكن ذلك ممكنًا، فقد تغادر الصين وتغلق مكاتبها الصينية.^[2] وزعمت مصادر صينية رسمية أن هذا جزء من إستراتيجية وضعتها الحكومة الأمريكية.^[11]

أطلق على الهجوم «عملية أورورا» من قبل دميتري ألبيروفيتش، نائب رئيس أبحاث التهديدات في شركة الأمن السيبراني إنتل سيكيوريتي. اكتشف بحث أجرته إنتل سيكيوريتي أن «أورورا» كان جزءًا من مسار الملف على جهاز المهاجم الذي تم تضمينه في اثنين من ثنائيات البرامج الضارة التي قالت أنها مرتبطة بالهجوم. وقال جورج كورتز كبير مسؤولي التكنولوجيا في إنتل في منشور على مدونة «نعتقد أن الاسم كان الاسم الداخلي الذي أعطاه المهاجمون لهذه العملية.» ^[12]

وفقًا لـ إنتل، كان الهدف الأساسي للهجوم هو الوصول إلى مستودعات رمز المصدر وربما تعديلها في شركات المقاولات عالية التقنية والأمن والدفاع. يقول ألبيروفيتش: "كانت [إدارة تكوين البرمجيات] مفتوحة على مصراعيها". «لم يفكر أحد في تأمينها من قبل، ومع ذلك كانت هذه تاج المجوهرات في معظم هذه الشركات بطرق عديدة - أكثر قيمة بكثير من أي بيانات مالية أو بيانات شخصية يمكن أن تكون لديهم ويقضون الكثير من الوقت والجهد في حمايتها.» ^[13]

التاريخ

زهور تركت خارج مقر جوجل الصين بعد إعلانها أنها قد تغادر البلاد

في 12 يناير 2010، كشفت جوجل في مدونتها أنها كانت ضحية هجوم إلكتروني. وقالت الشركة إن الهجوم وقع في منتصف ديسمبر ونشأ من الصين. ذكرت جوجل أن أكثر من 20 شركة أخرى تعرضت للهجوم. وذكرت مصادر أخرى منذ ذلك الحين أنه تم استهداف أكثر من 34 منظمة.^[9] ونتيجة للهجوم، قالت جوجل إنها تراجع أعمالها في الصين.^[2] وفي نفس اليوم، أصدرت وزيرة الخارجية الأمريكية هيلاري كلينتون بيانًا موجزًا أدانت فيه الهجمات وطلبت ردًا من الصين.^[14]

في 13 يناير 2010، ذكرت وكالة الأنباء "All Headline News" أن كونغرس الولايات المتحدة يخطط للتحقيق في مزاعم جوجل بأن الحكومة الصينية استخدمت خدمات الشركة للتجسس على نشطاء حقوق الإنسان.^[15]

في بكين، ترك الزوار الزهور خارج مكتب جوجل، تمت إزالتها لاحقًا.^[16] ولم تصدر الحكومة الصينية حتى الآن رداً رسمياً، على الرغم من أن مسؤولاً مجهولاً ذكر أن الصين تسعى للحصول على مزيد من المعلومات حول نوايا جوجل.^[17]

المهاجمون المشاركون

تظهر الأدلة الفنية بما في ذلك عناوين IP وأسماء النطاقات وتوقيعات البرامج الضارة وعوامل أخرى، أن إلدروود كانت وراء عملية أورورا. حصلت المجموعة على بعض التعليمات البرمجية المصدر لجوجل، بالإضافة إلى الوصول إلى معلومات حول النشطاء الصينيين.^[18] استهدفت إلدروود أيضًا العديد من الشركات الأخرى في قطاعات الشحن والطيران والأسلحة والطاقة والتصنيع والهندسة والإلكترونيات والمالية والبرامج.^[1][19]

تتخصص إلدروود في مهاجمة واختراق موردي صناعة الدفاع من الدرجة الثانية الذين يصنعون مكونات إلكترونية أو ميكانيكية لشركات الدفاع الكبرى. ثم تصبح تلك الشركات «نقطة انطلاق» إلكترونية للوصول إلى مقاولي الدفاع من الدرجة الأولى. أحد الإجراءات الهجومية التي تستخدمها إلدروود هو إصابة المواقع الشرعية التي يرتادها موظفو الشركة المستهدفة - ما يسمى بهجوم «حفرة الماء». تصيب إلدروود هذه المواقع الأقل أمانًا ببرامج ضارة يتم تنزيلها على جهاز كمبيوتر ينقر على الموقع. بعد ذلك، تبحث المجموعة داخل الشبكة التي يتصل بها جهاز الكمبيوتر المصاب، وتجد رسائل البريد الإلكتروني للمديرين التنفيذيين والمستندات المهمة ثم تنزلها حول خطط الشركة وقراراتها وعمليات الاستحواذ وتصميمات المنتجات.^[1]

