china, Featured, Technology

Default @ April 20, 2012

Geben Sie den Cyber-Drachen

Advertisement

Geben Sie den Cyber-Drachen



EINDRINGLINGE Sie stehlen Geheimnisse und Identitäten und sind ihre Spuren zu verwischen Fach.




Korrektur angehängt




Liegen gibt es in den Junk-Mail-Ordner, in dem Spam Einander von Hypotheken Angebote und erektile Dysfunktion Medikament-Anzeigen, einer E-Mail von einem assoziierten Unternehmen mit einer Betreffzeile, die legitim betrachtet erwischt Auge des Mannes. Die Betreffzeile das "2011 Recruitment-Plan." Es war Spätwinter 2011 Der Mann habe auf die Nachricht, die heruntergeladen beigefügten Excel-Datei und ungewollt in Bewegung eine Kette von Ereignissen ermöglicht Hackern, die Computernetzwerke seines Arbeitgebers RAID-Set , RSA. RSA ist die Sicherheitsabteilung des High-Tech-Unternehmen EMC. Die Produkte schützen Computernetzwerke im Weißen Haus, der Central Intelligence Agency, der National Security Agency, das Pentagon, das Department of Homeland Security, die meisten Top-Rüstungsunternehmen, und die Mehrheit der Fortune 500-Unternehmen.

Das Mutterunternehmen offenbarte die Verletzung am 17. März in einem Akten mit der Securities and Exchange Commission. Der Hack ernsthaft untergraben das Ansehen der RSA SecurID beliebten Sicherheitsdienst. Als der Frühling wich Sommer Blogger und Computer-Sicherheitsexperten fanden Hinweise darauf, dass der Angriff auf RSA hatte aus China. Sie verbanden auch die RSA-Angriff gegen das Eindringen von Computer-Netzwerken auf einige der RSA mächtigsten Verteidigungs Vorlieferanten Kunden-unter ihnen, Lockheed Martin, Northrop Grumman und L-3 Communications. Nur wenige Details dieser Episoden öffentlich gemacht wurden.

Die RSA und Verteidigungsauftragnehmer Hacks gehören zu den neuesten Kämpfe in einem jahrzehntelangen Krieg Spion. Hacker aus vielen Ländern wurden exfiltrating-das heißt, Diebstahl-geistiges Eigentum von amerikanischen Unternehmen und die US-Regierung im großen Stil und chinesische Hacker gehören zu den Hauptschuldigen. Da virtuelle Angriffe können durch dem Server speichern, überall in der Welt geführt werden, ist es fast unmöglich, einen Hack mit absoluter Sicherheit zuzuschreiben. Dutzende von Nationen haben sehr industrielle Cyber-Spionage-Programme, einschließlich amerikanischen Verbündeten wie Frankreich und Israel entwickelt. Und weil die Volksrepublik China ist ein so massiver Einheit, ist es unmöglich zu wissen, wie viel chinesische Hacker auf ausdrücklichen Befehl von der Regierung getan. In einigen Fällen, die Hinweise darauf, dass Regierungs- und Militärgruppen werden die Ausführung der Angriffe selbst. In anderen werden die chinesischen Behörden nur ein Auge zugedrückt, um illegale Aktivitäten, die gut für die chinesische Wirtschaft und schlecht für Amerikas sind. Im vergangenen Jahr wurde der erste Google Großunternehmen, um die Pfeife auf chinesische Hacker blasen, wenn es um ein Eindringen wie Operation Aurora, die auch betroffen Intel, Morgan Stanley, und mehrere Dutzend weitere Unternehmen bekannt gab. Zu Beginn dieses Jahres (Der Angriff wurde diesen Namen gegeben, weil das Wort "Aurora" in der Malware, die heruntergeladen Opfer erscheint.) Einzelheiten über die umfassendsten Intrusion seit Operation Aurora wurden von der Cyber-Sicherheitsfirma McAfee entdeckt. "Operation Shady Ratte", die Angriffe (davon später) werden hier zum ersten Mal berichtet. Die meisten Unternehmen haben es vorgezogen, nicht über-oder Prozesse aus Angst vor den Chinesen und ihr Anteil dieses Landes explodierenden Märkten gefährden sprechen oder sogar Verletzungen ihrer EDV-Systeme, aus Angst, Panik, Aktionäre und setzen sich dadurch erkennen. Die US-Regierung ihrerseits hat in ruft die chinesische fecklessly umsichtig gewesen.




Ein Streu Allianz von Regierung Insidern und Cyber-Security-Experten arbeiten daran, die Aufmerksamkeit auf die Bedrohung zu bringen, aber wegen der extremen Empfindlichkeit des Themas muss einen großen Teil ihrer Bewusstseinsbildung Aktivität verdeckt sein. Das Ergebnis in mindestens einem Fall nach den vom Vanity Fair erhalten, war eine surreale neue Schöpfung der amerikanischen Bürokratie: Regierung gerichtete "Hacktivismus", in dem ein Geheimdienst heimlich liefert Informationen zu einer Gruppe von Privatwirtschaft so Hackern dass Wahrheiten zu empfindlich für die Regierung zu sagen, dennoch kommen.

Dieses ungewöhnliche Projekt begann im März, als National Security Agency Beamten gebeten eine private Rüstungsunternehmen auf einen Kader von Elite Nichtregierungsexperten zu organisieren, um die RSA Cyberangriffe zu studieren. Die Experten stellte eine SIEGEL Team sechs der Cybersicherheit und verwies auf ihre Arbeit als Bedienung Starlight. "Das ist die NSA die Auslagerung der Schuldzuweisungen an den privaten Sektor", sagt eine Person, die eingeladen wurde, der Gruppe beizutreten und war eingeweiht in seiner E-Mail-Protokolle. Die NSA vorgesehen Betrieb Starlight mit den Daten, die er für seine forensische Analyse benötigt.

