# Operation Aurora > [!info] Visão Geral > **Operation Aurora** foi uma campanha de espionagem cibernetica sofisticada atribuida a atores ligados ao estado chines, particularmente ao grupo [[g0025-apt17]] (também referênciado como Axiom/APT17). A operação ficou pública em janeiro de 2010 quando o Google anunciou ter sido alvo de um ataque altamente sofisticado originado na China, com objetivo de acessar contas Gmail de ativistas de direitos humanos e roubar código-fonte proprietario. Ao total, mais de **30 grandes empresas** foram comprometidas, incluindo Adobe, Juniper Networks, Rackspace, Yahoo e Morgan Stanley. O ataque explorou uma vulnerabilidade zero-day no Internet Explorer ([[cve-2010-0249|CVE-2010-0249]]) e utilizou o RAT [[s0203-hydraq]] como implante principal. A Operation Aurora marcou um ponto de inflexao na percepcao de ameaças ciberneticas de origem estatal. ## Visão Geral A Operation Aurora representa um divisor de águas na história da segurança cibernética: foi a primeira campanha de espionagem patrocinada por estado que ganhou atenção global mainstream, transformando a forma como governos e empresas percebem ameaças cibernéticas de origem estatal. Atribuída ao grupo [[g0025-apt17]] com nexo chinês, a campanha explorou a vulnerabilidade zero-day [[cve-2010-0249|CVE-2010-0249]] no Internet Explorer para comprometer mais de 30 grandes corporações globais entre meados de 2009 e janeiro de 2010, quando o Google tornou o ataque público. O objetivo central era duplo: roubar código-fonte proprietário de empresas de tecnologia de ponta e acessar contas Gmail de ativistas de direitos humanos chineses — fornecendo ao governo chinês informações sobre dissidentes para possível repressão. O RAT [[s0203-hydraq]] (também conhecido como Aurora.dll) foi o implante principal, comúnicando-se por HTTPS para camuflar o tráfego malicioso. A técnica de "heap spray" no Internet Explorer para explorar o CVE-2010-0249 foi particularmente sofisticada para a época, demonstrando capacidade de desenvolvimento ofensivo próprio pelo grupo. O impacto geopolítico foi imediato: o Google anunciou que estava considerando encerrar operações na China, a Secretária de Estado Hillary Clinton fez uma declaração pública sobre liberdade na internet, e o incidente acelerou debates sobre normas internacionais de comportamento estatal no ciberespaço. Para a [[brazil|região LATAM]], Aurora estabeleceu o paradigma que motivou posteriormente o investimento brasileiro em capacidade defensiva cibernética e a criação de estruturas como o CTIR Gov, especialmente após as revelações de espionagem do caso Snowden em 2013. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Identificação de alvos<br/>corporativos e ativistas"] --> B["Acesso Inicial<br/>Spear-phishing via IE<br/>zero-day CVE-2010-0249"] B --> C["Execução<br/>Shellcode via<br/>heap spray no IE"] C --> D["Implante<br/>Hydraq RAT instalado<br/>Conexão C2 HTTPS"] D --> E["Movimento Lateral<br/>Credenciais roubadas<br/>RDP e SMB interno"] E --> F["Exfiltração<br/>Código-fonte e<br/>documentos sensiveis"] F --> G["Persistência<br/>Backdoor alternativo<br/>PoisonIvy como fallback"] ``` > **Atores:** [[g0025-apt17]] | **Malware:** [[s0203-hydraq]], [[s0012-poisonivy]] | **CVE:** [[cve-2010-0249|CVE-2010-0249]] ## Cronologia ```mermaid timeline title Operation Aurora - Linha do Tempo 2009-06 : Inicio estimado das intrusoes - acesso silencioso 2009-12 : Google detecta acesso nao autorizado a contas Gmail 2010-01-12 : Google anuncia publicamente o ataque e ameaça sair da China 2010-01-14 : McAfee publica análise técnica nomeando Aurora 2010-01-20 : Secretaria Clinton faz declaracao sobre liberdade na internet 2010-03 : Google encerra operacoes de busca na China continental 2013-02 : Mandiant APT1 report conecta grupo a Shanghai 2014 : DOJ EUA indicia 5 oficiais do