تحليل الهجوم

في منشور مدونتها، ذكرت جوجل أن بعض ملكيتها الفكرية قد سرقت. وأشارت إلى أن المهاجمين كانوا مهتمين بالوصول إلى حسابات جيميل للمعارضين الصينيين. وفقا لصحيفة فاينانشيال تايمز، تم الهجوم على حسابين يستخدمهما آي ويوي، وقراءة محتوياتهما ونسخها؛ تم التحقيق في حساباته المصرفية من قبل عملاء أمن الدولة الذين زعموا أنه يخضع للتحقيق بتهمة «جرائم مشتبه فيها غير محددة».^[20] ومع ذلك، كان المهاجمون قادرين فقط على عرض التفاصيل في حسابين وكانت هذه التفاصيل مقتصرة على أشياء مثل سطر الموضوع وتاريخ إنشاء الحسابات.^[2]

لاحظ خبراء الأمن على الفور تعقيد الهجوم.^[12] بعد يومين من نشر الهجوم على الملأ، أفادت مكافي أن المهاجمين استغلوا ثغرات يوم صفر مزعومة (لم يتم إصلاحها ولم تكن معروفة من قبل لمطوري النظام المستهدفين) في إنترنت إكسبلورر، وأطلقوا عليها اسم «عملية أورورا». بعد أسبوع من تقرير مكافي، أصدرت مايكروسوفت إصلاحًا للمشكلة، ^[21] واعترفت بأنهم كانوا يعرفون عن الثغرة الأمنية المستخدمة منذ سبتمبر.^[22] تم العثور على نقاط ضعف إضافية في بيرفورس، برنامج مراجعة شفرة المصدر الذي تستخدمه جوجل لإدارة شفرة المصدر الخاصة بهم.^[23][24]

وادعت مختبرات iDefense من VeriSign أن الهجمات ارتكبها «عملاء للدولة الصينية أو وكلاء لها».^[25]

وبحسب برقية دبلوماسية من سفارة الولايات المتحدة في بكين، أفاد مصدر صيني بأن المكتب السياسي الصيني وجه التدخل في أنظمة الكمبيوتر في جوجل. وأشارت البرقية إلى أن الهجوم كان جزءًا من حملة منسقة نفذها «نشطاء حكوميون وخبراء في الأمن العام مجرمون على الإنترنت جندتهم الحكومة الصينية».^[26] وأشار التقرير إلى أنها كانت جزءًا من حملة مستمرة قام فيها المهاجمون «باقتحام أجهزة الكمبيوتر الحكومية الأمريكية وأجهزة الحلفاء الغربيين والدالاي لاما والشركات الأمريكية منذ عام 2002».^[27] وبحسب ما نشرته صحيفة الجارديان عن التسريب، فإن الهجمات «نسقها أحد كبار أعضاء المكتب السياسي الذي أدخل اسمه في النسخة العالمية من محرك البحث ووجد مقالات تنتقده شخصياً».^[28]

كان يعتقد أن الهجمات قد انتهت بشكل نهائي في 4 يناير عندما تم إسقاط خوادم الأوامر والتحكم، على الرغم من أنه ليس من المعروف في هذه المرحلة ما إذا كان المهاجمون قد أغلقوها عن قصد أم لا.^[29] ومع ذلك، كانت الهجمات لا تزال جارية حتى فبراير 2010.^[3]

الاستجابة وما بعدها

أصدرت الحكومات الألمانية والأسترالية والفرنسية علنًا تحذيرات لمستخدمي إنترنت إكسبلورر بعد الهجوم، ونصحتهم باستخدام متصفحات بديلة على الأقل حتى يتم إصلاح الثغرة الأمنية.^[30][31][32] اعتبرت الحكومات الألمانية والأسترالية والفرنسية أن جميع إصدارات إنترنت إكسبلورر ربما تكون عرضة للتأثر.^[33][34]

في مذكرة استشارية في 14 يناير 2010، قالت مايكروسوفت أن المهاجمين الذين يستهدفون جوجل وشركات أمريكية أخرى استخدموا برامج تستغل ثغرة في إنترنت إكسبلورر. تؤثر الثغرة الأمنية على إصدارات Internet Explorer 6 و 7 و 8 على أنظمة التشغيل Windows 7 و Vista و Windows XP و Server 2003 و Server 2008 R2 ، بالإضافة إلى IE 6 Service Pack 1 على Windows 2000 Service Pack 4.^[35]

