# Operation Aurora - Espionagem Google e Big Tech 2009 > [!high] Campanha Histórica - Zero-Day IE em Espionagem Corporativa Massiva > Campanha de espionagem cibernética atribuída ao grupo APT17 (China), revelada públicamente pelo Google em janeiro de 2010. Comprometeu mais de 20 grandes empresas de tecnologia americanas através de um zero-day no Internet Explorer (CVE-2010-0249), visando código-fonte, propriedade intelectual e informações sobre dissidentes chineses usuários do Gmail. ## Visão Geral A **Operation Aurora** foi uma das campanhas de espionagem cibernética mais significativas da história da internet - não pela sofisticação técnica excepcional, mas pelo impacto político e pela decisão sem precedentes do Google de tornar o incidente público. Em janeiro de 2010, o CEO Eric Schmidt anunciou que o Google havia sido atacado com origem na China, visando código-fonte do Google e contas Gmail de ativistas de direitos humanos. A campanha comprometeu pelo menos 20 empresas de tecnologia de ponta dos EUA, incluindo Adobe, Juniper Networks, Rackspace, Yahoo, Symantec, Morgan Stanley e Dow Chemical, além do próprio Google. O vetor de ataque utilizava a [[cve-2010-0249|CVE-2010-0249]] - uma vulnerabilidade zero-day no Internet Explorer 6 que permitia execução de código remoto via documento HTML malicioso. A decisão do Google de tornar o incidente público foi revolucionária para o campo de CTI: marcou o início de uma era de disclosure responsável de campanhas APT por empresas privadas e estabeleceu o precedente de que empresas de tecnologia podiam (e deveriam) responder públicamente a operações de espionagem estatal. Antes de Aurora, a norma era silêncio corporativo sobre intrusões de Estado. O uso do [[s0012-poisonivy|Poison Ivy]] como RAT de pós-exploração foi documentado extensivamente nesta campanha, tornando-se um dos primeiros "fingerprints" de malware amplamente reconhecidos para atribuição de APT chinês. A campanha é considerada o catalisador do campo moderno de Cyber Threat Intelligence. **Plataformas:** Windows (Internet Explorer 6) ## Linha do Tempo ```mermaid timeline Junho 2009 : Início das intrusões : vetor IE zero-day Dez 2009 : Comprometimento do Google : código-fonte acessado : contas Gmail de ativistas 12 Jan 2010 : Google anuncia publicamente : "origem: China" : ameaça de saída do mercado 14 Jan 2010 : McAfee publica análise : nome "Aurora" da campanha Jan 2010 : EUA convoca embaixador chinês : início da tensão diplomática Mar 2010 : Google redireciona para HK : sai da China continental ``` **Cadeia de ataque Aurora:** ```mermaid graph TB A["🎣 Spear-phishing inicial<br/>email ou mensagem IM<br/>com link malicioso"] --> B["💥 IE6 zero-day<br/>CVE-2010-0249<br/>drive-by download"] B --> C["💾 Aurora Backdoor<br/>dropper instalado<br/>via heap spray"] C --> D["📡 Poison Ivy RAT<br/>conecta a C2<br/>via HTTPS criptografado"] D --> E["🔍 Reconhecimento interno<br/>identificação de<br/>repositórios de código-fonte"] E --> F["📤 Exfiltração<br/>código-fonte, propriedade<br/>intelectual, dados Gmail"] ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1566-002-spearphishing-link\|T1566.002]] | Spearphishing Link | Link malicioso via email/IM para página com IE zero-day | | [[t1203-exploitation-for-client-execution\|T1203]] | Exploitation for Client Execution | CVE-2010-0249 - IE6 heap spray | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | Poison Ivy C2 via HTTPS | | [[t1560-archive-collected-data\|T1560]] | Archive Collected Data | Compactação de código-fonte antes da exfiltração | | [[t1119-automated-collection\|T1119]] | Automated Collection | Coleta de repositórios de código e emails | ## Objetivos da Campanha Os objetivos documentados do Operation Aurora foram múltiplos: **Objetivo 1 - Código-fonte proprietário:** - Acesso a repositórios de código-fonte do Google para engenharia reversa de produtos - Identificação de vulnerabilidades 0-day nos próprios produtos do Google **Objetivo 2 - Inteligência sobre ativistas:** - Identificação de usuários Gmail associados a dissidentes chineses - Mapeamento de redes de comunicação de ativistas de direitos humanos na China **Objetivo 3 - Espionagem corporativa ampla:** - Propriedade intelectual de 20+ empresas de tecnologia americanas - Algoritmos, patentes, designs de produtos ## Impacto Histórico no Campo CTI Operation Aurora é um marco fundador do campo moderno de CTI: 1. **Primeira disclosure pública por empresa privada**: O Google estabeleceu o precedente de empresas tecnológicas tornando públicas intrusões de Estado 2. **Taxonomia APT**: A Mandiant usou Aurora como catalisador para desenvolver a nomenclatura APT (Advanced Persistent Threat) 3. **Atribuição pública**: Demonstrou que atribuição de intrusões a Estados era possível e que empresas privadas podiam fazê-la 4. **Mudança de política**: Influenciou as políticas de cyber de múltiplos governos, incluindo os primeiros frameworks de "defend forward" ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > Empresas brasileiras como Embraer, Vale, Petrobras e grandes bancos com operações na China usam os mesmos serviços de email e colaboração que foram alvo da campanha. O padrão de espionagem de código-fonte é replicado em campanhas mais recentes como SolarWinds e 3CX. Operation Aurora é o caso fundador do campo CTI moderno - obrigatório no currículo de qualquer analista. Operation Aurora, embora de 2009-2010, permanece relevante para o Brasil por múltiplos ângulos: 1. **Empresas com escritórios na China**: Empresas brasileiras (Embraer, Vale, Petrobras, grandes bancos) com operações na China usam serviços de email e colaboração que foram alvo da campanha 2. **Padrão de espionagem de código-fonte**: O vetor de comprometimento de repositórios de código-fonte é replicado por campanhas mais recentes como [[solarwinds-supply-chain-attack|SolarWinds]] e [[3cx-supply-chain|3CX Supply Chain]] 3. **Ativistas e diaspora**: Brasileiros de origem chinesa com comúnicações sensíveis via Gmail são potencialmente elegíveis para vigilância em operações similares futuras ## Detecção (Padrões Modernos Baseados em Aurora) **Indicadores de comportamento baseados em Aurora:** - Processo de browser fazendo conexões de rede para IPs externos após navegação em link recebido por email - RAT se comúnicando por HTTPS para domínio com certificado autoassinado ou WHOIS recente - Acesso a múltiplos repositórios de código-fonte por conta de usuário em horário incomum **Legado técnico:** - Heap spray via JavaScript ainda é TTP relevante em exploits de browser - Poison Ivy permanece detectado em amostras modernas de grupos APT chineses ## Referências - [1](https://blog.google/threat-analysis-group/new-approach-to-china/) Google - A New Approach to China (2010, post original) - [2](https://www.mandiant.com/resources/blog/operation-aurora-attack-analysis) Mandiant - Operation Aurora Analysis (2010) - [3](https://attack.mitre.org/campaigns/C0048/) MITRE ATT&CK - Operation Aurora (C0048) - [4](https://krebsonsecurity.com/2010/01/google-to-stop-censoring-china-search-results/) Krebs on Security - Aurora e o Google (2010) - [5](https://nvd.nist.gov/vuln/detail/CVE-2010-0249) NVD - CVE-2010-0249 Internet Explorer Zero-Day