Geheimnis "Version Working Draft 0.2" Bericht Betrieb Starlight, vom 4. April 2011 hat ein Deckblatt, das einen galaktischen Bild ähnelt einem Meteoriten-pockmarked Mond trägt. Die Quelle, die Vanity Fair mit dem Dokument betont, dass der Entwurf ist nur, dass-a-Entwurf und sagte, dass die vorläufigen Schlussfolgerungen Starlight sind freibleibend. (Die Quelle sagt auch, dass die Operation Starlight Analyse wird innerhalb von Monaten möglicherweise so lange wie ein Jahr weiter, und.) Im April machte jedoch geltend, dass die RSA-Hacks sind eine "organisierte, konzertierte Aktion im Namen der Berichtsentwurf China. "Er schlug auch vor, dass RSA hatte angegriffen vielleicht von verschiedenen Gruppen vor dem Angriff, der das Unternehmen im März anerkannt gewesen, seit Monaten. Im Juli, in der längsten Interview, dass RSA Beamten gegeben haben, da ihre Probleme begannen, wider Executive Chairman Art Coviello und EMC Chief Security Officer Dave Martin diese Vorschläge. Coviello zugegeben, dass die SecurID Hack wurde im März voran "ziemlich schwere Aufklärung." Er weigerte sich ausdrücklich sagen, als der Angriff begann oder endete, aber die Dauer beschrieben als "eine Frage von Tagen, nicht Wochen." Er stimmte zu, dass die Beweise vorgeschlagen, dass die SecurID Angriff war von einem Nationalstaat zu kommen, aber lehnte es ab, ein bestimmtes Land zu beschuldigen.

"Der Widersacher"




Wenn Sie wurden der Gestaltung eines neuen Düsenjäger für Lockheed Martin, früher oder später müssten Sie zu einem Luftwaffenstützpunkt zu reisen, um an Soldaten, was sie das neue jetfighter tun möchten, sprechen. Meetings auf, die Sie zurück zu Ihrem Hotel Zimmer zu gehen möchten, starten Sie Ihren Laptop, und melden Sie sich auf remote Netzwerk Lockheed um einige Arbeit zu erledigen. Um sich einzuloggen, Sie Blick hinunter auf einen Zentimeter langen rot-weiß-blau-grauen Plastikschlüsselkette Fob haben möchten, förmigen vage wie ein Schlüssel, auf dem eine kleine LED-Bildschirm Saiten von sechs bis acht Stellen, die jede Minute oder so zu ändern. Hinzufügen diese Zahlen auf die Grund Passwort, das Sie gespeichert möchten, Sie die ganze Hybrid Zeichenfolge in die Lockheed-Netzwerk-Anmeldung kasten und dann würden Sie in sein. Das Schlüsselanhänger, eine so genannte SecurID-Token geben würde, ist RSA bekanntestes Produkt. Die Zahlenreihen auf dem Display werden durch einen Mikrochip mit dem SecurID-Algorithmus und eine einzigartige Verschlüsselungs Samen erzeugt.

Jeder numerische Zeichenkette ist Per März 2011 genannt "Einmalpasswort" und, in Kombination mit selbst gewählten Passwort eingegeben, stößt es auf die Sicherheit Ihres Netzwerks mit Hilfe von "Zwei-Faktor-Authentifizierung.", Befahl RSA 70 Prozent des Marktes für diese Form der Sicherheit. Mehr als 25 Millionen dieser Token im Umlauf sind, und für die Jahre haben sie von den meisten US-Geheimdienste und Militärs, Rüstungsunternehmen, Beamte des Weißen Hauses, und Fortune 500 Führungskräfte eingesetzt.

So war es von großer Bedeutung für viele der mächtigsten Menschen der Welt, als am selben Tag das Unternehmen alarmierte die SEC erzielte Executive Chairman Coviello einen offenen Brief an die Kunden auf der RSA-Website, der Ankündigung, dass das Sicherheitssystem des Unternehmens war "eine bestimmte extrem anspruchsvolle Cyber-Angriff im Gange ist, "dass ein Angriff" wurden bestimmte Informationen aus RSA-Systeme ", die zum Teil wurde" speziell auf RSA SecurID Zwei-Faktor-Authentifizierung Produkte bezogen exportiert. "

Der Brief war so vage und vernünftig fad, dass viele Leser davon ausgegangen, was die spätere Lockheed Hack schien vorschlagen: die SecurID-Samen-Schlüssel-Algorithmus und einige, wenn nicht alle, der seinen Samen-Schlüsseldatenbank möglicherweise gestohlen wurden. RSA Führungskräfte konsequent geweigert zu sagen, genau das, was das Unternehmen verloren. Coviello hat in einem Interview gesagt, dass "das bestimmt, an und für sich würde einen direkten Angriff nicht zulassen." Ein Angreifer, fuhr er fort, "hätte andere Informationen, die nur der Kunde in ihrem Besitz hatten zu bekommen." Um die gestohlenen SecurID Informationen würde eine Strategie der koordinierten Angriffe erfordern weaponize, mit Angriffen nicht nur auf RSA, sondern auch vorläufige Angriffe auf jedem anderen Zielgesellschaft-etwas, das so kompliziert, wie fast unmöglich schien. Doch innerhalb von zwei Monaten, das Unmögliche war geschehen. Angreifer, den Sicherheitsexperten beziehen sich oft auf der satanischen Singular als "Widersacher", hatte mit SecurID Informationen von RSA gestohlen in Lockheed Martin Netzwerk gebrochen.