تم إصدار رمز استغلال إنترنت إكسبلورر المستخدم في الهجوم في المجال العام، وتم دمجه في أداة اختبار اختراق ميتاسبلوت. تم تحميل نسخة من برمجية إكسبلويت إلى ويباويت، وهي خدمة لكشف وتحليل البرامج الضارة المستندة إلى الويب التي تديرها مجموعة أمان الكمبيوتر في جامعة كاليفورنيا، سانتا باربرا. وقال جورج كورتز، مدير تقنية المعلومات في مكافي، عن الهجوم: «إن النشر العام لشفرة الاستغلال يزيد من احتمال وقوع هجمات واسعة النطاق باستخدام ثغرة إنترنت إكسبلورر». «قد يساعد رمز الكمبيوتر العام الآن المجرمين الإلكترونيين في شن هجمات تستخدم الضعف للتهديد بأنظمة ويندوز.» ^[36]

في 19 فبراير 2010، ادعى خبير أمني يحقق في الهجوم السيبراني على جوجل، أن الأشخاص المسؤولين عن الهجوم كانوا مسؤولين أيضًا عن الهجمات السيبرانية التي وقعت على العديد من شركات فورتشن 100 في العام ونصف العام الماضيين. كما تابعوا الهجوم إلى نقطة أصله، التي يبدو أنها موسستين صينيتان، جامعة شنغهاي جياو تونغ وجامعة لانكسيانج المهنية.^[37] كما أوضحت صحيفة نيويورك تايمز، فإن هاتين الجامعتين تربطهما علاقة بمحرك البحث الصيني بايدو، المنافس لشركة جوجل الصين.^[38] وقد نفت كل من جامعة لانكسيانج المهنية وجامعة جياو تونغ هذا الادعاء.^[39][40]

في مارس 2010، حددت سيمانتك، التي كانت تساعد في التحقيق في الهجوم على جوجل، شاكسينج كمصدر لـ 21.3٪ من جميع (12 مليار) رسائل بريد إلكتروني ضارة تم إرسالها في جميع أنحاء العالم.^[41]

لمنع الهجمات الإلكترونية في المستقبل مثل عملية أورورا، اقترح أميتاي إتزيوني من معهد دراسات السياسة المجتمعية أن الولايات المتحدة والصين توافقان على سياسة ضبط النفس المضمونة بشكل متبادل فيما يتعلق بالفضاء الإلكتروني. وسيشمل ذلك السماح للدولتين باتخاذ الإجراءات التي تراها ضرورية للدفاع عن النفس مع الموافقة في الوقت نفسه على الامتناع عن اتخاذ خطوات هجومية.^[42]

انظر أيضًا

• نشاط المخابرات الصينية في الخارج
• عمليات المخابرات الصينية في الولايات المتحدة
• الحرب السيبرانية
• التجسس الاقتصادي والصناعي

