細(xì)節(jié)披露！網(wǎng)攻科技公司的臺灣黑客組織被精準(zhǔn)鎖定

5月20日，廣州市公安局天河區(qū)分局發(fā)布警情通報稱，廣州某科技公司遭境外黑客組織網(wǎng)絡(luò)攻擊，公安機(jī)關(guān)立即開展調(diào)查。

今天（27日），廣州市公安局天河區(qū)分局再次發(fā)布警情通報稱，經(jīng)國家權(quán)威機(jī)構(gòu)對提取的惡意代碼樣本開展溯源追蹤和技術(shù)分析，結(jié)合專案組掌握的多種涉案證據(jù)綜合判斷，廣州某科技公司遭受的網(wǎng)絡(luò)攻擊系中國臺灣民進(jìn)黨當(dāng)局有關(guān)的黑客組織所為。

警方：黑客組織采用常規(guī)攻擊手段

屬初級APT攻擊

據(jù)廣州市公安局天河區(qū)分局5月20日發(fā)布的警情通報顯示，廣州某科技公司自助設(shè)備的后臺系統(tǒng)在遭受網(wǎng)絡(luò)攻擊后，被違法上傳了多份攻擊程序，惡意破壞系統(tǒng)正常運(yùn)行。事件發(fā)生后，該公司立即啟動應(yīng)急預(yù)案，第一時間嘗試恢復(fù)系統(tǒng)，并向當(dāng)?shù)毓矙C(jī)關(guān)報案。

廣州市公安局天河區(qū)分局辦案民警 李雲(yún)鵬：公安機(jī)關(guān)接到報警后，第一時間固定證據(jù)，提取相關(guān)攻擊程序樣本。經(jīng)技術(shù)分析發(fā)現(xiàn)，該案屬于初級APT攻擊，采用的是常規(guī)攻擊手段，即利用開源掃描工具，對我境內(nèi)特定IP地址段實施無差別掃描探測。發(fā)現(xiàn)存有漏洞的計算機(jī)信息系統(tǒng)，再利用漏洞入侵到該系統(tǒng)，獲取系統(tǒng)管理員權(quán)限，進(jìn)而控制相關(guān)單位所有前端設(shè)備，并上傳惡意代碼。

根據(jù)公安機(jī)關(guān)掌握的情況，廣州某科技公司的部分設(shè)備和系統(tǒng)在遭到了惡意破壞后，導(dǎo)致較長時間服務(wù)中斷，影響了企業(yè)的正常生產(chǎn)運(yùn)營，同時該受害企業(yè)下架了部署的設(shè)備，給企業(yè)造成了一定經(jīng)濟(jì)損失。

廣州市公安局天河區(qū)分局副局長 紀(jì)朝平：針對該起黑客攻擊案件，公安機(jī)關(guān)組織專業(yè)技術(shù)團(tuán)隊全面開展技術(shù)溯源工作，通過對攻擊者暴露的大量網(wǎng)絡(luò)線索進(jìn)行系統(tǒng)梳理、深入分析，成功鎖定了具有中國臺灣當(dāng)局政府背景的網(wǎng)絡(luò)黑客組織，提取固定了大量電子證據(jù)。下一步公安機(jī)關(guān)將繼續(xù)對該黑客組織及其骨干成員開展偵查調(diào)查，查清犯罪事實，依法嚴(yán)厲打擊相關(guān)犯罪嫌疑人。

該黑客組織曾網(wǎng)攻大陸

軍工、能源等領(lǐng)域上千個重要目標(biāo)

據(jù)記者了解，專業(yè)技術(shù)團(tuán)隊通過對警方提取的相關(guān)攻擊程序樣本進(jìn)行分析發(fā)現(xiàn)，此次網(wǎng)絡(luò)攻擊是臺灣民進(jìn)黨當(dāng)局策劃的一次有組織、有預(yù)謀的大規(guī)模網(wǎng)絡(luò)攻擊行動，并且?guī)в忻黠@的網(wǎng)絡(luò)戰(zhàn)痕跡。