Am 1. April hat die RSA-Website einen Blog-Beitrag mit dem Titel "Anatomie einer Attack" durch den Kopf der neuen Technologien des Unternehmens, Uri Rivner. Chatty und anekdotisch, beschrieb er die "2011 Recruitment Plan" E-Mail, eine von zwei E-Mails an Mitarbeiter Low-Level gesendet. ("Sie würden nicht diese Benutzer besonders hohe Profil oder Hochwertziele betrachten," Rivner schrieb.) Die Post sagte nichts über, als der Angriff begann, wie lange es gedauert hat, oder das, was aufgenommen wurde, aber einige von Rivner der Sprache scheint bestimmt legen nahe, dass das Eindringen war von kurzer Dauer: ". Da RSA erkannt diesen Angriff im Gange ist, ist es wahrscheinlich, dass der Angreifer musste sehr schnell bewegen, um etwas zu erreichen" Rivner schrieb, dass die RSA Hackern verwendet Flash Zero-Day-Schwachstelle, das heißt, ein Fehler im Code, der unbekannten Entwickler des Programms ist und nicht im Stand der Technik verwendet worden Angriffe-ein extrem gemeinsamen Downloader genannt Poison Ivy zu installieren. Aber er gab keine Details über die Malware, die Poison Ivy heruntergeladen in RSA-System.

Rivner gekennzeichnet Technik der Angreifer als eine Form der "Advanced Persistent Threat" oder APT-Sicherheits Jargon für "Ziemlich sicher, dass es aus China kam", in den Worten von Brian Krebs, einer der führenden Netzsicherheit Blogger. Nach den Berichtsentwurf Betrieb Starlight, ein Teil der Malware, die benutzt wurde, um RSA Angriff wurde "zusammengestellt", oder schriftlich, im Dezember 2010, volle drei Monate vor dem SecurID-Hack. "APT Angriff Gruppen in der Regel starten ihre Angriffe innerhalb von Stunden nach der Kompilierung ein nützliches Datumsanzeige zur gezielten Eingriff", so der Entwurf. Der Entwurf räumt ein, dass "diese kompilieren Termine sind leicht modifiziert," aber es geht weiter: "Der früheste Zeitpunkt der Kompilierung [von Malware in der RSA-Hack verwendet], die nicht wesentlich geändert hat, ist 2010.12.22 möglicherweise Bereitstellen von mindestens drei Monate anhaltenden Zugang in RSA-Operationen. "Ein prominenter Cyber-Security Analyst mit Wissen aus erster Hand von den RSA Intrusionen bestätigt, dass RSA schien unter Beschuss von anderen APT-Gruppen vor der SecurID-Hack. Diese Gruppen "wurden nach Seed-Werte gehen", sagt der Analyst, obwohl "wir wissen nicht, ob sie taten erweiterte Aufklärung" für die späteren Angriffen. Darüber hinaus wurde von RSA-Hit "Drive-by-Malware", meinte der Ernte run-of-the-mill Arten von Daten. Coviello, für seinen Teil, sagt: "Wir haben keine Beweise" von Intrusionen beginnend frühestens März.

Die SecurID hack, wann immer es begann und wie lange es dauerte, war eine anspruchsvolle Intrusion. Obwohl RSA hat nicht gesagt, wie der Widersacher verwaltet unentdeckt in seinem Netz zu bleiben, den vorherigen Beispielen von Stealth-Techniken, die von Angreifern verwendet APT zeigen, wie einfallsreich sie sein können. Jonathan Pollet, der Leiter der Red Tiger Security in Houston, Texas, wurde 2010 von drei Fortune 100-Unternehmen angestellt zu bereinigen nach einer Flut von Cyber-Angriffen, die von Servern in China kam. (Diese Eingriffe waren in vielerlei Hinsicht auf die Anschläge als Nachtdrache bekannt, die verschiedene Energiebranche in etwa zur gleichen Zeit ausgerichtet.) Pollet sagt die Opfer wusste, dass etwas Seltsames vor sich ging, weil sie wurde immer aus ihren E-Mail gesperrt Konten ohne ersichtlichen Grund. Aber die Gegner blieben unter dem Radar, indem sie ein genial böswilligen unterwegs: die Kontrolle über der Unternehmen virtuelle IT-Helpdesks, ihre IT-Help-Desk-Mitarbeiter die Identität und die Beantwortung der Mitarbeiter Service Beschwerden selbst. "Angreifer wollen ein Parasit sein, möchten sicherstellen, dass der Gastgeber ist glücklich", sagt Pollet. "Also, wenn sie wissen, dass der Helpdesk wird überwältigt von Beschwerden erhalten, entscheiden sie," wir diese Probleme uns einfach zu lösen. " "

Zählung der Toten




Chinas aggressive Kampagne von Cyber-Spionage begann vor über einem Jahrzehnt, mit Angriffen auf US-Regierungsbehörden. (Die Details sind noch nicht preisgegeben werden.) Dann China erweitert den Umfang ihrer Anstrengungen, Infiltration der zivilen Sektor, um geistiges Eigentum zu stehlen und einen Wettbewerbsvorteil gegenüber westlichen Unternehmen. Dmitri Alperovitch, Vizepräsident der Bedrohungsforschung bei McAfee, der Aurora und Nachtdrache gab ihre Namen und hat definitive Studien von APT-Attacken geschrieben, sagt, dass "heute sehen wir ziemlich jede Firma, die wertvolles geistiges Eigentum oder Geschäftsgeheimnisse jeglicher Art Wesen hat ständig gestohlen, den ganzen Tag, jeden Tag, unerbittlich. "