المراجع

1. Clayton، Mark (14 سبتمبر 2012). "Stealing US business secrets: Experts ID two huge cyber 'gangs' in China". كريستشن ساينس مونيتور. مؤرشف من الأصل في 2020-03-02. اطلع عليه بتاريخ 2013-02-24.
2. "A new approach to China". Google Inc. 12 يناير 2010. مؤرشف من الأصل في 2020-06-23. اطلع عليه بتاريخ 2010-01-17.
3. "'Aurora' Attacks Still Under Way, Investigators Closing In On Malware Creators". Dark Reading. DarkReading.com. 10 فبراير 2010. مؤرشف من الأصل في 2010-08-11. اطلع عليه بتاريخ 2010-02-13.
4. "Adobe Investigates Corporate Network Security Issue". 12 يناير 2010. مؤرشف من الأصل في 2020-06-06. اطلع عليه بتاريخ 2010-01-17.
5. "9 Years After: From Operation Aurora to Zero Trust". Dark Reading. DarkReading.com. 20 فبراير 2019. مؤرشف من الأصل في 2019-12-27. اطلع عليه بتاريخ 2020-05-09.
6. "Juniper Networks investigating cyber-attacks". MarketWatch. 15 يناير 2010. مؤرشف من الأصل في 2020-05-16. اطلع عليه بتاريخ 2010-01-17.
7. "Rackspace Response to Cyber Attacks". مؤرشف من الأصل في 2010-01-18. اطلع عليه بتاريخ 2010-01-17.
8. "HBGary email leak claims Morgan Stanley was hacked". مؤرشف من الأصل في 2019-12-24. اطلع عليه بتاريخ 2010-03-02.
9. Cha، Ariana Eunjung؛ Ellen Nakashima (14 يناير 2010). "Google China cyberattack part of vast espionage campaign, experts say". The Washington Post. مؤرشف من الأصل في 2020-05-17. اطلع عليه بتاريخ 2010-01-17.
10. Paddon، David. "BlackBerry uncovers China-backed hacking campaign". The Canadian Press. مؤرشف من الأصل في 2020-05-11. اطلع عليه بتاريخ 2020-04-08.
11. Hille، Kathrine (20 يناير 2010). "Chinese media hit at 'White House's Google'". Financial Times. مؤرشف من الأصل في 2016-06-04. اطلع عليه بتاريخ 2010-01-20.
12. Kurtz، George (14 يناير 2010). "Operation "Aurora" Hit Google, Others". McAfee, Inc. مؤرشف من الأصل في 2012-09-11. اطلع عليه بتاريخ 2010-01-17.
13. Zetter، Kim (3 مارس 2010). "'Google' Hackers Had Ability to Alter Source Code". Wired. مؤرشف من الأصل في 2014-01-29. اطلع عليه بتاريخ 2010-03-04.
14. Clinton، Hillary (12 يناير 2010). "Statement on Google Operations in China". US Department of State. مؤرشف من الأصل في 2010-01-16. اطلع عليه بتاريخ 2010-01-17.
15. "Congress to Investigate Google Charges Of Chinese Internet Spying". All Headline News. 13 يناير 2010. مؤرشف من الأصل في 2010-03-28. اطلع عليه بتاريخ 2010-01-13.
16. Robertson، Matthew (14 يناير 2010). "Flowers Laid, and Removed, at Google Headquarters in China". The Epoch Times. مؤرشف من الأصل في 2010-01-19. اطلع عليه بتاريخ 2010-01-18.
17. "Chinese govt seeks information on Google intentions". China Daily. Xinhua. 13 يناير 2010. مؤرشف من الأصل في 2020-03-24. اطلع عليه بتاريخ 2010-01-18.
18. Nakashima، Ellen. "Chinese hackers who breached Google gained access to sensitive data, U.S. officials say". WashingtonPost. مؤرشف من الأصل في 2020-05-20. اطلع عليه بتاريخ 2015-12-05.
19. Riley، Michael؛ Dune Lawrence (26 يوليو 2012). "Hackers Linked to China's Army Seen From EU to D.C." Bloomberg. مؤرشف من الأصل في 2015-01-11. اطلع عليه بتاريخ 2013-02-24.
20. Anderlini, Jamil (15 يناير 2010). "The Chinese dissident's 'unknown visitors'". Financial Times. مؤرشف من الأصل في 2010-09-10.
21. "Microsoft Security Advisory (979352)". Microsoft. 21 يناير 2010. مؤرشف من الأصل في 2011-09-03. اطلع عليه بتاريخ 2010-01-26.
22. Naraine, Ryan. Microsoft knew of IE zero-day flaw since last September, ZDNet, January 21, 2010. Retrieved 28 January 2010. نسخة محفوظة 2017-11-08 على موقع واي باك مشين.
23. "Protecting Your Critical Assets, Lessons Learned from "Operation Aurora", By McAfee Labs and McAfee Foundstone Professional Services" (PDF). wired.com. مؤرشف من الأصل (PDF) في 2016-04-29.
24. "'Google' Hackers Had Ability to Alter Source Code". Wired. مؤرشف من الأصل في 2014-01-29. اطلع عليه بتاريخ 2016-07-27.
25. Paul، Ryan (14 يناير 2010). "Researchers identify command servers behind Google attack". Ars Technica. مؤرشف من الأصل في 2012-05-04. اطلع عليه بتاريخ 2010-01-17.
26. Shane، Scott؛ Lehren، Andrew W. (28 نوفمبر 2010). "Cables Obtained by WikiLeaks Shine Light Into Secret Diplomatic Channels". نيويورك تايمز. مؤرشف من الأصل في 2020-06-15. اطلع عليه بتاريخ 2010-11-28.
27. Scott Shane and Andrew W. Lehren (28 نوفمبر 2010). "Leaked Cables Offer Raw Look at U.S. Diplomacy". The New York Times. مؤرشف من الأصل في 2020-05-15. اطلع عليه بتاريخ 2010-12-26. The Google hacking was part of a coordinated campaign of computer sabotage carried out by government operatives, private security experts and Internet outlaws recruited by the Chinese government. They have broken into American government computers and those of Western allies, the Dalai Lama and American businesses since 2002, ...
28. US embassy cables leak sparks global diplomatic crisis الغارديان 28 November 2010 نسخة محفوظة 2020-06-23 على موقع واي باك مشين.
29. Zetter، Kim (14 يناير 2010). "Google Hack Attack Was Ultra Sophisticated, New Details Show". Wired. مؤرشف من الأصل في 2014-03-21. اطلع عليه بتاريخ 2010-01-23.
30. One News (19 يناير 2010). "France, Germany warn Internet Explorer users". تلفزيون نيوزيلندا. مؤرشف من الأصل في 2017-04-23. اطلع عليه بتاريخ 2010-01-22.
31. Relax News (18 يناير 2010). "Why you should change your internet browser and how to choose the best one for you". ذي إندبندنت. London. مؤرشف من الأصل في 2015-06-30. اطلع عليه بتاريخ 2010-01-22.
32. "Govt issues IE security warning". ABC (Australia). 19 يناير 2010. مؤرشف من الأصل في 2011-06-28. اطلع عليه بتاريخ 2016-07-27.
33. NZ Herald Staff (19 يناير 2010). "France, Germany warn against Internet Explorer". نيوزيلاند هيرالد. مؤرشف من الأصل في 2020-06-24. اطلع عليه بتاريخ 2010-01-22.
34. Govan، Fiona (18 يناير 2010). "Germany warns against using Microsoft Internet Explorer". ديلي تلغراف. London. مؤرشف من الأصل في 2019-08-27. اطلع عليه بتاريخ 2010-01-22.
35. Mills، Elinor (14 يناير 2010). "New IE hole exploited in attacks on U.S. firms". سي نت. مؤرشف من الأصل في 2013-12-24. اطلع عليه بتاريخ 2010-01-22.
36. "Internet Explorer zero-day code goes public". Infosecurity. 18 يناير 2010. مؤرشف من الأصل في 2011-09-10. اطلع عليه بتاريخ 2010-01-22.
37. Markoff، John؛ Barboza، David (18 فبراير 2010). "2 China Schools Said to Be Tied to Online Attacks". New York Times. مؤرشف من الأصل في 2020-06-23. اطلع عليه بتاريخ 2010-03-26.
38. "Google Aurora Attack Originated From Chinese Schools". itproportal. 19 فبراير 2010. مؤرشف من الأصل في 2018-06-12. اطلع عليه بتاريخ 2010-02-19.
39. Areddy، James T. (4 يونيو 2011). "Chefs Who Spy? Tracking Google's Hackers in China". مؤرشف من الأصل في 2020-01-21.
40. University، Jiao Tong. "Jiao Tong University - 【Shanghai Daily】Cyber expert slams "spy" report". en.sjtu.edu.cn. مؤرشف من الأصل في 2019-11-29.
41. Sheridan, Michael, "Chinese City Is World's Hacker Hub", الصنداي تايمز, March 28, 2010.
42. Etzioni, Amitai, "MAR: A Model for US-China Relations," The Diplomat, September 20, 2013, .

