传境外黑客组织持续3年攻击中国

　　5月29日，某网络安全公司发布报告首次披露一起针对中国的国家级黑客攻击细节。该境外黑客组织被命名为“海莲花(OceanLotus)”自2012年4月起“海莲花”针对中国政府的海事机构、海域建设部门、科研院所和航运企业展开了精密组织的网络攻击很明显是一个有国外政府支持的APT(高级持续性威胁)行动。

　　“海莲花”向中国政府发动鱼叉和水坑攻击

　　“海莲花”使用木马病毒攻陷、控制政府人员、外包商、行业专家等目标人群的电脑意图获取受害者电脑中的机密资料截获受害电脑与外界传递的情报甚至操纵该电脑自动发送相关情报从而达到掌握中方动向的目的。

　　据天眼实验室分析海莲花攻击的主要方式有“鱼叉攻击”和“水坑攻击”前者最常见的做法是将木马程序作为电子邮件的附件并起上一个极具诱惑力的名称发送给目标电脑诱使受害者打开附件从而感染木马。如在去年5月22日新疆发生了致死31人的暴力恐怖性事件之后5月28日该黑客组织曾发送名为“新疆暴恐事件最新通报”的电子邮件及附件引诱目标人群“中招”。该组织曾发送过的电邮名称还包括“公务员工资收入改革方案”等一系列社会高度关注的热点令人防不胜防。

　　“水坑攻击”顾名思义是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是黑客分析攻击目标的上网活动规律寻找攻击目标经常访问的网站的弱点先将此网站“攻破”并植入攻击代码一旦攻击目标访问该网站就会“中招”。曾经发生过样的案例黑客攻陷了某单位的内网将内网上一个要求全体职工下载的表格偷偷换成了木马程序这样所有按要求下载这一表格的人都会被植入木马程序向黑客发送涉密资料。

　　京津两地感染人数最多

　　“海莲花”组织在攻击中还配合了多种“社会工程学”的手段以求加大攻击效果。比如在进行鱼叉攻击时黑客会主要选择周一和周五因为这两个时间人们与外界的沟通比较密切是在网络上传递信息的高峰期。而水坑攻击的时间则一般选在周一和周二的时间因为这个时候一般是单位发布通知要求职工登录内网的时候。

　　目前已经捕获的与“海莲花”相关的第一个特种木马程序出现在2012年4月当时首次发现第一波针对海运港口交通行业的“水坑”攻击海莲花组织的渗透攻击就此开始。不过在此后的2年内“海莲花”的攻击并不活跃。直到2014年2月海莲花开始对我国内目标发送定向的“鱼叉”攻击海莲花进入活跃期并在此后的14个月中对我国多个目标发动了不间断的持续攻击。2014年5月海莲花对国内某权威海洋研究机构发动大规模鱼叉攻击并形成了过去14个月中鱼叉攻击的最高峰。

　　“天眼实验室”表示其已捕获与海莲花组织有关的4种不同形态的特种木马程序样本100余个感染者遍布中国29个省级行政区和境外的36个国家。其中中国的感染者占全球92.3%而在境内感染者中北京地区最多占22.7%天津次之为15.5%。为了隐蔽行踪海莲花组织还先后在至少6个国家注册了服务器域名35个相关服务器IP地址19个分布在全球13个以上的不同国家。

　　大数据技术揭开“海莲花”面纱

　　“天眼实验室”向记者介绍事实上“海莲花”的攻击早已被他们捕捉到但之前只是零散的发现直到去年起360成立“天眼”实验室在国内首先利用大数据技术进行未知威胁检测才首次发现了这些散见威胁之间的联系一个国家级黑客攻击行为的轮廓才逐渐清晰。

　　虽然发现了海莲花的攻击轨迹但如何确定这不是一起普通的商业黑客行为而是由某个敌对国家支持的呢?面对记者的这一疑问“天眼实验室”表示首先这种有组织、有计划的长期攻击行为需要很高的投入不是一般商业公司能够负担的;其次“海莲花”觊觎的资料对商业机构没有什么价值。“综合来看海莲花组织的攻击周期之长(持续3年以上)、攻击目标之明确、攻击技术之复杂、社工手段之精准都说明该组织绝非一般的民间黑客组织而是具有国外政府支持的、高度组织化、专业化的国家级黑客组织。”

　　美国曾称中国军队从事对美黑客行为

　　近年来各国围绕着“网络空间”的攻防战愈演愈烈所谓的APT攻击(高级持续性威胁)这一常用的网络攻击手段从业内人的术语开始为普通人所知。世界知名网络安全公司Fireeye(火眼)在数年前发布了世界上第一个APT攻击报告APTOne此后开始持续发布类似网络威胁。其他知名网络安全厂商如卡巴斯基等也有自己的APT安全报告。

　　2013年美国一家名为Mandiant的网络信息安全公司宣称已经初步掌握了位于中国上海浦东的中国网络部队从事黑客袭击行动的证据。中方对此予以坚决反驳称自己是美国黑客袭击的受害者。

　　军事专家宋忠平表示中国是网络攻击的最大受害国这是不争的事实科研院所、高校等单位是“重灾区”。中国也很重视网络安全注意在政府部门等关键场所的局域网的保护不过最要加强管理的还是人必须加强对涉密人员的教育让他们知道作为个别人他们掌握的部分信息可能并不重要但却是重大机密的一部分如果被人获取、整合就可能造成重大损失。

　　宋忠平表示美国2010年已经建立了网络战司令部在今天的信息社会谁能控制“信息流”谁就能掌握战争的先机甚至能左右战争的进程。随着我们日常生活“信息化”程度的加深越来越多的信息实现数据化能够在网络上传输这也为网络间谍行为提供了机会。此次的网络攻击从2014年开始进入活跃期就是与我国对网络依赖度加深有关以往的间谍行为主要通过人工实现现在由于很多信息可以通过网络获取网络间谍行为越来越多这将是一个趋势。