起底!中國網安企業人士提供翔實一手資料:印度駭客對我重要部門頻密發動網路攻擊!
編者的話:“南亞地區的邪惡之花”“遊蕩在喜馬拉雅山脈的幽靈戰象”“來自美色的誘惑”……對大多數人來説,這些神秘的代碼名稱一般出現在燒腦刺激的駭客電影裏。然而,《環球時報》記者近日從多家中國網路安全企業獲悉,這些代碼的背後揭示了一張精密、複雜的真實網路:來自南亞大陸——以印度為主要代表的頂尖駭客組織,它們在國家和情報機構的強大支援下,在過去幾年裏不斷攻擊中國、尼泊爾和巴基斯坦的國防、軍事單位以及國有企業。近些年,印度軍政高層和媒體不斷炒作“中國網攻威脅”,每次都遭到中方駁斥。事實證明,中國才是駭客攻擊的主要受害國之一。安天科技集團、360政企安全集團和奇安信三大中國網路安全企業相關人士給記者提供了大量翔實的一手資料,從中可以發現印度對我國重要部門頻密發動網路攻擊的重要資訊。相關專家也提醒,針對境外網路攻擊,中國要提升自身免疫力,不管是來自印度還是美國的攻擊都需要專業的團隊分析對手,並採取相應的反制方式。
不僅利用“釣魚”郵件,還擅長社會工程學手段
作為引領威脅檢測與防禦能力發展的網路安全國家隊,安天科技集團一直在跟蹤對我國發起的“釣魚”攻擊。安天科技副總工程師李柏松告訴《環球時報》記者,今年3月以來,安天已捕獲多起針對我國和南亞次大陸國家的“釣魚”攻擊活動。這些活動涉及網路節點數目眾多,主要攻擊目標為中國、巴基斯坦、尼泊爾等國家的政府、國防軍事以及國企單位。安天科技發現,這一批次“釣魚”攻擊的最早時間可追溯至 2019年4月份,攻擊組織來自印度。
《環球時報》記者也從360政企安全集團獲悉,2020年,360監控並捕獲到的初始攻擊載荷共有上百個。來自以印度為主要代表的南亞地區的網路攻擊有活躍趨勢,從2020年下半年開始一直持續至目前,並呈大幅上升趨勢。尤其在2021年上半年的攻擊活動中,針對時事熱點的跟進頻次和細分粒度(數據庫名詞,細化程度越高,粒度級就越小;相反,細化程度越低,粒度級就越大——編者注)已明顯超過去年同期,主要針對我國和其他南亞地區國家,圍繞地緣政治相關的目標,涉及教育、政府、航空航太和國防軍工等多個領域。
從技術方面講,以印度為代表的南亞地區網路攻擊組織具有明顯的特徵,其主要利用“釣魚”郵件,且擅長使用社會工程學手段——通過利用受害者的本能反應、好奇心、信任等心理進行欺騙或攻擊。據介紹,這些頂級駭客組織攻擊者將自身偽裝成目標國家的政府或軍隊人員,向對方郵箱投遞挂有“釣魚”附件或嵌有“釣魚”連結的攻擊郵件,並誘導目標通過連結訪問攻擊者通過各種方式搭建的“釣魚”網站,收集受害者輸入的賬號密碼以供情報蒐集或橫向攻擊所用。
360安全專家表示,來自印度等南亞國家的網路攻擊涉及題材豐富多樣,緊跟時事熱點,且目標針對性極強,可以推斷其背後有專門針對目標國家相關領域時事新聞的情報分析,同時以此來指導其進行網路攻擊活動。
《環球時報》記者了解到, 2021年境外針對中國的網路攻擊目標不僅涉及教育、政府、航空航太和國防軍工多個領域,更是通過緊密圍繞政治、經濟等熱點領域及事件,瞄準涉及相關時事熱點的重點機構或個人。
“國家級APT”瞄準政府機構、軍工企業、核能行業等
此類駭客團夥被稱為“國家級APT”(Advanced Persistent Threat,高級持續性威脅)組織。在國家背景的支援下,他們專注于針對特定目標進行長期和持續性的網路攻擊,且一直處於十分活躍的狀態。
