起底!中國(guó)網(wǎng)安企業(yè)人士提供翔實(shí)一手資料:印度黑客對(duì)我重要部門頻密發(fā)動(dòng)網(wǎng)絡(luò)攻擊!
編者的話:“南亞地區(qū)的邪惡之花”“游蕩在喜馬拉雅山脈的幽靈戰(zhàn)象”“來自美色的誘惑”……對(duì)大多數(shù)人來說,這些神秘的代碼名稱一般出現(xiàn)在燒腦刺激的黑客電影里。然而,《環(huán)球時(shí)報(bào)》記者近日從多家中國(guó)網(wǎng)絡(luò)安全企業(yè)獲悉,這些代碼的背后揭示了一張精密、復(fù)雜的真實(shí)網(wǎng)絡(luò):來自南亞大陸——以印度為主要代表的頂尖黑客組織,它們?cè)趪?guó)家和情報(bào)機(jī)構(gòu)的強(qiáng)大支持下,在過去幾年里不斷攻擊中國(guó)、尼泊爾和巴基斯坦的國(guó)防、軍事單位以及國(guó)有企業(yè)。近些年,印度軍政高層和媒體不斷炒作“中國(guó)網(wǎng)攻威脅”,每次都遭到中方駁斥。事實(shí)證明,中國(guó)才是黑客攻擊的主要受害國(guó)之一。安天科技集團(tuán)、360政企安全集團(tuán)和奇安信三大中國(guó)網(wǎng)絡(luò)安全企業(yè)相關(guān)人士給記者提供了大量翔實(shí)的一手資料,從中可以發(fā)現(xiàn)印度對(duì)我國(guó)重要部門頻密發(fā)動(dòng)網(wǎng)絡(luò)攻擊的重要信息。相關(guān)專家也提醒,針對(duì)境外網(wǎng)絡(luò)攻擊,中國(guó)要提升自身免疫力,不管是來自印度還是美國(guó)的攻擊都需要專業(yè)的團(tuán)隊(duì)分析對(duì)手,并采取相應(yīng)的反制方式。
不僅利用“釣魚”郵件,還擅長(zhǎng)社會(huì)工程學(xué)手段
作為引領(lǐng)威脅檢測(cè)與防御能力發(fā)展的網(wǎng)絡(luò)安全國(guó)家隊(duì),安天科技集團(tuán)一直在跟蹤對(duì)我國(guó)發(fā)起的“釣魚”攻擊。安天科技副總工程師李柏松告訴《環(huán)球時(shí)報(bào)》記者,今年3月以來,安天已捕獲多起針對(duì)我國(guó)和南亞次大陸國(guó)家的“釣魚”攻擊活動(dòng)。這些活動(dòng)涉及網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)目眾多,主要攻擊目標(biāo)為中國(guó)、巴基斯坦、尼泊爾等國(guó)家的政府、國(guó)防軍事以及國(guó)企單位。安天科技發(fā)現(xiàn),這一批次“釣魚”攻擊的最早時(shí)間可追溯至 2019年4月份,攻擊組織來自印度。
《環(huán)球時(shí)報(bào)》記者也從360政企安全集團(tuán)獲悉,2020年,360監(jiān)控并捕獲到的初始攻擊載荷共有上百個(gè)。來自以印度為主要代表的南亞地區(qū)的網(wǎng)絡(luò)攻擊有活躍趨勢(shì),從2020年下半年開始一直持續(xù)至目前,并呈大幅上升趨勢(shì)。尤其在2021年上半年的攻擊活動(dòng)中,針對(duì)時(shí)事熱點(diǎn)的跟進(jìn)頻次和細(xì)分粒度(數(shù)據(jù)庫名詞,細(xì)化程度越高,粒度級(jí)就越;相反,細(xì)化程度越低,粒度級(jí)就越大——編者注)已明顯超過去年同期,主要針對(duì)我國(guó)和其他南亞地區(qū)國(guó)家,圍繞地緣政治相關(guān)的目標(biāo),涉及教育、政府、航空航天和國(guó)防軍工等多個(gè)領(lǐng)域。
從技術(shù)方面講,以印度為代表的南亞地區(qū)網(wǎng)絡(luò)攻擊組織具有明顯的特征,其主要利用“釣魚”郵件,且擅長(zhǎng)使用社會(huì)工程學(xué)手段——通過利用受害者的本能反應(yīng)、好奇心、信任等心理進(jìn)行欺騙或攻擊。據(jù)介紹,這些頂級(jí)黑客組織攻擊者將自身偽裝成目標(biāo)國(guó)家的政府或軍隊(duì)人員,向?qū)Ψ洁]箱投遞掛有“釣魚”附件或嵌有“釣魚”鏈接的攻擊郵件,并誘導(dǎo)目標(biāo)通過鏈接訪問攻擊者通過各種方式搭建的“釣魚”網(wǎng)站,收集受害者輸入的賬號(hào)密碼以供情報(bào)搜集或橫向攻擊所用。