據(jù)警方調(diào)查掌握，該臺灣黑客組織近年來頻繁利用公開網(wǎng)絡(luò)資產(chǎn)探測平臺，針對大陸10余個省份的1000余個重要網(wǎng)絡(luò)系統(tǒng)，涉及軍工、能源、水電、交通、政府等領(lǐng)域開展大規(guī)模網(wǎng)絡(luò)資產(chǎn)探查。

國家計算機(jī)病毒應(yīng)急處理中心高級工程師 杜振華：首先是通過網(wǎng)絡(luò)端口的探測掃描，去發(fā)現(xiàn)目標(biāo)單位暴露在互聯(lián)網(wǎng)上網(wǎng)絡(luò)資產(chǎn)的一些基本信息。同時還通過搜索引擎或公開信息檢索等手段，去搜集目標(biāo)單位以及相關(guān)工作人員的聯(lián)系方式，比如電子郵件。如果沒有合適的漏洞，可能會采用社會工程學(xué)的攻擊方式，向相關(guān)的工作人員發(fā)送釣魚網(wǎng)站鏈接，竊取相關(guān)工作人員的用戶名口令。一旦運(yùn)行之后可能會進(jìn)入到目標(biāo)單位的內(nèi)網(wǎng)，再進(jìn)一步進(jìn)行探測和入侵。

360集團(tuán)創(chuàng)始人 周鴻祎：在過去的這10年里，我們收集了全世界最多的將近400億個病毒木馬和攻擊者的樣本。像臺灣地區(qū)的這幾個APT組織，我們一共發(fā)現(xiàn)了可能來自5家不同的團(tuán)隊，他們的編程手法、代碼特征、攻擊習(xí)慣基本上都在我們的知識庫里。所以只要一對照，基本上就水落石出了。

根據(jù)技術(shù)團(tuán)隊分析顯示，雖然該黑客組織頻繁利用VPN代理、境外云主機(jī)和傀儡機(jī)等網(wǎng)絡(luò)資產(chǎn)，通過大量來自美國、法國、韓國、日本、荷蘭、以色列、波蘭等國家的IP地址實施網(wǎng)絡(luò)攻擊，意圖掩蓋其真實攻擊來源，但通過網(wǎng)絡(luò)偵查調(diào)查，不難查清該黑客組織實施網(wǎng)絡(luò)攻擊犯罪的整個過程及其真實意圖。

國家計算機(jī)病毒應(yīng)急處理中心高級工程師 杜振華：這些攻擊反映出一方面是攻擊者試圖通過這種攻擊對我（大陸）實施襲擾、騷擾和干擾，另一方面也反映出攻擊者正在試圖去獲取我（大陸）境內(nèi)的這些網(wǎng)絡(luò)資產(chǎn)的控制權(quán)，為后續(xù)的攻擊或者進(jìn)一步的攻擊，去準(zhǔn)備相應(yīng)的跳板機(jī)和傀儡機(jī)，用心非常險惡。

專家：涉案黑客組織技術(shù)水平較低

手法簡單粗暴

據(jù)網(wǎng)絡(luò)安全專家介紹，此次臺灣黑客組織實施的網(wǎng)絡(luò)攻擊具有明顯的政治背景，具有高度定向性，屬于典型的APT攻擊。那什么是APT攻擊呢？涉案的臺灣黑客組織是怎么被精準(zhǔn)鎖定的呢？