印度是一個可能被世界情報界忽視的有威脅的國家,甚至南亞的一些國家可能也沒有完全意識到它先進的網路能力。正如一些網路安全觀察人士經常提到的,“下一場世界大戰將不是在地面、空中或水下進行,而是在虛擬的網路空間進行”。多年來,中國一直是網路攻擊的受害國,中國網安企業捕捉到的來自印度的加強攻擊也再次表明中國網路安全形勢的嚴峻性和加快構建網路安全保障體系的緊迫性。
例如:2020年新冠肺炎疫情暴發初期,一個名為“APT-C-48(CNC)”的組織通過偽造體檢表格文檔對我國醫療相關行業發起攻擊;2021年4月,360捕獲到CNC組織針對我國重點單位發起的新一輪攻擊;2021年6月中旬,CNC組織在我國航太時事熱點前後,針對我國航空航太領域相關的重點單位突然發起集中攻擊。
《環球時報》記者從中國知名網路安全公司奇安信旗下的高級威脅研究團隊紅雨滴獲悉,目前已知這些主要瞄準政府機構、軍工企業、核能行業等領域的國家級頂級駭客團夥集中在“蔓靈花”(BITTER)、“摩訶草”(Patchwork)、“魔羅桫”(Confucius)和“肚腦蟲”(Donot)四大組織中。
首先説説“蔓靈花”,這是一個據稱有南亞背景的APT組織。該組織至少從2013年11月以來就開始活躍,但一直未被發現,直到2016年才被國外安全廠商Forcepoint首次披露。同年,奇安信威脅情報中心發現國內也遭受相關攻擊,並將其命名為“蔓靈花”。自從被曝光後,該組織就修改了數據包結構,不再以“BITTER”作為數據包的標識。
隨著其攻擊活動不斷被發現披露,“蔓靈花”組織的全貌越來越清晰。該組織具有強烈的政治背景,主要針對巴基斯坦、中國兩國,2018年也發現過其針對沙烏地阿拉伯的活動,攻擊瞄準政府部門、電力、軍工等相關單位,意圖竊取敏感資料。據了解,2019年該組織還加強了針對我國進出口行業的攻擊。
值得一提的是“蔓靈花”組織最常用的兩大攻擊手段:其中之一是“魚叉攻擊”(即駭客利用木馬程式作為電子郵件的附件,發送到目標電腦上,誘導受害者去打開附件來感染木馬),因“魚叉郵件”使用的攻擊誘餌大都根據不同攻擊對象進行定制,因而具有較強的迷惑性,而且該組織通過“魚叉郵件”投遞的誘餌類型多樣。另一種主要攻擊手段是“水坑攻擊”(即駭客攻擊者攻陷合法網站),在合法網站上託管其攻擊荷載,或者搭建偽裝為合法網站的惡意網站,誘使受害者下載。“蔓靈花”除通過“水坑網站”直接向目標投遞惡意軟體外,還結合社會工程學手段製作“釣魚”頁面竊取攻擊目標的郵箱賬號。紅雨滴的安全專家告訴《環球時報》記者:“有意思的是,在多份報告中均顯示,‘蔓靈花’組織跟疑似南亞某國的多個攻擊組織,包括‘摩訶草’‘魔羅桫’‘肚腦蟲’等存在著千絲萬縷的聯繫。”
其次是“魔羅桫”,該組織的攻擊活動最早可以追溯到2013年,被首次公開披露的時間則是2016年。相關專家認為,“魔羅桫”組織疑似來自印度地區,長期以中國、巴基斯坦、尼泊爾等國家及周邊地區為主要攻擊區域,並瞄準政府機構、軍工企業、核能行業、商貿會議、通信運營等領域發起攻擊。
再次是“摩訶草”,該組織主要針對中國、巴基斯坦等亞洲地區國家進行網路間諜活動,主要攻擊領域為政府、軍事、科研、教育等。2020年2月,“摩訶草”便發起以“新冠疫情”為主題針對國內的攻擊活動。該組織利用“武漢旅行資訊收集申請表.xlsm”“衛生部指令.docx”等誘餌對我國進行攻擊活動。2021年8月,“摩訶草”借助美女圖片為誘餌發起 “來自美色的誘惑”的惡意程式攻擊。