360安全專家表示,來自印度等南亞國(guó)家的網(wǎng)絡(luò)攻擊涉及題材豐富多樣,緊跟時(shí)事熱點(diǎn),且目標(biāo)針對(duì)性極強(qiáng),可以推斷其背后有專門針對(duì)目標(biāo)國(guó)家相關(guān)領(lǐng)域時(shí)事新聞的情報(bào)分析,同時(shí)以此來指導(dǎo)其進(jìn)行網(wǎng)絡(luò)攻擊活動(dòng)。
《環(huán)球時(shí)報(bào)》記者了解到, 2021年境外針對(duì)中國(guó)的網(wǎng)絡(luò)攻擊目標(biāo)不僅涉及教育、政府、航空航天和國(guó)防軍工多個(gè)領(lǐng)域,更是通過緊密圍繞政治、經(jīng)濟(jì)等熱點(diǎn)領(lǐng)域及事件,瞄準(zhǔn)涉及相關(guān)時(shí)事熱點(diǎn)的重點(diǎn)機(jī)構(gòu)或個(gè)人。
“國(guó)家級(jí)APT”瞄準(zhǔn)政府機(jī)構(gòu)、軍工企業(yè)、核能行業(yè)等
此類黑客團(tuán)伙被稱為“國(guó)家級(jí)APT”(Advanced Persistent Threat,高級(jí)持續(xù)性威脅)組織。在國(guó)家背景的支持下,他們專注于針對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期和持續(xù)性的網(wǎng)絡(luò)攻擊,且一直處于十分活躍的狀態(tài)。
印度是一個(gè)可能被世界情報(bào)界忽視的有威脅的國(guó)家,甚至南亞的一些國(guó)家可能也沒有完全意識(shí)到它先進(jìn)的網(wǎng)絡(luò)能力。正如一些網(wǎng)絡(luò)安全觀察人士經(jīng)常提到的,“下一場(chǎng)世界大戰(zhàn)將不是在地面、空中或水下進(jìn)行,而是在虛擬的網(wǎng)絡(luò)空間進(jìn)行”。多年來,中國(guó)一直是網(wǎng)絡(luò)攻擊的受害國(guó),中國(guó)網(wǎng)安企業(yè)捕捉到的來自印度的加強(qiáng)攻擊也再次表明中國(guó)網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻性和加快構(gòu)建網(wǎng)絡(luò)安全保障體系的緊迫性。
例如:2020年新冠肺炎疫情暴發(fā)初期,一個(gè)名為“APT-C-48(CNC)”的組織通過偽造體檢表格文檔對(duì)我國(guó)醫(yī)療相關(guān)行業(yè)發(fā)起攻擊;2021年4月,360捕獲到CNC組織針對(duì)我國(guó)重點(diǎn)單位發(fā)起的新一輪攻擊;2021年6月中旬,CNC組織在我國(guó)航天時(shí)事熱點(diǎn)前后,針對(duì)我國(guó)航空航天領(lǐng)域相關(guān)的重點(diǎn)單位突然發(fā)起集中攻擊。
《環(huán)球時(shí)報(bào)》記者從中國(guó)知名網(wǎng)絡(luò)安全公司奇安信旗下的高級(jí)威脅研究團(tuán)隊(duì)紅雨滴獲悉,目前已知這些主要瞄準(zhǔn)政府機(jī)構(gòu)、軍工企業(yè)、核能行業(yè)等領(lǐng)域的國(guó)家級(jí)頂級(jí)黑客團(tuán)伙集中在“蔓靈花”(BITTER)、“摩訶草”(Patchwork)、“魔羅桫”(Confucius)和“肚腦蟲”(Donot)四大組織中。
首先說說“蔓靈花”,這是一個(gè)據(jù)稱有南亞背景的APT組織。該組織至少?gòu)?013年11月以來就開始活躍,但一直未被發(fā)現(xiàn),直到2016年才被國(guó)外安全廠商Forcepoint首次披露。同年,奇安信威脅情報(bào)中心發(fā)現(xiàn)國(guó)內(nèi)也遭受相關(guān)攻擊,并將其命名為“蔓靈花”。自從被曝光后,該組織就修改了數(shù)據(jù)包結(jié)構(gòu),不再以“BITTER”作為數(shù)據(jù)包的標(biāo)識(shí)。
隨著其攻擊活動(dòng)不斷被發(fā)現(xiàn)披露,“蔓靈花”組織的全貌越來越清晰。該組織具有強(qiáng)烈的政治背景,主要針對(duì)巴基斯坦、中國(guó)兩國(guó),2018年也發(fā)現(xiàn)過其針對(duì)沙特阿拉伯的活動(dòng),攻擊瞄準(zhǔn)政府部門、電力、軍工等相關(guān)單位,意圖竊取敏感資料。據(jù)了解,2019年該組織還加強(qiáng)了針對(duì)我國(guó)進(jìn)出口行業(yè)的攻擊。
