|
“南亚地区的邪恶之花”“游荡在喜马拉雅山脉的幽灵战象”“来自美色的诱惑”……对大多数人来说,这些神秘的代码名称一般出现在烧脑刺激的黑客电影里。 然而,《环球时报》记者近日从多家中国网络安全企业获悉,这些代码的背后揭示了一张精密、复杂的真实网络:来自南亚大陆——以印度为主要代表的顶尖黑客组织,它们在国家和情报机构的强大支持下,在过去几年里不断攻击中国、尼泊尔和巴基斯坦的国防、军事单位以及国有企业。 近些年,印度军政高层和媒体不断炒作“中国网攻威胁”,每次都遭到中方驳斥。事实证明,中国才是黑客攻击的主要受害国之一。 安天科技集团、360政企安全集团和奇安信三大中国网络安全企业相关人士给记者提供了大量翔实的一手资料,从中可以发现印度对我国重要部门频密发动网络攻击的重要信息。 相关专家也提醒,针对境外网络攻击,中国要提升自身免疫力,不管是来自印度还是美国的攻击都需要专业的团队分析对手,并采取相应的反制方式。 作者:曹思琦 郭媛丹等 “钓鱼”邮件+社会工程学手段 作为引领威胁检测与防御能力发展的网络安全国家队,安天科技集团一直在跟踪对我国发起的“钓鱼”攻击。 安天科技副总工程师李柏松告诉《环球时报》记者,今年3月以来,安天已捕获多起针对我国和南亚次大陆国家的“钓鱼”攻击活动。这些活动涉及网络节点数目众多,主要攻击目标为中国、巴基斯坦、尼泊尔等国家的政府、国防军事以及国企单位。安天科技发现,这一批次“钓鱼”攻击的最早时间可追溯至 2019年4月份,攻击组织来自印度。 《环球时报》记者也从360政企安全集团获悉,2020年,360监控并捕获到的初始攻击载荷共有上百个。来自以印度为主要代表的南亚地区的网络攻击有活跃趋势,从2020年下半年开始一直持续至目前,并呈大幅上升趋势。 尤其在2021年上半年的攻击活动中,针对时事热点的跟进频次和细分粒度(数据库名词,细化程度越高,粒度级就越小;相反,细化程度越低,粒度级就越大——编者注)已明显超过去年同期,主要针对我国和其他南亚地区国家,围绕地缘政治相关的目标,涉及教育、政府、航空航天和国防军工等多个领域。 从技术方面讲,以印度为代表的南亚地区网络攻击组织具有明显的特征,其主要利用“钓鱼”邮件,且擅长使用社会工程学手段——通过利用受害者的本能反应、好奇心、信任等心理进行欺骗或攻击。 据介绍,这些顶级黑客组织攻击者将自身伪装成目标国家的政府或军队人员,向对方邮箱投递挂有“钓鱼”附件或嵌有“钓鱼”链接的攻击邮件,并诱导目标通过链接访问攻击者通过各种方式搭建的“钓鱼”网站,收集受害者输入的账号密码以供情报搜集或横向攻击所用。 360安全专家表示,来自印度等南亚国家的网络攻击涉及题材丰富多样,紧跟时事热点,且目标针对性极强,可以推断其背后有专门针对目标国家相关领域时事新闻的情报分析,同时以此来指导其进行网络攻击活动。 《环球时报》记者了解到, 2021年境外针对中国的网络攻击目标不仅涉及教育、政府、航空航天和国防军工多个领域,更是通过紧密围绕政治、经济等热点领域及事件,瞄准涉及相关时事热点的重点机构或个人。 瞄准政府机构、军工企业、核能行业 此类黑客团伙被称为“国家级APT”(Advanced Persistent Threat,高级持续性威胁)组织。在国家背景的支持下,他们专注于针对特定目标进行长期和持续性的网络攻击,且一直处于十分活跃的状态。 印度是一个可能被世界情报界忽视的有威胁的国家,甚至南亚的一些国家可能也没有完全意识到它先进的网络能力。正如一些网络安全观察人士经常提到的,“下一场世界大战将不是在地面、空中或水下进行,而是在虚拟的网络空间进行”。多年来,中国一直是网络攻击的受害国,中国网安企业捕捉到的来自印度的加强攻击也再次表明中国网络安全形势的严峻性和加快构建网络安全保障体系的紧迫性。  相关网站对(APT-C-48)的介绍 例如:2020年新冠肺炎疫情暴发初期,一个名为“APT-C-48(CNC)”的组织通过伪造体检表格文档对我国医疗相关行业发起攻击;2021年4月,360捕获到CNC组织针对我国重点单位发起的新一轮攻击;2021年6月中旬,CNC组织在我国航天时事热点前后,针对我国航空航天领域相关的重点单位突然发起集中攻击。 《环球时报》记者从中国知名网络安全公司奇安信旗下的高级威胁研究团队红雨滴获悉,目前已知这些主要瞄准政府机构、军工企业、核能行业等领域的国家级顶级黑客团伙集中在“蔓灵花”(BITTER)、“摩诃草”(Patchwork)、“魔罗桫”(Confucius)和“肚脑虫”(Donot)四大组织中。 首先说说“蔓灵花”,这是一个据称有南亚背景的APT组织。该组织至少从2013年11月以来就开始活跃,但一直未被发现,直到2016年才被国外安全厂商Forcepoint首次披露。同年,奇安信威胁情报中心发现国内也遭受相关攻击,并将其命名为“蔓灵花”。自从被曝光后,该组织就修改了数据包结构,不再以“BITTER”作为数据包的标识。 随着其攻击活动不断被发现披露,“蔓灵花”组织的全貌越来越清晰。该组织具有强烈的政治背景,主要针对巴基斯坦、中国两国,2018年也发现过其针对沙特阿拉伯的活动,攻击瞄准政府部门、电力、军工等相关单位,意图窃取敏感资料。据了解,2019年该组织还加强了针对我国进出口行业的攻击。 值得一提的是“蔓灵花”组织最常用的两大攻击手段:其中之一是“鱼叉攻击”(即黑客利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马),因“鱼叉邮件”使用的攻击诱饵大都根据不同攻击对象进行定制,因而具有较强的迷惑性,而且该组织通过“鱼叉邮件”投递的诱饵类型多样。 另一种主要攻击手段是“水坑攻击”(即黑客攻击者攻陷合法网站),在合法网站上托管其攻击荷载,或者搭建伪装为合法网站的恶意网站,诱使受害者下载。“蔓灵花”除通过“水坑网站”直接向目标投递恶意软件外,还结合社会工程学手段制作“钓鱼”页面窃取攻击目标的邮箱账号。红雨滴的安全专家告诉《环球时报》记者:“有意思的是,在多份报告中均显示,‘蔓灵花’组织跟疑似南亚某国的多个攻击组织,包括‘摩诃草’‘魔罗桫’‘肚脑虫’等存在着千丝万缕的联系。” 其次是“魔罗桫”,该组织的攻击活动最早可以追溯到2013年,被首次公开披露的时间则是2016年。相关专家认为,“魔罗桫”组织疑似来自印度地区,长期以中国、巴基斯坦、尼泊尔等国家及周边地区为主要攻击区域,并瞄准政府机构、军工企业、核能行业、商贸会议、通信运营等领域发起攻击。 (责任编辑:编辑) |