“摩訶草”不僅是第一個被披露利用疫情進行攻擊的APT組織,近年來還常使用攜帶有CVE-2017-0261漏洞的文檔開展攻擊活動。2021年1月,奇安信紅雨滴團隊捕獲該組織利用該漏洞針對國內的誘餌文檔,名為“Chinese_Pakistani_fighter_planes_play_war_games.docx”。該樣本是一個以巴基斯坦空軍演習為主題的office文檔,內部嵌入了利用CVE-2017-0261漏洞的EPS腳本,當用戶打開該文檔文件,office內部的EPS解釋器就會執行EPS腳本觸發漏洞執行惡意shellcode載荷。
最後是“肚腦蟲”,該組織由360和奇安信威脅情報中心聯合發現,並在全球率先披露。2017年“肚腦蟲”攻擊活動首次被曝光,但它的攻擊活動可追溯到2016年。“肚腦蟲”組織一直處於活躍狀態,主要針對巴基斯坦、克什米爾地區、斯里蘭卡、泰國等南亞、東南亞國家和地區發起攻擊,對政府、軍隊以及商務領域重要人士進行網路間諜活動。
“沒有網路安全就沒有國家安全”
隨著中國網際網路行業的快速發展,網路安全風險迅速增加。多年來,中國、俄羅斯等國一直是網路攻擊的主要受害者。網路已成為美國及其“盟友”在資訊戰中壓制其他國家的新武器。中國國家網際網路應急中心數據顯示,2020年位於境外的約5.2萬個電腦惡意程式控制伺服器,控制了中國境內約531萬台主機,就控制中國境內主機數量來看,控制規模排名前三位的控制伺服器均來自北約成員國。
此外,相關報道顯示,美國中央情報局的網路攻擊組織APT-C-39,曾對中國航空航太科研機構、石油行業、大型網際網路公司以及政府機構等關鍵領域進行了長達11年的網路滲透攻擊。
“這告訴中國人一個很簡單的道理:在網路攻擊中,有一種東西叫作國家級的網路攻擊。”復旦大學網路空間國際治理研究基地主任沈逸對《環球時報》記者説,“我們在網路空間開展活動,所發佈、擁有的資訊又是具有國家安全意義和影響的,天然就會成為國家情報機構進行網路蒐集的目標。”他認為,網路安全是國家安全的重要組成部分,要從國家安全領域理解網路安全,樹立安全意識。
沈逸表示:“我們一開始認為我們是一個落後國家,或者説發展中國家,在網上好像我們的資訊不值錢,沒什麼值得你偷的。但我們現在已經是經濟體量全球排第二的國家,有些周邊國家把你視為對手,會發動國家級的網路攻擊。印度對我們的攻擊是長期持續存在的,是網路空間、國際局勢和體系複雜性的具體表現。”在沈逸看來,儘管中國一直試圖搞好和印度的關係,但印度一直受西方式的地緣政治思想和理念影響,在網路安全上和美方開展了大量合作。
為應對來自網路空間的挑戰,中國政府推出一系列法律措施,以建立一個網路安全治理系統。自2017年以來,中國幾乎從零開始建立起一套完善的網路安全法律保障機制。沈逸還建議,中國應從提升網路安全防禦能力和威懾能力兩方面來進行網路安全建設。中國的網路空間要有在開放環境、數據跨境流動、基本零信任條件下的有效防禦能力。同時,要建立資訊的通報機制,如美國經常寫報告,把矛頭指向中國,以此制約中國的網路空間國際治理,而中國也要採取相應的反制方式。
中國網路空間戰略研究所所長秦安告訴《環球時報》記者,現在網路空間軍事化的大趨勢已形成,一些國家開始加強對外網路攻擊。秦安認為,對中國來説,要提升自己的免疫力,“洪水、污水都是水,不管是來自印度還是美國的攻擊都需要專業的團隊分析對手,專門應對”。