值得一提的是“蔓靈花”組織最常用的兩大攻擊手段:其中之一是“魚叉攻擊”(即黑客利用木馬程序作為電子郵件的附件,發(fā)送到目標(biāo)電腦上,誘導(dǎo)受害者去打開附件來感染木馬),因“魚叉郵件”使用的攻擊誘餌大都根據(jù)不同攻擊對(duì)象進(jìn)行定制,因而具有較強(qiáng)的迷惑性,而且該組織通過“魚叉郵件”投遞的誘餌類型多樣。另一種主要攻擊手段是“水坑攻擊”(即黑客攻擊者攻陷合法網(wǎng)站),在合法網(wǎng)站上托管其攻擊荷載,或者搭建偽裝為合法網(wǎng)站的惡意網(wǎng)站,誘使受害者下載!奥`花”除通過“水坑網(wǎng)站”直接向目標(biāo)投遞惡意軟件外,還結(jié)合社會(huì)工程學(xué)手段制作“釣魚”頁面竊取攻擊目標(biāo)的郵箱賬號(hào)。紅雨滴的安全專家告訴《環(huán)球時(shí)報(bào)》記者:“有意思的是,在多份報(bào)告中均顯示,‘蔓靈花’組織跟疑似南亞某國(guó)的多個(gè)攻擊組織,包括‘摩訶草’‘魔羅桫’‘肚腦蟲’等存在著千絲萬縷的聯(lián)系!
其次是“魔羅桫”,該組織的攻擊活動(dòng)最早可以追溯到2013年,被首次公開披露的時(shí)間則是2016年。相關(guān)專家認(rèn)為,“魔羅桫”組織疑似來自印度地區(qū),長(zhǎng)期以中國(guó)、巴基斯坦、尼泊爾等國(guó)家及周邊地區(qū)為主要攻擊區(qū)域,并瞄準(zhǔn)政府機(jī)構(gòu)、軍工企業(yè)、核能行業(yè)、商貿(mào)會(huì)議、通信運(yùn)營(yíng)等領(lǐng)域發(fā)起攻擊。
再次是“摩訶草”,該組織主要針對(duì)中國(guó)、巴基斯坦等亞洲地區(qū)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),主要攻擊領(lǐng)域?yàn)檎、軍事、科研、教育等?020年2月,“摩訶草”便發(fā)起以“新冠疫情”為主題針對(duì)國(guó)內(nèi)的攻擊活動(dòng)。該組織利用“武漢旅行信息收集申請(qǐng)表.xlsm”“衛(wèi)生部指令.docx”等誘餌對(duì)我國(guó)進(jìn)行攻擊活動(dòng)。2021年8月,“摩訶草”借助美女圖片為誘餌發(fā)起 “來自美色的誘惑”的惡意程序攻擊。
“摩訶草”不僅是第一個(gè)被披露利用疫情進(jìn)行攻擊的APT組織,近年來還常使用攜帶有CVE-2017-0261漏洞的文檔開展攻擊活動(dòng)。2021年1月,奇安信紅雨滴團(tuán)隊(duì)捕獲該組織利用該漏洞針對(duì)國(guó)內(nèi)的誘餌文檔,名為“Chinese_Pakistani_fighter_planes_play_war_games.docx”。該樣本是一個(gè)以巴基斯坦空軍演習(xí)為主題的office文檔,內(nèi)部嵌入了利用CVE-2017-0261漏洞的EPS腳本,當(dāng)用戶打開該文檔文件,office內(nèi)部的EPS解釋器就會(huì)執(zhí)行EPS腳本觸發(fā)漏洞執(zhí)行惡意shellcode載荷。
最后是“肚腦蟲”,該組織由360和奇安信威脅情報(bào)中心聯(lián)合發(fā)現(xiàn),并在全球率先披露。2017年“肚腦蟲”攻擊活動(dòng)首次被曝光,但它的攻擊活動(dòng)可追溯到2016年。“肚腦蟲”組織一直處于活躍狀態(tài),主要針對(duì)巴基斯坦、克什米爾地區(qū)、斯里蘭卡、泰國(guó)等南亞、東南亞國(guó)家和地區(qū)發(fā)起攻擊,對(duì)政府、軍隊(duì)以及商務(wù)領(lǐng)域重要人士進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。
“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”