PLA por espionagem cibernetica ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Email com link para pagina com exploit IE | | Exploitation for Client Execution | [[t1203-exploitation-for-client-execution\|T1203]] | Exploração zero-day CVE-2010-0249 no IE6/7/8 | | Command and Scripting Interpreter | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via shell Windows | | Application Layer Protocol | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTPS para mascarar trafego | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas para movimento lateral | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de código-fonte via canal C2 | ## Vitimas e Impacto A operação comprometeu mais de 30 grandes organizacoes globais: **Tecnologia (confirmadas):** - [[technology|Google]] - contas Gmail de ativistas de direitos humanos, código-fonte do buscador - Adobe Systems - código-fonte e propriedade intelectual - Juniper Networks - infraestrutura de rede - Rackspace - sistemas de hospedagem **Financeiro e outros:** - [[financial|Morgan Stanley]] - dados financeiros e de clientes - Yahoo - infraestrutura de email - Northrop Grumman, Dow Chemical - dados de defesa e pesquisa industrial **Impacto estratégico:** - Roubou código-fonte do Google usado em servicos criticos - Comprometeu contas de ativistas chineses de direitos humanos para identificação por Pequim - Levou a ruptura das relacoes diplomaticas EUA-China no ambito digital - Catalisou criação de politicas de segurança cibernetica em governos ocidentais ## Relevância LATAM e Brasil A Operation Aurora nao teve impacto direto no Brasil ou LATAM, porém estabeleceu paradigmas cruciais para a segurança regional: - **Primeiro caso global de APT de estado confirmado**: demonstrou que ataques de espionagem cibernetica patrocinados por estados sao realidade, influenciando posteriormente a postura do [[government|governo brasileiro]] frente ao caso Snowden em 2013 - **Modelo para campanhas futuras**: as técnicas de Aurora foram replicadas por grupos como [[g0007-apt28]] e [[g0016-apt29]] em campanhas que posteriormente afetaram a [[brazil|regiao LATAM]] - **Influencia regulatoria**: o caso impulsionou frameworks de segurança que chegaram ao Brasil via [[iso27001|ISO 27001]] e normas do [[bacen|Banco Central]] para o setor financeiro ## Mitigação **Acoes técnicas:** - Manter [[technology|navegadores]] e plugins atualizados - patches imediatos para zero-days - Bloquear execução de scripts nao autorizados (AppLocker, GPO) - Monitorar conexoes HTTPS para dominios nao catalogados **Controles estratégicos:** - Aplicar [[m1049-antivirus-antimalware|M1049]] - detecção de RATs como Hydraq e PoisonIvy - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA para impedir acesso com credenciais roubadas - Usar [[m1031-network-intrusion-prevention|M1031]] - inspecao de trafego C2 sainte - Monitorar via [[ds-0022-file-access|DS-0022]] - acesso incomum a repositorios de código-fonte ## Referências - [1](https://googleblog.blogspot.com/2010/01/new-approach-to-china.html) Google Blog - A New Approach to China (2010) - [2](https://web.archive.org/web/20100114031319/http://www.mcafee.com/us/local_content/white_papers/wp_operation_aurora_v3.pdf) McAfee - Operation Aurora White Paper (2010) - [3](https://www.mandiant.com/resources/blog/operation-aurora-have-you-been-pwned) Mandiant - Operation Aurora: Have You Been Pwned (2010) - [4](https://www.wired.com/2010/03/operation-aurora/) WIRED - Operation Aurora (2010) - [5](https://securelist.com/operation-aurora/28867/) Kaspersky Securelist - Operation Aurora (2010) - [6](https://nvd.nist.gov/vuln/detail/CVE-2010-0249) NVD - CVE-2010-0249 Internet Explorer Vulnerability (2010) - [7](https://www.trendmicro.com/en_us/research/10/a/operation-aurora-hit-google-others.html) Trend Micro - Operation Aurora Analysis (2010)