《环球时报》记者了解到, 2021年境外针对中国的网络攻击目标不仅涉及教育、政府、航空航天和国防军工多个领域,更是通过紧密围绕政治、经济等热点领域及事件,瞄准涉及相关时事热点的重点机构或个人。
“国家级APT”瞄准政府机构、军工企业、核能行业等
此类黑客团伙被称为“国家级APT”(Advanced Persistent Threat,高级持续性威胁)组织。在国家背景的支持下,他们专注于针对特定目标进行长期和持续性的网络攻击,且一直处于十分活跃的状态。
印度是一个可能被世界情报界忽视的有威胁的国家,甚至南亚的一些国家可能也没有完全意识到它先进的网络能力。正如一些网络安全观察人士经常提到的,“下一场世界大战将不是在地面、空中或水下进行,而是在虚拟的网络空间进行”。多年来,中国一直是网络攻击的受害国,中国网安企业捕捉到的来自印度的加强攻击也再次表明中国网络安全形势的严峻性和加快构建网络安全保障体系的紧迫性。
例如:2020年新冠肺炎疫情暴发初期,一个名为“APT-C-48(CNC)”的组织通过伪造体检表格文档对我国医疗相关行业发起攻击;2021年4月,360捕获到CNC组织针对我国重点单位发起的新一轮攻击;2021年6月中旬,CNC组织在我国航天时事热点前后,针对我国航空航天领域相关的重点单位突然发起集中攻击。
《环球时报》记者从中国知名网络安全公司奇安信旗下的高级威胁研究团队红雨滴获悉,目前已知这些主要瞄准政府机构、军工企业、核能行业等领域的国家级顶级黑客团伙集中在“蔓灵花”(BITTER)、“摩诃草”(Patchwork)、“魔罗桫”(Confucius)和“肚脑虫”(Donot)四大组织中。
首先说说“蔓灵花”,这是一个据称有南亚背景的APT组织。该组织至少从2013年11月以来就开始活跃,但一直未被发现,直到2016年才被国外安全厂商Forcepoint首次披露。同年,奇安信威胁情报中心发现国内也遭受相关攻击,并将其命名为“蔓灵花”。自从被曝光后,该组织就修改了数据包结构,不再以“BITTER”作为数据包的标识。
随着其攻击活动不断被发现披露,“蔓灵花”组织的全貌越来越清晰。该组织具有强烈的政治背景,主要针对巴基斯坦、中国两国,2018年也发现过其针对沙特阿拉伯的活动,攻击瞄准政府部门、电力、军工等相关单位,意图窃取敏感资料。据了解,2019年该组织还加强了针对我国进出口行业的攻击。
值得一提的是“蔓灵花”组织最常用的两大攻击手段:其中之一是“鱼叉攻击”(即黑客利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马),因“鱼叉邮件”使用的攻击诱饵大都根据不同攻击对象进行定制,因而具有较强的迷惑性,而且该组织通过“鱼叉邮件”投递的诱饵类型多样。另一种主要攻击手段是“水坑攻击”(即黑客攻击者攻陷合法网站),在合法网站上托管其攻击荷载,或者搭建伪装为合法网站的恶意网站,诱使受害者下载。“蔓灵花”除通过“水坑网站”直接向目标投递恶意软件外,还结合社会工程学手段制作“钓鱼”页面窃取攻击目标的邮箱账号。红雨滴的安全专家告诉《环球时报》记者:“有意思的是,在多份报告中均显示,‘蔓灵花’组织跟疑似南亚某国的多个攻击组织,包括‘摩诃草’‘魔罗桫’‘肚脑虫’等存在着千丝万缕的联系。”
其次是“魔罗桫”,该组织的攻击活动最早可以追溯到2013年,被首次公开披露的时间则是2016年。相关专家认为,“魔罗桫”组织疑似来自印度地区,长期以中国、巴基斯坦、尼泊尔等国家及周边地区为主要攻击区域,并瞄准政府机构、军工企业、核能行业、商贸会议、通信运营等领域发起攻击。
再次是“摩诃草”,该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,主要攻击领域为政府、军事、科研、教育等。2020年2月,“摩诃草”便发起以“新冠疫情”为主题针对国内的攻击活动。该组织利用“武汉旅行信息收集申请表.xlsm”“卫生部指令.docx”等诱饵对我国进行攻击活动。2021年8月,“摩诃草”借助美女图片为诱饵发起 “来自美色的诱惑”的恶意程序攻击。
“摩诃草”不仅是第一个被披露利用疫情进行攻击的APT组织,近年来还常使用携带有CVE-2017-0261漏洞的文档开展攻击活动。2021年1月,奇安信红雨滴团队捕获该组织利用该漏洞针对国内的诱饵文档,名为“Chinese_Pakistani_fighter_planes_play_war_games.docx”。该样本是一个以巴基斯坦空军演习为主题的office文档,内部嵌入了利用CVE-2017-0261漏洞的EPS脚本,当用户打开该文档文件,office内部的EPS解释器就会执行EPS脚本触发漏洞执行恶意shellcode载荷。
最后是“肚脑虫”,该组织由360和奇安信威胁情报中心联合发现,并在全球率先披露。2017年“肚脑虫”攻击活动首次被曝光,但它的攻击活动可追溯到2016年。“肚脑虫”组织一直处于活跃状态,主要针对巴基斯坦、克什米尔地区、斯里兰卡、泰国等南亚、东南亚国家和地区发起攻击,对政府、军队以及商务领域重要人士进行网络间谍活动。
“没有网络安全就没有国家安全”
随着中国互联网行业的快速发展,网络安全风险迅速增加。多年来,中国、俄罗斯等国一直是网络攻击的主要受害者。网络已成为美国及其“盟友”在信息战中压制其他国家的新武器。中国国家互联网应急中心数据显示,2020年位于境外的约5.2万个计算机恶意程序控制服务器,控制了中国境内约531万台主机,就控制中国境内主机数量来看,控制规模排名前三位的控制服务器均来自北约成员国。
此外,相关报道显示,美国中央情报局的网络攻击组织APT-C-39,曾对中国航空航天科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击。
“这告诉中国人一个很简单的道理:在网络攻击中,有一种东西叫作国家级的网络攻击。”复旦大学网络空间国际治理研究基地主任沈逸对《环球时报》记者说,“我们在网络空间开展活动,所发布、拥有的信息又是具有国家安全意义和影响的,天然就会成为国家情报机构进行网络搜集的目标。”他认为,网络安全是国家安全的重要组成部分,要从国家安全领域理解网络安全,树立安全意识。
沈逸表示:“我们一开始认为我们是一个落后国家,或者说发展中国家,在网上好像我们的信息不值钱,没什么值得你偷的。但我们现在已经是经济体量全球排第二的国家,有些周边国家把你视为对手,会发动国家级的网络攻击。印度对我们的攻击是长期持续存在的,是网络空间、国际局势和体系复杂性的具体表现。”在沈逸看来,尽管中国一直试图搞好和印度的关系,但印度一直受西方式的地缘政治思想和理念影响,在网络安全上和美方开展了大量合作。