Onderdelen van de malware die bij de aanval tegen Google en zo'n dertig Fortune 100 bedrijven werden ingezet, zijn vier jaar oud, zo heeft een Amerikaanse onderzoeker ontdekt. Volgens Joe Stewart van beveiligingsbedrijf SecureWorks krijgt de rest van de wereld nu pas door wat IT-beveiligers al langer weten, namelijk dat China een continue campagne voert om via malware bedrijven en landen te bespioneren. "Staats- en bedrijfsgeheimen zijn de afgelopen vijf jaar of meer gestolen, en de activiteit wordt steeds brutaler, zonder antwoord van de Amerikaanse overheid."

Na operaties Titan Rain en GhostNet, hebben beveiligers nu te maken met 'Operatie Aurora', genoemd vanwege een string in de malware code. Hoewel de Aurora-malware pas afgelopen december werd ontdekt, lijkt die al geruime tijd in ontwikkeling te zijn geweest. Sommige van de zelfgemaakte modules hebben timestamps van mei 2006. Ongeveer een jaar na de Titan Rain-aanvallen, waar algemeen bekende Trojaanse paarden werden ingezet. In plaats van bekende code te gebruiken, pasten de aanvallers nu originele, zelfgemaakte code toe. Daardoor kon de malware geruime tijd onopgemerkt blijven. De onderzoeker is verbaasd dat er nog zoveel mensen Internet Explorer 6 gebruiken. "Dat is één van de dingen die me doen geloven dat er ook PDF-exploits bij deze aanval zijn gebruikt. Die zijn veel effectiever op verschillende systemen. Iedereen die IE6 gebruikt moet bijna opzettelijk updates negeren."

Slimme zet
Stewart vindt het gebruikte Trojaans paard vanuit een technisch oogpunt gezien niet erg complex. "Maar de aanvallers hebben sommige dingen wel goed gedaan. Ze hebben de code spaarzaam bij gerichte aanvallen gebruikt. Ze gebruikten geen bekende code en 'packten' en versleutelden de binaries niet, omdat dit verdacht is. Het gebruik van zelfgemaakte code was een slimme zet." De malware werd op een Engelstalig systeem gecompileerd, mogelijk bewust om verdenkingen tegen te gaan. Behalve dat Chinese IP-adressen als controle servers zijn gebruikt, is er geen hard bewijs dat op Chinese betrokkenheid wijst.

Het gebruikte CRC (cyclic redundancy check)-algoritme deed de onderzoeker vermoeden dat het toch om Chinese hackers gaat. Het algoritme is alleen in een Chinees document beschreven en alleen op Chinese websites te vinden. "Deze informatie is een sterke aanwijzing dat de Aurora code afkomstig is van iemand die met het lezen van Chinees vertrouwd is." De meeste programmeurs gebruiken volgens Stewart code die in hun eigen taal gedocumenteerd is. Wie dat niet doet loopt tegen bugs en andere problemen aan, die ontstaan door misverstanden van de code en implementatie ervan.

China
De onderzoeker stelt dat het CRC-algoritme het bewijs is dat iemand binnen China de Aurora-malware geschreven heeft. "En zeker vanwege de omvang, keuze van doelwitten en brutaliteit van de aanvallen, gezien de harde straffen die in China wegens hacking worden gegeven, schept dit ruimte voor speculatie dat het om door de staat gesteunde aanvallen gaat." China zelf blijft ontkennen. De afgelopen zes jaar werd het elf keer van cyberspionage beschuldigd, maar alle keren ontkende het. Inmiddels is er ook een LinkedIn-groep over de Aurora-aanvallen geopend, waar meer informatie is te vinden.