新京報(bào)訊 據(jù)中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)官微消息,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)監(jiān)測(cè)發(fā)現(xiàn),近年來(lái),美國(guó)情報(bào)機(jī)構(gòu)將網(wǎng)絡(luò)攻擊竊密的重點(diǎn)目標(biāo)瞄準(zhǔn)我高科技軍工類的高校、科研院所及企業(yè),試圖竊取我軍事領(lǐng)域相關(guān)的科研數(shù)據(jù)或設(shè)計(jì)、研發(fā)、制造等環(huán)節(jié)的核心生產(chǎn)數(shù)據(jù)等敏感信息,目標(biāo)更有針對(duì)性、手法更加隱蔽,嚴(yán)重威脅我國(guó)防軍工領(lǐng)域的科研生產(chǎn)安全甚至國(guó)家安全。自2022年西北工業(yè)大學(xué)遭受美國(guó)NSA網(wǎng)絡(luò)攻擊被曝光后,美情報(bào)機(jī)構(gòu)頻繁猖獗對(duì)我國(guó)防軍工領(lǐng)域?qū)嵤┚W(wǎng)絡(luò)竊密攻擊。在此,選取2起典型事件予以公布,為重要行業(yè)領(lǐng)域提供安全預(yù)警。


一、利用微軟Exchange郵件系統(tǒng)零日漏洞實(shí)施攻擊


2022年7月至2023年7月,美情報(bào)機(jī)構(gòu)利用微軟Exchange郵件系統(tǒng)零日漏洞,對(duì)我一家大型重要軍工企業(yè)的郵件服務(wù)器攻擊并控制將近1年。經(jīng)調(diào)查,攻擊者控制了該企業(yè)的域控服務(wù)器,以域控服務(wù)器為跳板,控制了內(nèi)網(wǎng)中50余臺(tái)重要設(shè)備,并在企業(yè)的某對(duì)外工作專用服務(wù)器中植入了建立websocket+SSH隧道的攻擊竊密武器,意圖實(shí)現(xiàn)持久控制。同時(shí),攻擊者在該企業(yè)網(wǎng)絡(luò)中構(gòu)建了多條隱蔽通道進(jìn)行數(shù)據(jù)竊取。


期間,攻擊者使用位于德國(guó)(159.69.*.*)、芬蘭(95.216.*.*)、韓國(guó)(158.247.*.*)和新加坡(139.180.*.*)等多個(gè)國(guó)家跳板IP,發(fā)起40余次網(wǎng)絡(luò)攻擊,竊取包括該企業(yè)高層在內(nèi)11人的郵件,涉及我軍工類產(chǎn)品的相關(guān)設(shè)計(jì)方案、系統(tǒng)核心參數(shù)等內(nèi)容。攻擊者在該企業(yè)設(shè)備中植入的攻擊武器,通過(guò)混淆來(lái)逃避安全軟件的監(jiān)測(cè),通過(guò)多層流量轉(zhuǎn)發(fā)達(dá)到攻擊內(nèi)網(wǎng)重要設(shè)備目的,通過(guò)通用加密方式抹去了惡意通信流量特征。


二、利用電子文件系統(tǒng)漏洞實(shí)施攻擊


2024年7月至11月,美情報(bào)機(jī)構(gòu)對(duì)我某通信和衛(wèi)星互聯(lián)網(wǎng)領(lǐng)域的軍工企業(yè)實(shí)施網(wǎng)絡(luò)攻擊。經(jīng)調(diào)查,攻擊者先是通過(guò)位于羅馬尼亞(72.5.*.*)、荷蘭(167.172.*.*)等多個(gè)國(guó)家的跳板IP,利用未授權(quán)訪問(wèn)漏洞及SQL注入漏洞攻擊該企業(yè)電子文件系統(tǒng),向該企業(yè)電子文件服務(wù)器植入內(nèi)存后門(mén)程序并進(jìn)一步上傳木馬,在木馬攜帶的惡意載荷解碼后,將惡意載荷添加至Tomcat(美國(guó)Apache基金會(huì)支持的開(kāi)源代碼Web應(yīng)用服務(wù)器項(xiàng)目)服務(wù)的過(guò)濾器,通過(guò)檢測(cè)流量中的惡意請(qǐng)求,實(shí)現(xiàn)與后門(mén)的通信。隨后,攻擊者又利用該企業(yè)系統(tǒng)軟件升級(jí)服務(wù),向該企業(yè)內(nèi)網(wǎng)定向投遞竊密木馬,入侵控制了300余臺(tái)設(shè)備,并搜索“軍專網(wǎng)”、“核心網(wǎng)”等關(guān)鍵詞定向竊取被控主機(jī)上的敏感數(shù)據(jù)。


上述案例中,攻擊者利用關(guān)鍵詞檢索國(guó)防軍工領(lǐng)域敏感內(nèi)容信息,明顯屬于國(guó)家級(jí)黑客組織關(guān)注范圍,并帶有強(qiáng)烈的戰(zhàn)略意圖。此外,攻擊者使用多個(gè)境外跳板IP實(shí)施網(wǎng)絡(luò)攻擊,采取主動(dòng)刪除日志、木馬,主動(dòng)檢測(cè)機(jī)器狀態(tài)等手段,意圖掩蓋其攻擊身份及真實(shí)的攻擊意圖,反映出很強(qiáng)的網(wǎng)絡(luò)攻擊能力和專業(yè)的隱蔽意識(shí)。


據(jù)統(tǒng)計(jì),僅2024年境外國(guó)家級(jí)APT組織對(duì)我重要單位的網(wǎng)絡(luò)攻擊事件就超過(guò)600起,其中國(guó)防軍工領(lǐng)域是受攻擊的首要目標(biāo)。尤其是以美國(guó)情報(bào)機(jī)構(gòu)為背景的黑客組織依托成建制的網(wǎng)絡(luò)攻擊團(tuán)隊(duì)、龐大的支撐工程體系與制式化的攻擊裝備庫(kù)、強(qiáng)大的漏洞分析挖掘能力,對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)、關(guān)鍵人員等進(jìn)行攻擊滲透,嚴(yán)重威脅我國(guó)家網(wǎng)絡(luò)安全。


編輯 毛天宇