aurora-backdoor - RunkIntel

# Aurora Backdoor (Hydraq) > [!high] Backdoor de espionagem desenvolvido pelo grupo Elderwood (associado ao APT17 e ao governo chines) e usado na historica Operação Aurora (2009-2010), que comprometeu Google, Adobe, Juniper e mais de 34 grandes empresas americanas. Continua ativo em variantes sob o nome 9002 RAT. ## Visão Geral O Aurora Backdoor, rastreado pelos antivírus como **Hydraq** e também conhecido como **McRAT** e **9002 RAT**, é um trojan customizado que ganhou notoriedade mundial como a arma principal da **Operação Aurora** - uma série de ataques cibernéticos sofisticados contra corporações americanas e de outros países entre meados de 2009 e dezembro do mesmo ano. O nome "Aurora" vem de uma string encontrada nos binários do malware que correspondia ao caminho de pasta no computador do atacante: as ferramentas foram compiladas a partir de um diretório chamado "Aurora". McAfee reportou públicamente o ataque em janeiro de 2010, após o Google divulgar que havia sido alvo de um "ataque altamente sofisticado e direcionado" originado na China. O grupo por trás da Operação Aurora é o **Elderwood Group** (também chamado "Beijing Group" pela Dell Secureworks), com fortes vínculos com o Exército de Libertação Popular (PLA) da China e reconhecido pelo designativo **APT17**. O ataque comprometeu mais de 34 organizações, incluindo Google, Adobe, Juniper Networks, Rackspace, Northrop Grumman, Morgan Stanley e Yahoo. O Aurora Backdoor estabelece uma ligação histórica com o [[9002-rat\|9002 RAT]], que continua sendo usado em campanhas de espionagem até 2024, incluindo ataques recentes contra empresas e entidades governamentais italianas. > [!latam] Relevância para o Brasil e LATAM > O APT17 e o Elderwood Group não têm histórico documentado de ataques ao Brasil, mas a evolução para o 9002 RAT — ainda ativo em 2024 — representa risco para organizações brasileiras de tecnologia, governo e defesa que possam ter interesse estratégico para a China. O Brasil mantém relações comerciais e diplomáticas significativas com a China, tornando setores como **telecomúnicações**, **energia** e **tecnologia** potencialmente relevantes para espionagem estatal chinesa de longo prazo. ## Relevância Histórica A Operação Aurora marcou um ponto de inflexão na percepção pública sobre ameaças cibernéticas patrocinadas por estados. Foi o momento em que o conceito de APT (Advanced Persistent Threat) se tornou mainstream, e o incidente acelerou a criação de frameworks de inteligência de ameaças como o MITRE ATT&CK. O ataque foi notável por explorar um **zero-day no Internet Explorer** (depois de conhecimento da Microsoft desde setembro de 2009) e por visar específicamente as contas Gmail de ativistas pelos direitos humanos chineses e possíveis agentes de inteligência americanos sob vigilância. ## Como Funciona A Operação Aurora utilizou uma cadeia de ataque sofisticada baseada em drive-by compromise via exploit de zero-day no Internet Explorer: ### Attack Flow - Operação Aurora ```mermaid graph TB A["🎯 Spear-phishing Email ou mensagem MSN Chat com link para site infectado"] --> B["💥 Exploit IE Zero-Day Vulnerabilidade use-after-free no Internet Explorer 6/7/8"] B --> C["📥 Download do Backdoor Hydraq baixado e executado a partir de servidor externo"] C --> D["🔒 Conexão C2 SSL fake para servidores em Illinois, Texas e Taiwan"] D --> E["🔍 Reconhecimento interno Scan da intranet corporativa por sistemas vulneraveis"] E --> F["📤 Exfiltração Código-fonte, dados IP contas Gmail de ativistas"] ``` ## Capacidades do Backdoor O Aurora Backdoor (Hydraq) é um trojan customizado com as seguintes capacidades: | Capacidade | Descrição | |-----------|-----------| | Acesso remoto | Controle completo do sistema comprometido | | SSL falso | Conexão C2 disfarçada de SSL legítimo | | Reconhecimento de rede | Scan de sistemas internos da intranet | | Acesso a repositórios de código | Busca e exfiltração de source code | | Persistência | Manutenção de acesso de longo prazo | | Módulos de captura | Screenshots, keylogging (via módulos adicionais no 9002 RAT) | O código-fonte contém timestamps de compilação que remontam a maio de 2006, sugerindo desenvolvimento em andamento muito antes da Operação Aurora de 2009. ## TTPs Principais | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[T1189-drive-by-compromise\|T1189]] | Sites infectados com exploit de IE | | Execução | [[T1203-exploitation-for-client-execution\|T1203]] | Zero-day no Internet Explorer | | C2 | [[T1071-application-layer-protocol\|T1071.001]] | HTTP/HTTPS com SSL falso para C2 | | Coleta | [[T1005-data-from-local-system\|T1005]] | Acesso ao código-fonte via Perforce | | Descoberta | [[T1057-process-discovery\|T1057]] | Enumeração de processos e sistemas internos | | Descoberta | [[T1046-network-service-discovery\|T1046]] | Scan da intranet por sistemas vulneraveis | ## Evolução: Aurora para 9002 RAT O Aurora Backdoor (Hydraq) evoluiu para o [[9002-rat\|9002 RAT]], que continua sendo usado pelo APT17 em campanhas ativas: - **2009** - Hydraq/Aurora usado na Operação Aurora contra Google e outros - **2013** - Campaignha Sunshop: redirecionamentos maliciosos em websites - **2013** - Operation DeputyDog: exploração de zero-day em IE contra alvos japoneses - **2022** - Symantec documenta Webworm reutilizando o 9002 RAT modificado - **2024** - APT17 usa 9002 RAT em ataques contra empresas e governo italiano (julho) ## Conexão com Outros Ataques Históricos O Elderwood Group responsável pela Aurora estava também por trás de outras campanhas de espionagem, incluindo **GhostNet** (2009) e **Titan Rain** (2003-2007), estabelecendo um padrão de espionagem cibernética chinesa de longa data contra alvos ocidentais. ## Detecção e Defesa ### Mitigações Relevantes (contexto historico e 9002 RAT atual) 1. **Manter browsers atualizados** - exploits de IE zero-day foram o vetor inicial 2. **Monitorar conexões SSL suspeitas** para IPs externos não reconhecidos 3. **Proteger repositórios de código-fonte** com controles de acesso granulares 4. **Detectar** processos com comunicação de rede incomum para servidores externos ## Referências - [McAfee - Operation Aurora](https://www.mcafee.com/enterprise/en-us/threat-research/operation-aurora.html) - [Google Blog - A New Approach to China (2010)](https://googleblog.blogspot.com/2010/01/new-approach-to-china.html) - [Wikipedia - Operation Aurora](https://en.wikipedia.org/wiki/Operation_Aurora) - [ESET/Sophos - Operation Aurora: Clues in the Code](https://www.sophos.com/en-us/blog/research-20913) - [The Hacker News - China-linked APT17 Targets Italian Companies with 9002 RAT (2024)](https://thehackernews.com/2024/07/china-linked-apt17-targets-italian.html)