Einige der chinesischen geistigen Eigentums Diebstähle sind wie virtuelle Katze Einbrüche; andere sind innerhalb von Arbeitsplätzen; und viele verbinden Elemente aus beiden. Dongfan "Greg" Chung, ein ehemaliger Boeing, Rockwell Ingenieur, wurde im Jahr 2009 der als Vertreter der Volksrepublik China zu stehlen Geheimnisse der Space Shuttle-Programm und dem Delta IV-Rakete bezogenen Handeln verurteilt. Im März dieses Jahres wurde ein Mann namens Sixing "Steve" Liu, ein chinesischer Ingenieur, der für eine Abteilung von L-3 Communications tätig, unter dem Vorwurf der illegalen Export von militärischen Daten in China festgenommen. (Liu hat auf nicht schuldig plädiert und die Rechtssache anhängig ist.) Ein ehemaliger Google Exekutive sagte mir: "Die Partei ist sehr aggressiv bei der Durchsetzung der Loyalität unter chinesischen Mitarbeiter der amerikanischen Unternehmen. Dadurch entsteht ein Dilemma der Loyalitäts. Googles Antwort war, das Risiko einzugehen und Pflug vor. Google nicht mieten private Ermittler. Es kann ein Kosten für diese. "Early Berichterstattung über Operation Aurora haben, gegen Google, angezeigt, dass einige Google China Mitarbeiter hatten Zugriff auf interne Netzwerke verweigert und andere waren auf Urlaub in der Folge der Anschläge gesetzt oder neu zugeordnet. Laut einer Google-Sprecher, die Firma "lief einige Tests ... intern, um sicherzustellen, dass das Netzwerk sicher und sicher und wir gaben Googler in China einen Urlaub am Dienstag haben wir die Ankündigung."

Die Verwundbarkeit der Unternehmen zum Angriff stammt teilweise aus Unwissenheit, teilweise aus der Ablehnung. Google Führungskräfte angeblich geglaubt, dass die amerikanische Regierung überwacht Internet-Infrastruktur dieses Landes auf die gleiche Weise überwacht ausländischen militärischen Bedrohungen für die geographische Heimat zu sichern. Ein ehemaliger Beamter des Weißen Hauses sagte mir: "die NSA in Nachdem Google wurde gehackt, rief sie und sagte:" Du solltest uns davor zu schützen! " Die NSA Jungs fast fiel aus ihren Stühlen. Sie konnten nicht glauben, wie naiv die Google-Jungs gewesen war. "(Als Reaktion auf Detailfragen zu Operation Aurora und der Antworten des Unternehmens dazu, Google lehnte eine Stellungnahme ab.)

Martin Libicki, ein Rand Corporation Analyst und Autor Cyberdeterrence und Cyberwar, sagt, dass die 2007-Hack von Verteidigungsminister Robert Gates die Computer schließlich einige in Washington nehmen Sie die Cyber-Spionage Problem ernst. Das Pentagon hat zugegeben, dass im Juni dieses Jahres hatte es, einen Teil des Computersystems in Gates 'Büro nach dem Angriff, der hochrangigen US-Beamten in die Volksbefreiungsarmee zurückheruntergefahren. "Es wurde persönlich an diesem Punkt", sagt Libicki. Andere westliche Nationen begann öffentlich zu sprechen über das Problem etwa zur gleichen Zeit. Im August desselben Jahres, Bundeskanzlerin Angela Merkel angeblich konfrontiert chinesische Ministerpräsident Wen Jiabao nach Hacker aus seinem Land Zugriff auf die Computer in ihrem Büro gewonnen, aber auch diejenigen, die in der deutschen Außen-, Wirtschafts- und Forschungsministerien. Im Dezember schickte MI5 einen Brief an 300 Chefs britischen CEOs und Sicherheits warnte sie, dass staatlich geförderte chinesische Organisationen haben sich auf ihre Computersysteme ausspioniert.




Das öffentliche Bewusstsein für Internetspionage wurde im Januar 2010 drastisch erhöht, wenn Google zu sprechen begann Operation Aurora. Operation Aurora versammelt Quellcode, das virtuelle Äquivalent von Coca-Cola-Geheimformel, aus einer breiten Palette von US-Unternehmen. Da Quellcode ist so wertvoll, und weil die Art und Weise ihrer Diebstahl war so innovativ, waren viele Experten, die von der Art und Weise, dass Google angekündigt, die Angriffe und betonte Auroras sekundäre Ziel (Aufklärung von "Menschenrechtsaktivisten" in China) verwirrt eher als sein primäre (Diebstahl virtueller DNA von Google).

Zugriff auf den Quellcode ist es relativ einfach, neue Schwachstellen in einer Webanwendung zu entdecken. Für Malware-Autoren, der diese Sicherheitsanfälligkeiten sind die Schlüssel zum Königreich, die offenen Fenster in das Haus, das sie innen zu erhalten, um die Möbel-oder, je nach ihrer Ziele, um die Möbel zu bewegen, durch Änderung des Code stehlen lassen und daher möglicherweise ändern die Funktionen des Unternehmens Produkt.

Es war schließlich gezeigt, dass Eindringlinge hatte sich mit Quellcode für ein Google-Passwort-Management-Programm mit dem Namen Gaia gemacht. Die Verluste des Unternehmens sind weit verbreitet das Gerücht viel größer gewesen zu sein, aber. Neue Informationen aus Sicherheitsexperten, die persönlich von den Google-Sicherheitschef, Heather Adkins informiert wurden, während die Operation Aurora entfaltet, bietet ein weit umfassenderes Bild des Angriffs als Google öffentlich gesagt.

Drei Menschen, die von Google Mountain View, Kalifornien, Hauptsitz besucht, während die Angriffe liefen beschreiben dramatische Szenen eines Unternehmens im Belagerungszustand. Google "baute einen physisch getrennten Bereich für das Sicherheits-Team", sagt einer von ihnen. Sergey Brin, einer der Mitbegründer des Unternehmens, war tief in der Cyber-Verteidigung beteiligt. "Er zog seinen Schreibtisch zu gehen jeden Tag zu sitzen mit den Aurora-Responder. Weil er wuchs in der Sowjetunion, persönlich hat er eine echte Festplatte-on für die Chinesen jetzt. Er ist sauer. "Mit Überraschung und shorthanded, hat das Unternehmen eine Liste der weltweit führenden Sicherheitsexperten und Brin persönlich berufen, sie bieten Arbeitsplätze, mit $ 100.000 Unterzeichnung Boni für einige, nach einer Person, die ein solches Angebot-und schnell empfangen gebaut Googles kleinen, vorge Aurora Sicherheitsoperation in eine Gruppe von mehr als 200.