روابط خارجية

• قد يكون المطلعون على Google China قد ساعدوا في هجوم news.cnet.com
• عملية أورورا - بداية عصر هجمات الاختراق المتطورة! Sporkings.com 18 يناير 2010
• في Google نحن نثق لماذا قد تغير مواجهة الشركة مع الصين مستقبل الإنترنت. أجرى مقابلة مع رافال روهوزينسكي جيسيكا راميريز من نيوزويك في 2010.1.29
• الهجمات السيبرانية الأخيرة - أكثر مما تراه العين؟ Sporkings.com 19 فبراير 2010
• كان لدى قراصنة 'Google' القدرة على تغيير كود المصدر Wired.com 3 مارس 2010
• تم تداول كود 'Aurora' لسنوات على المواقع الإنجليزية أين وصل الصين؟
• جروس، مايكل جوزيف، " أدخل التنين الإلكتروني "، Vanity Fair ، سبتمبر 2011.
• Bodmer ، S. Kilger ، M. Carpenter ، G. & Jones ، J. (2012). الخداع العكسي: تنظيم مكافحة التهديدات السيبرانية المنظمة . نيويورك: McGraw-Hill Osborne Media. (ردمك 0-07-177249-9) رقم ISBN   0-07-177249-9 ، (ردمك 978-0-07-177249-5)
• استغلال عملية Aurora Internet Explorer - مباشرة!
• نظرة عامة على عملية McAfee Aurora
• وأوضح عملية أورورا بواسطة CNET

• بوابة أمن المعلومات
• بوابة الصين
• بوابة الولايات المتحدة
• بوابة جوجل
• بوابة عقد 2010
• بوابة علم الحاسوب