視覺華夏
《》感謝也從360政企安全集團(tuán)獲悉,2020年,360監(jiān)控并捕獲到得初始攻擊載荷共有上百個(gè)。來自以印度為主要代表得南亞地區(qū)得網(wǎng)絡(luò)攻擊有活躍趨勢,從2020年下半年開始一直持續(xù)至目前,并呈大幅上升趨勢。尤其在2021年上半年得攻擊活動(dòng)中,針對時(shí)事熱點(diǎn)得跟進(jìn)頻次和細(xì)分粒度(數(shù)據(jù)庫名詞,細(xì)化程度越高,粒度級(jí)就越小;相反,細(xì)化程度越低,粒度級(jí)就越大——編者注)已明顯超過去年同期,主要針對華夏和其他南亞地區(qū)China,圍繞地緣政治相關(guān)得目標(biāo),涉及教育、政府、航空航天和國防軍工等多個(gè)領(lǐng)域。
從技術(shù)方面講,以印度為代表得南亞地區(qū)網(wǎng)絡(luò)攻擊組織具有明顯得特征,其主要利用“釣魚”,且擅長使用社會(huì)工程學(xué)手段——通過利用受害者得本能反應(yīng)、好奇心、信任等心理進(jìn)行欺騙或攻擊。據(jù)介紹,這些很好黑客組織攻擊者將自身偽裝成目標(biāo)China得政府或軍隊(duì)人員,向?qū)Ψ酵哆f掛有“釣魚”附件或嵌有“釣魚”鏈接得攻擊,并誘導(dǎo)目標(biāo)通過鏈接訪問攻擊者通過各種方式搭建得“釣魚”網(wǎng)站,收集受害者輸入得賬號(hào)密碼以供情報(bào)搜集或橫向攻擊所用。
360安全可能表示,來自印度等南亞China得網(wǎng)絡(luò)攻擊涉及題材豐富多樣,緊跟時(shí)事熱點(diǎn),且目標(biāo)針對性極強(qiáng),可以推斷其背后有專門針對目標(biāo)China相關(guān)領(lǐng)域時(shí)事新聞得情報(bào)分析,同時(shí)以此來指導(dǎo)其進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng)。
《》感謝了解到, 2021年境外針對華夏得網(wǎng)絡(luò)攻擊目標(biāo)不僅涉及教育、政府、航空航天和國防軍工多個(gè)領(lǐng)域,更是通過緊密圍繞政治、經(jīng)濟(jì)等熱點(diǎn)領(lǐng)域及事件,瞄準(zhǔn)涉及相關(guān)時(shí)事熱點(diǎn)得重點(diǎn)機(jī)構(gòu)或個(gè)人。
“級(jí)別高一點(diǎn)APT”瞄準(zhǔn)政府機(jī)構(gòu)、軍工企業(yè)、核能行業(yè)等
此類黑客團(tuán)伙被稱為“級(jí)別高一點(diǎn)APT”(Advanced Persistent Threat,高級(jí)持續(xù)性威脅)組織。在China背景得支持下,他們專注于針對特定目標(biāo)進(jìn)行長期和持續(xù)性得網(wǎng)絡(luò)攻擊,且一直處于十分活躍得狀態(tài)。
印度是一個(gè)可能被世界情報(bào)界忽視得有威脅得China,甚至南亞得一些China可能也沒有完全意識(shí)到它先進(jìn)得網(wǎng)絡(luò)能力。正如一些網(wǎng)絡(luò)安全觀察人士經(jīng)常提到得,“下一場世界大戰(zhàn)將不是在地面、空中或水下進(jìn)行,而是在虛擬得網(wǎng)絡(luò)空間進(jìn)行”。多年來,華夏一直是網(wǎng)絡(luò)攻擊得受害國,華夏網(wǎng)安企業(yè)捕捉到得來自印度得加強(qiáng)攻擊也再次表明華夏網(wǎng)絡(luò)安全形勢得嚴(yán)峻性和加快構(gòu)建網(wǎng)絡(luò)安全保障體系得緊迫性。
例如:2020年新冠肺炎疫情暴發(fā)初期,一個(gè)名為“APT-C-48(CNC)”得組織通過偽造體檢表格文檔對華夏醫(yī)療相關(guān)行業(yè)發(fā)起攻擊;2021年4月,360捕獲到CNC組織針對華夏重點(diǎn)單位發(fā)起得新一輪攻擊;2021年6月中旬,CNC組織在華夏航天時(shí)事熱點(diǎn)前后,針對華夏航空航天領(lǐng)域相關(guān)得重點(diǎn)單位突然發(fā)起集中攻擊。
《》感謝從華夏知名網(wǎng)絡(luò)安全公司奇安信旗下得高級(jí)威脅研究團(tuán)隊(duì)紅雨滴獲悉,目前已知這些主要瞄準(zhǔn)政府機(jī)構(gòu)、軍工企業(yè)、核能行業(yè)等領(lǐng)域得級(jí)別高一點(diǎn)很好黑客團(tuán)伙集中在“蔓靈花”(BITTER)、“摩訶草”(Patchwork)、“魔羅桫”(Confucius)和“肚腦蟲”(Donot)四大組織中。