In der Zwischenzeit wurden die Vertreter anderer Unternehmen von Aurora getroffen zu Googleplex für private Treffen mit Adkins eingeladen. Sie sagte zwei der Besucher, die die Angreifer schnurstracks auf den Google-made "Rechtsfindung Portale", das System nutzt das Unternehmen, um Anfragen von Strafverfolgungsbehörden und ausländischen Regierungen zu bewerten. "Die Aktivität auf diesen Portalen wird streng überwacht", sagt ein Besucher. "Jemand bemerkte, dass eine Reihe von chinesischen Namen wurden auf dem Computer eine Frau abgefragt [in der Rechtsfindung Abteilung] und fragte sie:" Warum haben Sie all diese Leute fragen? " Sie sagte: "Ich tat es nicht." "

Sicherheit hat ihren Laptop zu analysieren, und "das war die Zeichenfolge sie fing an," dass die Aurora-Angriff entwirrt.

Viel wichtiger ist jedoch, und bisher nicht ange-ist, dass die Eindringlinge verwendet Google-interne Suchmaschine, um nach Worten, um Signaturzertifikate des Unternehmens im Zusammenhang aussehen: virtuelle Anmeldeinformationen, die die Identität der Quelle von Software zu überprüfen, bevor sie auf einen Computer übertragen werden . Dieser Teil der Angriff wurde vereitelt, weil Google behält seine Signaturzertifikate offline, in einem "Air Gap" Netzwerk-Netzwerks, der nicht mit dem Internet verbunden ist.

Die Suche nach Signaturzertifikate ist eine beunruhigende neue Information über die Operation Aurora Absichten. Es schlägt auch einen Link auf die SecurID Diebstahl. In beiden Operation Aurora und dem RSA-Hack, nicht nur, dass die Angreifer versuchen, geschützte Informationen stehlen versuchten sie, die digitalen Identitäten, die es ihnen ermöglichen, die Unternehmen ausgeben zu stehlen.

Googles erste Ankündigung der Operation Aurora erklärte, dass "mindestens zwanzig andere große Unternehmen aus einem breiten Spektrum von Unternehmen, einschließlich der Internet, Finanzen, Technologie, Medien und Chemie" -had betroffen, und Anfang Nachrichten namens Yahoo und Symantec als unter die anderen Opfer. Wie im Jahresverlauf stieg die Zahl der Toten: Adobe, Juniper Networks und Rackspace zugegeben, dass sie angegriffen hatte, so Intel. Es dauerte nicht lange ein Cache von E-Mails von den Analysten bei der Sicherheitsfirma HBGary und dem Schwesterunternehmen HBGary Bundes geschrieben wurden öffentlich gemacht, nachdem sich die Unternehmen in das Fadenkreuz der hacktivist Gruppe Anonymous, eine lose Koalition von Individuen, die koordinierte Cyber ​​führen gefangen Angriffe, manchmal mit dem erklärten Ziel der fortInternetFreiheit. Die E-Mails ergeben, dass Aurora oder ähnliche Angriffe waren auch betroffen Baker Hughes, ExxonMobil, Royal Dutch Shell, BP, Conoco Phillips, Marathon Oil, Lockheed, Northrop Grumman, Symantec, Juniper, Disney, Sony, Johnson & Johnson, General Electric, General Dynamics, die Kanzlei King & Spalding, und DuPont. DuPont war so intensiv, dass man HBGary Analyst schrieb, klicken Sie auf "ihre Haare in Brand."

Nicht nur, dass die HBGary E-Mails bieten neue Details über Aurora, sondern auch beschrieben ähnliche Angriffe, die nun schon war viel länger als die Öffentlichkeit wusste. "Viele der führenden Rüstungsunternehmen ... alle hatten ... aurora artige Angriffe so weit zurück wie 2005", schrieb ein Analyst. "So eine Suchmaschine macht einen großen Medien Gestank zu einem Einbruch, und das führt zu einem Haufen von Hype? Ich denke, die Diskussion muss sich auf, warum es 5 Jahre für den Rest der Branche getroffen, um zu fangen sein. "

Zeigefinger




Von Anfang an Google offen behauptete seinen Standpunkt, dass der Angriff in China entstanden und Hillary Clinton, nachdem er "von Google auf diese Anschuldigungen informiert", gab eine Erklärung ab, die pointiert gesagt: "Wir erwarten von der chinesischen Regierung um eine Erklärung." Ein Bericht von Verisign iDefense Security-Geheimdienst in Dulles, Virginia, ging weiter, die besagt, dass Aurora wurde von gerichtet "Agenten des chinesischen Staates oder Proxies davon." Die chinesische Regierung machte keine offizielle, öffentliche Reaktion auf Clintons Aussage. Aber kurz danach, ein Sprecher des chinesischen Ministeriums für Industrie und Informationstechnologie gegenüber Xinhua, die offizielle Nachrichtenagentur, über die Anschuldigungen in Bezug auf Google, dass der "Vorwurf, dass die chinesische Regierung nahm an [jedem] Cyber-Angriff, sei es in einer explizit oder inexplicit Übrigens ist unbegründet und zielt darauf ab, China zu verunglimpfen. "