國家計算機(jī)病毒應(yīng)急處理中心高級工程師 杜振華：APT攻擊直譯過來叫高級持續(xù)性威脅攻擊，具體體現(xiàn)在它使用的漏洞，可能是一些利用難度比較大的漏洞，甚至是未知的漏洞。使用的這些木馬病毒和網(wǎng)絡(luò)武器，通常是自主開發(fā)的。攻擊者在目標(biāo)選擇上，相較于普通網(wǎng)絡(luò)攻擊的隨機(jī)性、發(fā)散性而言，對目標(biāo)的選擇專注度更高，可能對同一目標(biāo)實施數(shù)月甚至長達(dá)數(shù)年的持續(xù)性攻擊。

不同于普通網(wǎng)絡(luò)攻擊的“廣撒網(wǎng)”模式，APT攻擊如同訓(xùn)練有素的“網(wǎng)絡(luò)間諜”，往往提前數(shù)月甚至數(shù)年鎖定目標(biāo)。他們利用零日漏洞、釣魚郵件等手段，悄無聲息地滲透系統(tǒng)、長期潛伏，進(jìn)而竊取目標(biāo)單位的重要數(shù)據(jù)。

然而，據(jù)網(wǎng)絡(luò)安全專家介紹，通過相關(guān)網(wǎng)絡(luò)攻擊樣本和攻擊手法分析，涉案的臺灣黑客組織技術(shù)水平整體較低，攻擊手法簡單粗暴，攻擊范圍較廣，多次被我網(wǎng)絡(luò)防護(hù)系統(tǒng)監(jiān)測發(fā)現(xiàn)。

安天集團(tuán)創(chuàng)始人董事長 肖新光：首先，他們比較多使用商用的或開源的木馬或者工具，一定程度上說明他們?nèi)鄙僮匝泄ぞ叩哪芰?。第二，他們極少出現(xiàn)使用零日漏洞的相關(guān)情況，說明他們?nèi)鄙龠@方面的儲備。第三個他們在整個攻擊活動是比較泛化的，也就是撒大網(wǎng)撈魚，這就使他們的攻擊本身是比較容易被發(fā)現(xiàn)和暴露的。

360集團(tuán)創(chuàng)始人 周鴻祎：臺灣地區(qū)的幾個APT組織簡單而粗暴，能力屬于三流團(tuán)隊水平，也沒有太多地掩飾和隱藏。他們的攻擊特征，從現(xiàn)在他們攻擊的對象和竊取的情報來看，他們比較具有強(qiáng)烈的政治意義目的，他們比較偏重于國防和外交等方面的情報和信息竊取。

如何防范網(wǎng)絡(luò)攻擊威脅？

據(jù)網(wǎng)絡(luò)安全專家介紹，這些具有高度定向、持續(xù)性的APT攻擊是目前網(wǎng)絡(luò)安全最大的威脅，那么能采取哪些安全措施進(jìn)行防御呢？

杜振華介紹了三項措施：

首先，相關(guān)單位和個人要按照我國網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，落實網(wǎng)絡(luò)安全防范的各項措施。

第二，盡量要避免或者杜絕犯一些低級錯誤，比如弱口令，口令設(shè)置非常簡單，或者使用默認(rèn)口令或長期口令不修改等等；再比如一些已知高危漏洞，長時間不進(jìn)行修補(bǔ)。這些都是非常容易被攻擊者利用，也非常容易出現(xiàn)的一些問題。

第三，尤其要注意電子郵件的安全，特別是防范釣魚郵件，原則是多聯(lián)系多核實。因為有一些常見釣魚郵件的攻擊套路，像偽造的會議通知、邀請函、約稿通知、論文錄用通知等等，都是非常常見的、攻擊者會用到的一些套路，需要相關(guān)單位和相關(guān)人員提高防范意識。

網(wǎng)絡(luò)安全專家提示，如果遇到異常登錄提醒、系統(tǒng)性能突變等異常情況，要提高安全防范意識，及時啟動應(yīng)急響應(yīng)機(jī)制，并立即向相關(guān)部門上報威脅信息。

【未經(jīng)授權(quán)，嚴(yán)禁轉(zhuǎn)載！聯(lián)系電話028-86968276】