首先說說“蔓靈花”,這是一個(gè)據(jù)稱有南亞背景得APT組織。該組織至少從2013年11月以來就開始活躍,但一直未被發(fā)現(xiàn),直到2016年才被國外安全廠商Forcepoint首次披露。同年,奇安信威脅情報(bào)中心發(fā)現(xiàn)國內(nèi)也遭受相關(guān)攻擊,并將其命名為“蔓靈花”。自從被曝光后,該組織就修改了數(shù)據(jù)包結(jié)構(gòu),不再以“BITTER”作為數(shù)據(jù)包得標(biāo)識(shí)。
隨著其攻擊活動(dòng)不斷被發(fā)現(xiàn)披露,“蔓靈花”組織得全貌越來越清晰。該組織具有強(qiáng)烈得政治背景,主要針對巴基斯坦、華夏兩國,2018年也發(fā)現(xiàn)過其針對沙特阿拉伯得活動(dòng),攻擊瞄準(zhǔn)政府部門、電力、軍工等相關(guān)單位,意圖竊取敏感資料。據(jù)了解,2019年該組織還加強(qiáng)了針對華夏進(jìn)出口行業(yè)得攻擊。
值得一提得是“蔓靈花”組織蕞常用得兩大攻擊手段:其中之一是“魚叉攻擊”(即黑客利用木馬程序作為電子得附件,發(fā)送到目標(biāo)電腦上,誘導(dǎo)受害者去打開附件來感染木馬),因“魚叉”使用得攻擊誘餌大都根據(jù)不同攻擊對象進(jìn)行定制,因而具有較強(qiáng)得迷惑性,而且該組織通過“魚叉”投遞得誘餌類型多樣。另一種主要攻擊手段是“水坑攻擊”(即黑客攻擊者攻陷合法網(wǎng)站),在合法網(wǎng)站上托管其攻擊荷載,或者搭建偽裝為合法網(wǎng)站得惡意網(wǎng)站,誘使受害者下載。“蔓靈花”除通過“水坑網(wǎng)站”直接向目標(biāo)投遞惡意軟件外,還結(jié)合社會(huì)工程學(xué)手段制作“釣魚”頁面竊取攻擊目標(biāo)得賬號(hào)。紅雨滴得安全可能告訴《》感謝:“有意思得是,在多份報(bào)告中均顯示,‘蔓靈花’組織跟疑似南亞某國得多個(gè)攻擊組織,包括‘摩訶草’‘魔羅桫’‘肚腦蟲’等存在著千絲萬縷得聯(lián)系。”
其次是“魔羅桫”,該組織得攻擊活動(dòng)蕞早可以追溯到2013年,被首次公開披露得時(shí)間則是2016年。相關(guān)可能認(rèn)為,“魔羅桫”組織疑似來自印度地區(qū),長期以華夏、巴基斯坦、尼泊爾等China及周邊地區(qū)為主要攻擊區(qū)域,并瞄準(zhǔn)政府機(jī)構(gòu)、軍工企業(yè)、核能行業(yè)、商貿(mào)會(huì)議、通信運(yùn)營等領(lǐng)域發(fā)起攻擊。
再次是“摩訶草”,該組織主要針對華夏、巴基斯坦等亞洲地區(qū)China進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),主要攻擊領(lǐng)域?yàn)檎④娛隆⒖蒲小⒔逃取?020年2月,“摩訶草”便發(fā)起以“新冠疫情”為主題針對國內(nèi)得攻擊活動(dòng)。該組織利用“武漢旅行信息收集申請表.xlsm”“衛(wèi)生部指令.docx”等誘餌對華夏進(jìn)行攻擊活動(dòng)。2021年8月,“摩訶草”借助梅梅支持為誘餌發(fā)起 “來自美色得誘惑”得惡意程序攻擊。
“摩訶草”不僅是第壹個(gè)被披露利用疫情進(jìn)行攻擊得APT組織,近年來還常使用攜帶有CVE-2017-0261漏洞得文檔開展攻擊活動(dòng)。2021年1月,奇安信紅雨滴團(tuán)隊(duì)捕獲該組織利用該漏洞針對國內(nèi)得誘餌文檔,名為“Chinese_Pakistani_fighter_planes_play_war_games.docx”。該樣本是一個(gè)以巴基斯坦空軍演習(xí)為主題得office文檔,內(nèi)部嵌入了利用CVE-2017-0261漏洞得EPS腳本,當(dāng)用戶打開該文檔文件,office內(nèi)部得EPS解釋器就會(huì)執(zhí)行EPS腳本觸發(fā)漏洞執(zhí)行惡意shellcode載荷。
蕞后是“肚腦蟲”,該組織由360和奇安信威脅情報(bào)中心聯(lián)合發(fā)現(xiàn),并在全球率先披露。2017年“肚腦蟲”攻擊活動(dòng)首次被曝光,但它得攻擊活動(dòng)可追溯到2016年。“肚腦蟲”組織一直處于活躍狀態(tài),主要針對巴基斯坦、克什米爾地區(qū)、斯里蘭卡、泰國等南亞、東南亞China和地區(qū)發(fā)起攻擊,對政府、軍隊(duì)以及商務(wù)領(lǐng)域重要人士進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。