Doch im Fall von Aurora, es Beweise für die Beteiligung. Nach Forscher fanden heraus, Ähnlichkeiten zwischen den Werkzeugen in der Aurora-Attacken und Malware-Tools, die auf offenen chinesischen Hacker Foren gepostet wurden verwendet, spekulierten viele Analysten, dass Peking hatte zivile Hacker als Proxy, um die Angriffe zu starten beschäftigt. Ein führender Sicherheits-Geheimdienstanalyst sagt er mehrere Dutzend Tipps aus Quellen in China darauf hindeutet, dass "in der Tat, es war die chinesische Regierung unter oder anspruchsvollen Zugang zu einigen der Forschung, dass die Hacker getan hatte, und dann mit ihm sich selbst "Der Analyst geht weiter:". Die chinesische Regierung hat diese gleiche Taktik an zahlreichen Einbrüchen beschäftigt. Weil ihre internen Polizei und Militär haben eine so angesehene oder gefürchtet Stimme unter der Hacker-Community, können sie Gebrauch von der Hacker Forschung mit ihrem Wissen zu machen und immer noch die Hacker halten schmallippig über sie. Die Hacker wissen, dass, wenn sie aus der Reihe tanzen werden sie sich schnell in eine sehr unangenehme Gefängnis im Westen Chinas, Wende großen Felsen in kleinere Felsen. "In einem undatierten Kabel öffentlich gemacht von WikiLeaks, ein amerikanischer Diplomat in Peking berichtet, dass Washington Aurora war ein Racheakt von einem chinesischen Politbüromitglied, der sich selbst gegoogelt und fand eine Reihe von wenig schmeichelhafte bestellten Artikel.

Die SecurID Hack verwendet die gleiche grundlegende Technik, die als Operation Aurora und viele andere den letzten Einbrüche, obwohl sie nutzten unterschiedliche spezifische Werkzeuge. Die Technik, genannt "Speer-Phishing," beginnt mit Aufklärung, um persönliche Informationen über die Mitarbeiter eines Unternehmens zu finden. Der Gegner kann Social-Networking-Websites, Troll, darunter Facebook und Twitter, oder E-Mail-Archive in früheren Angriffe exfiltrated seiner Opfer sozialen Situationen Diagramm zu erforschen. Dann schreibt der Widersacher E-Mails oder Instant Messages sendet individuell an die Empfänger zugeschnitten und sendet sie mit schädlichen Anhängen von Identitäten, dass das Opfer wird wahrscheinlich zu vertrauen. Wenn der Empfänger klickt auf den Anhang, die Malware, eine so genannte Remote-Access-Tool oder "Ratte", hakt sich in Windows-Betriebssystem des Benutzers innerhalb der Firewall des Unternehmens. Die Ratte wird manuell durch den Widersacher-eine tatsächliche Person bedient, sitzt an einem Computer, die darauf warten, in dem Rechner des Opfers zu nehmen. "Die erste Maschine ist nur ein Brückenkopf", erklärt McAfee Dmitri Alperovitch. "Ab diesem Zeitpunkt wird der Widersacher in Dokumenten-Repositories zu bewegen, E-Mail-Archiv-Server, gehen die Daten durch einen anderen Mechanismus, durch den Aufbau einer zweiten, Command-and-Control-Server übernehmen und versenden Sie sie aus dem Unternehmen, in der Regel, dass sie werden Daten an exfiltrate. Von dem Moment an der Malware geklickt haben, gibt es eine andere Person auf der anderen Seite der Anpassung an Ihr Netzwerk Öko-System, Ihr Sicherheitssystem, und versuchen verschiedene Dinge, bis sie in das bekommen, was sie wollen, erfolgreich zu sein. Es ist wie ein Predator-Drohne in Pakistan, die von einem Joystick in Nevada ist geregelt. "

Einige der Arten von Tools, mit der die RSA-Hacker Ratte, die Command-and-Control-Server-Infrastruktur und den Remotedomänen-hatte zuvor in einem anhaltenden Serie von Angriffen auf das Verteidigungsministerium und andere US-Regierung eingesetzt worden Systemen. Diese Angriffe wurden ursprünglich mit dem Codenamen Titan Regen. Nachdem Titan Regen veröffentlicht wurde umgetauft mit dem Codenamen byzantinischen Hades, und nach diesem Namen auch gemacht wurde öffentlich, byzantinische Hades wurde mit mindestens drei weitere neue Kleinanzeigen Codenamen wieder genannt, nach einem ehemaligen NSA-Analyst. Einige Top-Intrusion-Spezialisten führen diese Reihe von Angriffen auf eine Gruppe in China genannt Red Hacker Alliance, die Beziehungen zu der Volksbefreiungsarmee im Verdacht hat. (Die besonderen Malware und Command-and-Control-Server in der SecurID Hack benutzt, jedoch waren einzigartig und nicht in früheren Angriffe verwendet.)

Act of War?




Am 21. Mai, die Computersysteme von Amerikas größten Militärauftragnehmer Lockheed Martin, entdeckt einen Eindringling. Eine Woche später bestätigt Lockheed den Verstoß in einer Erklärung. Das Unternehmen nannte den Angriff "signifikante und zäh", sondern auch sagte, sie habe festgestellt "fast sofort", an welcher Stelle das Unternehmen hat "aggressive" Aktionen zu stoppen. "Unsere Systeme sicher bleiben; keine Kunden, Programme oder Daten Mitarbeiter gefährdet ist ", so die Erklärung, wird offen gelassen die Frage, wie ein Eindringen könnte sowohl" zäh "und erkannt" fast sofort, erhebliche "" und wie es sein könnte ", ohne dabei an Daten . Die Veranstaltung war bemerkenswert genug, dass Präsident Obama wurde über die Situation informiert. Ein nicht namentlich genannter Lockheed Exekutive sagte der New York Times, dass die Ermittler "kann nicht ausschließen," eine Verbindung zum RSA Verletzung. RSA sagte, es sei "verfrüht, darüber zu spekulieren", auf die Ursache des Angriffs.