隨著中國(guó)互聯(lián)網(wǎng)行業(yè)的快速發(fā)展,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)迅速增加。多年來,中國(guó)、俄羅斯等國(guó)一直是網(wǎng)絡(luò)攻擊的主要受害者。網(wǎng)絡(luò)已成為美國(guó)及其“盟友”在信息戰(zhàn)中壓制其他國(guó)家的新武器。中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示,2020年位于境外的約5.2萬個(gè)計(jì)算機(jī)惡意程序控制服務(wù)器,控制了中國(guó)境內(nèi)約531萬臺(tái)主機(jī),就控制中國(guó)境內(nèi)主機(jī)數(shù)量來看,控制規(guī)模排名前三位的控制服務(wù)器均來自北約成員國(guó)。
此外,相關(guān)報(bào)道顯示,美國(guó)中央情報(bào)局的網(wǎng)絡(luò)攻擊組織APT-C-39,曾對(duì)中國(guó)航空航天科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等關(guān)鍵領(lǐng)域進(jìn)行了長(zhǎng)達(dá)11年的網(wǎng)絡(luò)滲透攻擊。
“這告訴中國(guó)人一個(gè)很簡(jiǎn)單的道理:在網(wǎng)絡(luò)攻擊中,有一種東西叫作國(guó)家級(jí)的網(wǎng)絡(luò)攻擊!睆(fù)旦大學(xué)網(wǎng)絡(luò)空間國(guó)際治理研究基地主任沈逸對(duì)《環(huán)球時(shí)報(bào)》記者說,“我們?cè)诰W(wǎng)絡(luò)空間開展活動(dòng),所發(fā)布、擁有的信息又是具有國(guó)家安全意義和影響的,天然就會(huì)成為國(guó)家情報(bào)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)搜集的目標(biāo)!彼J(rèn)為,網(wǎng)絡(luò)安全是國(guó)家安全的重要組成部分,要從國(guó)家安全領(lǐng)域理解網(wǎng)絡(luò)安全,樹立安全意識(shí)。
沈逸表示:“我們一開始認(rèn)為我們是一個(gè)落后國(guó)家,或者說發(fā)展中國(guó)家,在網(wǎng)上好像我們的信息不值錢,沒什么值得你偷的。但我們現(xiàn)在已經(jīng)是經(jīng)濟(jì)體量全球排第二的國(guó)家,有些周邊國(guó)家把你視為對(duì)手,會(huì)發(fā)動(dòng)國(guó)家級(jí)的網(wǎng)絡(luò)攻擊。印度對(duì)我們的攻擊是長(zhǎng)期持續(xù)存在的,是網(wǎng)絡(luò)空間、國(guó)際局勢(shì)和體系復(fù)雜性的具體表現(xiàn)!痹谏蛞菘磥恚M管中國(guó)一直試圖搞好和印度的關(guān)系,但印度一直受西方式的地緣政治思想和理念影響,在網(wǎng)絡(luò)安全上和美方開展了大量合作。
為應(yīng)對(duì)來自網(wǎng)絡(luò)空間的挑戰(zhàn),中國(guó)政府推出一系列法律措施,以建立一個(gè)網(wǎng)絡(luò)安全治理系統(tǒng)。自2017年以來,中國(guó)幾乎從零開始建立起一套完善的網(wǎng)絡(luò)安全法律保障機(jī)制。沈逸還建議,中國(guó)應(yīng)從提升網(wǎng)絡(luò)安全防御能力和威懾能力兩方面來進(jìn)行網(wǎng)絡(luò)安全建設(shè)。中國(guó)的網(wǎng)絡(luò)空間要有在開放環(huán)境、數(shù)據(jù)跨境流動(dòng)、基本零信任條件下的有效防御能力。同時(shí),要建立信息的通報(bào)機(jī)制,如美國(guó)經(jīng)常寫報(bào)告,把矛頭指向中國(guó),以此制約中國(guó)的網(wǎng)絡(luò)空間國(guó)際治理,而中國(guó)也要采取相應(yīng)的反制方式。
中國(guó)網(wǎng)絡(luò)空間戰(zhàn)略研究所所長(zhǎng)秦安告訴《環(huán)球時(shí)報(bào)》記者,現(xiàn)在網(wǎng)絡(luò)空間軍事化的大趨勢(shì)已形成,一些國(guó)家開始加強(qiáng)對(duì)外網(wǎng)絡(luò)攻擊。秦安認(rèn)為,對(duì)中國(guó)來說,要提升自己的免疫力,“洪水、污水都是水,不管是來自印度還是美國(guó)的攻擊都需要專業(yè)的團(tuán)隊(duì)分析對(duì)手,專門應(yīng)對(duì)”。