“沒有網(wǎng)絡(luò)安全就沒有China安全”
隨著華夏互聯(lián)網(wǎng)行業(yè)得快速發(fā)展,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)迅速增加。多年來,華夏、俄羅斯等國一直是網(wǎng)絡(luò)攻擊得主要受害者。網(wǎng)絡(luò)已成為美國及其“盟友”在信息戰(zhàn)中壓制其他China得新武器。華夏China互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示,2020年位于境外得約5.2萬個(gè)計(jì)算機(jī)惡意程序控制服務(wù)器,控制了華夏境內(nèi)約531萬臺(tái)主機(jī),就控制華夏境內(nèi)主機(jī)數(shù)量來看,控制規(guī)模排名前三位得控制服務(wù)器均來自北約成員國。
此外,相關(guān)報(bào)道顯示,美國中央情報(bào)局得網(wǎng)絡(luò)攻擊組織APT-C-39,曾對華夏航空航天科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等關(guān)鍵領(lǐng)域進(jìn)行了長達(dá)11年得網(wǎng)絡(luò)滲透攻擊。
“這告訴華夏人一個(gè)很簡單得道理:在網(wǎng)絡(luò)攻擊中,有一種東西叫作級(jí)別高一點(diǎn)得網(wǎng)絡(luò)攻擊。”復(fù)旦大學(xué)網(wǎng)絡(luò)空間國際治理研究基地主任沈逸對《》感謝說,“我們在網(wǎng)絡(luò)空間開展活動(dòng),所發(fā)布、擁有得信息又是具有China安全意義和影響得,天然就會(huì)成為China情報(bào)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)搜集得目標(biāo)。”他認(rèn)為,網(wǎng)絡(luò)安全是China安全得重要組成部分,要從China安全領(lǐng)域理解網(wǎng)絡(luò)安全,樹立安全意識(shí)。
沈逸表示:“我們一開始認(rèn)為我們是一個(gè)落后China,或者說發(fā)展華夏家,在網(wǎng)上好像我們得信息不值錢,沒什么值得你偷得。但我們現(xiàn)在已經(jīng)是經(jīng)濟(jì)體量全球排第二得China,有些周邊China把你視為對手,會(huì)發(fā)動(dòng)級(jí)別高一點(diǎn)得網(wǎng)絡(luò)攻擊。印度對我們得攻擊是長期持續(xù)存在得,是網(wǎng)絡(luò)空間、國際局勢和體系復(fù)雜性得具體表現(xiàn)。”在沈逸看來,盡管華夏一直試圖搞好和印度得關(guān)系,但印度一直受西方式得地緣政治思想和理念影響,在網(wǎng)絡(luò)安全上和美方開展了大量合作。
為應(yīng)對來自網(wǎng)絡(luò)空間得挑戰(zhàn),華夏政府推出一系列法律措施,以建立一個(gè)網(wǎng)絡(luò)安全治理系統(tǒng)。自2017年以來,華夏幾乎從零開始建立起一套完善得網(wǎng)絡(luò)安全法律保障機(jī)制。沈逸還建議,華夏應(yīng)從提升網(wǎng)絡(luò)安全防御能力和威懾能力兩方面來進(jìn)行網(wǎng)絡(luò)安全建設(shè)。華夏得網(wǎng)絡(luò)空間要有在開放環(huán)境、數(shù)據(jù)跨境流動(dòng)、基本零信任條件下得有效防御能力。同時(shí),要建立信息得通報(bào)機(jī)制,如美國經(jīng)常寫報(bào)告,把矛頭指向華夏,以此制約華夏得網(wǎng)絡(luò)空間國際治理,而華夏也要采取相應(yīng)得反制方式。
華夏網(wǎng)絡(luò)空間戰(zhàn)略研究所所長秦安告訴《》感謝,現(xiàn)在網(wǎng)絡(luò)空間軍事化得大趨勢已形成,一些China開始加強(qiáng)對外網(wǎng)絡(luò)攻擊。秦安認(rèn)為,對華夏來說,要提升自己得免疫力,“洪水、污水都是水,不管是來自印度還是美國得攻擊都需要可以得團(tuán)隊(duì)分析對手,專門應(yīng)對”。
感謝:
感謝:金久超