Am 31. Mai wurde bekannt, dass L-3 Communications, die Nachrichtengewinnung, Überwachung und Aufklärung Technologie bietet, um der US-Regierung, war auch angegriffen worden, nach einer E-Mail, um L-3 Mitarbeiter vom April 6. Die E-Mail- sagte, dass L-3 war von der RSA Verletzung "aktiv mit Penetrationsangriffe Nutzung der Informationen beeinträchtigt gezielte". Auf die Frage, ob Eindringlinge hatten die Möglichkeit, SecurID-Schlüsselanhänger Klon gewonnen, sagte ein RSA-Sprecherin: "Das ist nicht etwas, was wir kommentiert hatte und wahrscheinlich auch nie tun."

Am nächsten Tag, dem 1. Juni berichtet Fox News, dass Northrop Grumman hatte sich Remote-Zugriff auf ihr Netzwerk ohne Warnung abgeschnitten, Zurücksetzen Domain-Namen und Passwörter, und was "Chaos" im gesamten Unternehmen, nach einem ungenannten Northrop Exekutive. Offizielle Antwort des Unternehmens auf Fox 'Fragen in der Sache war, wörtlich, das gleiche wie ihre Antwort auf meine Fragen zu früheren berichteten Hacks, geht zurück einigen Jahren: "Wir wissen nicht, ob oder nicht, Northrop Grumman ist oder war ein Ziel für Kommentar Cyber-Angriffe. "

Am selben Tag hat Google seinen ersten Behauptung der chinesischen Hacker seit Operation Aurora, bekannt, dass es einen Versuch, aus China, die Google Mail-Passwörter von hochrangigen US-Regierungsbeamte stehlen vereitelt hatte. In der nächsten Woche, am 7. Juni, gab RSA Art Coviello ein mea culpa Interview mit dem Wall Street Journal, zuzugeben, dass die gesamte SecurID-System kompromittiert wurde, bietet praktisch auf der Stelle von allen der Millionen von Token markt und ärgerlich viele seiner Kunden, die teilweise berichtet wurde, werden Teilung ihrer Beziehung zu RSA und die Einstellung neuer Sicherheitsunternehmen. Coviello, sagt, dass er das Ersatzangebot, weil, "post-Lockheed hatte Kunden eine geringere Risikobereitschaft", und er sagt, dass "weniger als 10 Prozent unserer Kunden haben Ersatz-Token angefordert."

Dieser Ansturm der Enthüllungen war umso außergewöhnlicher, weil die amerikanische Industrie hat so wenig Anreize, um über seine Verluste kommen sauber, und so viele Anreize, sie zu vertuschen. War es ein Zufall, dass nur wenige Stunden vor Northrop und Google angebliche Hacks bekannt wurde, das Pentagon vorgesehen ein Element seiner nächsten Cyber-Kriegsstrategie, um das Wall Street Journal, erklärte, dass die USA einige Cyber-Angriffen als den Gegenwert von sein physische Kriegshandlungen?




Wie so viele Rip Van Winkles, die meisten von Washington war eingeschlafen, während Cyber-Angriffen vermehrt. Aber ein paar Stimmen haben versucht, die Stadt wacht. One gehört Scott Borg, Direktor und Chefökonom der US Cyber ​​Consequences Unit-, dessen Forschung zeigt, dass China, um das Wirtschaftswachstum aufrecht zu erhalten ", wird zunehmend auf große Datendiebstahl. Das bedeutet, dass Cyber-Angriffe sind jetzt ein grundlegender Teil der chinesischen nationalen Entwicklungsstrategie. "Eine andere Stimme ist die des James A. Lewis, ein ehemaliger Diplomat, führt nun die Technologie und Public Policy Programm am Zentrum für Strategische und Internationale Studien. Er sagt: "Das, was wir haben, um durch Arbeit ist, wie können wir mit den Chinesen zu diesem Thema arbeiten? This administration has decided they want to cooperate, not have a confrontation.” A senior State Department official elaborates: “One of the core things we're trying to do diplomatically is to build a consensus internationally to build norms of behavior, rules of the road,” as described in the president's “International Strategy for Cyberspace.” (The norms include “Upholding Fundamental Freedoms,” “Respect for Property,” and “Right of Self-Defense.”) James A. Lewis goes on: “This is what we did on missile proliferation. Our allies showed up and we all said, 'Here are the norms.' But how do we get a flow of countries to show up and say, 'You're crossing a line. Back off, or there will be consequences'? What is the cost to the Chinese right now? Until there is some cost, they're not going to stop.”

Another White House document, the “Comprehensive National CyberSecurity Initiative,” as well as several bills in Congress, propose ways of protecting critical infrastructure, such as electrical grids, from cyber-intrusions. China has so thoroughly probed and mapped our power system that former director of national intelligence Dennis Blair once publicly admitted that “a number of nations, including Russia and China, can disrupt elements of the US information infrastructure.”

Still others are trying to address the economic impact of cyber-espionage. On May 11, Senator Jay Rockefeller and several of his colleagues sent a letter to Mary Schapiro, chair of the US Securities and Exchange Commission, asking the SEC to issue interpretive guidance for companies about disclosing material risk due to cyber-breaches. The morning Rockefeller sent his letter, Tom Kellermann, a former cyber-security specialist at the World Bank, told me that the SEC would force companies to make significant disclosures. “The dragon lady's gonna rain down fire,” he said.

The dragon lady has her work cut out for her. One industrial-control-systems security specialist recalls a conversation with a chief financial officer and a chief information officer of a major corporation after finding 65 vulnerabilities in the company's networks, which would have required a huge investment to fix. “What's the worst that can happen if we don't fix any of these?” the CFO asked.

“We have large exposure,” answered the CIO “We could potentially be attacked—”

“No, no, no. What is the financial impact if we don't do any of these?”

“We're not regulated or audited, so there won't be any fines.”

The CFO answered, “You get no budget,” and the topic was closed.

The persistent culture of secrecy surrounding all things cyber compounds the difficulty of taking practical steps against Chinese hacking. Much, perhaps most, information about cyber-conflict of all types is classified, which creates tremendous practical problems of communication. Sometimes, when the FBI learns of an intrusion through classified channels, the Bureau has to find other, unclassified evidence of the intrusion in order to be able to tell the victim what is happening. “If it's a defense contractor being hacked, then the victim company includes people with clearances, so communication is easy. But if you're talking about a company where no one has clearances, that presents a significant problem”—and can create a significant time delay between the discovery of a hack and the victim's awareness of exposure, according to one cyber-security analyst.

Playing the Fool




Yet the deeper I delved into the Chinese hacking problem, the more I discovered a network of individuals in government and the private sector who are serving as a semi-official Resistance in this secret war. A handful of influential congressional staffers who shape Hill debate on these matters put me in touch with top intrusion specialists who are former hackers, military personnel, or National Security Agency officials. These analysts are the civilian, cyber-equivalent of special-ops forces. When my phone rang very late one night this spring, I was surprised to see the name of one of these analysts on the screen. In the mood to talk, he spent most of an hour describing his work to me, naming names and counting losses with shocking precision, though forbidding me to repeat the details of his disclosures.

In this conversation—the first of several that took place over the following months—the man said that he had started his career protecting government networks against foreign attacks. On that job, he became so preoccupied with the scale of Chinese hacking that a senior military officer told him to stop talking about it, with the gruff explanation that “the reason this is still going on is that the Chinese government now owns us.” Frustrated, the analyst eventually left government service for the private sector.




The problem may be reaching a boil that will take significant willpower to ignore. In mid-July, the security firm McAfee shared exclusively with Vanity Fair the results of its latest cyber-espionage investigation. McAfee reports that, over a period of five years, a single Adversary penetrated more than 70 organizations, from giant multi-national corporations to tiny nonprofits, representing more than 30 industries around the world, and exfiltrated intellectual property—including e-mail archives, legal contracts, negotiation plans for business activities, design schematics, and government secrets—as soon as its spear-phishing victims clicked on a link to a Web page. One country's Olympic committee was compromised for a full 28 months; many other organizations were compromised for two whole years. McAfee has given the name Operation Shady rat to this set of intrusions. Dmitri Alperovitch, who discovered Operation Shady rat, draws a stark lesson: “There are only two types of companies—those that know they've been compromised, and those that don't know. If you have anything that may be valuable to a competitor, you will be targeted, and almost certainly compromised.”

The full list of Operation Shady rat's victims includes government agencies and corporations worldwide. The vast majority of victims—more than two-thirds of the total—are in the US Among the other countries targeted are Taiwan, South Korea, Japan, Hong Kong, Singapore, India, Germany, and the UK In 2007, the year before the Beijing Olympics, one international athletics organization and the Olympic committees of three different countries were breached by this intruder. Alperovitch believes the targeting of the Olympic committees and of American political nonprofits suggests the intrusions were state-sponsored, explaining, “There's no economic gain to compromising them.” When asked if the People's Republic of China was conceivably behind Shady rat—given that China was not itself attacked—Alperovitch noted that McAfee's policy was not to comment on attribution. He added, “If others want to draw that conclusion, I certainly wouldn't discourage them.”

Another security researcher who was on the front lines during Operation Aurora says, “Those of us who are hands-on-keyboard want this story to be told, because we feel like the top corporate managers—following the advice of their lawyers—are reflexively keeping breach information secret from other companies that are trying to defend themselves. In the big picture, a little bit of short-term embarrassment is worth it, to get the American people to understand that there's a low-level Cold War going on.” Despite—and also because of—the extreme secrecy surrounding industrial cyber-espionage, this phenomenon is gradually effecting a fundamental re-arrangement of the relationship between state and corporate power.

Michael Hayden was the director of the NSA and then the CIA during the period when the problem of Chinese cyber-espionage developed. In a conversation with him about Operation Aurora, I asked what he believed to be the most significant fact about those intrusions.

He answered, “You see Google acting in some ways as nation-states used to act, exercising to the best of their ability some attributes traditionally associated with sovereign states. 'We're going to break relationship'—cease doing business there, you know. It's something I dwell on a lot. The cyberworld is so new that the old structures, you know—state, non-state, public, private—they all break down … The last time we had such a powerful discontinuity is probably the European discovery of the Western Hemisphere. At that point, we had some big, multi-national corporations—East India Company and Hudson's Bay—that acted as states. And I see elements of that with the big Microsofts and Googles of the world. Because of their size, they actually are making decisions that have the impact of the kinds of decisions made in the halls of government. Google is not a state. But what constitutes Google's inherent right of self-defense in this new environment against this kind of attack? I'm not accusing anyone of doing anything wrong. These situations are just so different. What do we believe would be legitimate for Google to do in response to this? Now, I don't have answers. I really don't know, but it's a really good question.”




Operation Starlight has an old-fashioned answer to that question: Find the culprits and put them to shame. Its draft report declares: “The attacker's name, telephone number records, and other pertinent information should be divulged to the public in order to support attacker attribution and assist in tracking back to the source.”

But no one believes that this tactic by itself will solve the problem—or that corporations will embrace their long-term best interest anytime soon. Rather, so long as executives and politicians are guided by short-term self-interest, they will continue to play the fool to the country that would be king. “You need to consider: What are the subconscious assumptions that companies bring to the issue of foreign cyber-attacks on their networks?,” a senior Senate staffer who works on cyber-issues asked me. “They assume that if something bad happens government will take care of the losses. They act like they don't really believe that a bank could get completely taken out, or that a tech giant could get its whole lunch eaten, because it sounds as fictional as 9/11 would have sounded before it happened. But terrorism is not the best analogy here. Who could have imagined that people would have flown airplanes into buildings? The difference with cyber is there are people trying to fly planes into buildings every day now. And everybody just looks the other way.”

correction: The online version of this story reflects two developments that came to light since the magazine went to press. The number of athletics organizations breached in 2007 by the Shady rat intruder was one, not two. Additionally, American defense contractors were not among those whose systems were compromised for two whole years.