科技公司遭網攻系民進黨當局有關黑客組織所為 如何快速鎖定境外“黑手”?
前幾天(20日),總枱報道了廣州某科技公司遭境外黑客組織網絡攻擊的事件,今天(27日),廣州市公安局天河區分局再次發佈警情通報稱,經國家權威機構對提取的惡意代碼樣本開展溯源追蹤和技術分析,結合專案組掌握的多種涉案證據綜合判斷,廣州某科技公司遭受的網絡攻擊系中國台灣民進黨當局有關的黑客組織所為。
據廣州市公安局天河區分局5月20日發佈的警情通報顯示,廣州某科技公司自助設備的後台系統在遭受網絡攻擊後,被違法上傳了多份攻擊程序,惡意破壞系統正常運行。事件發生後,該公司立即啓動應急預案,第一時間嘗試恢復系統,並向當地公安機關報案。
*廣州市公安局天河區分局辦案民警 李雲鵬:*公安機關接到報警後,第一時間固定證據,提取相關攻擊程序樣本。經技術分析發現,該案屬於初級APT攻擊,採用的是常規攻擊手段,即利用開源掃描工具,對我境內特定IP地址段實施無差別掃描探測。發現存有漏洞的計算機信息系統,再利用漏洞入侵到該系統,獲取系統管理員權限,進而控制相關單位所有前端設備,並上傳惡意代碼。
根據公安機關掌握的情況,廣州某科技公司的部分設備和系統在遭到了惡意破壞後,導致較長時間服務中斷,影響了企業的正常生產運營,同時該受害企業下架了部署的設備,給企業造成了一定經濟損失。
*廣州市公安局天河區分局副局長 紀朝平:*針對該起黑客攻擊案件,公安機關組織專業技術團隊全面開展技術溯源工作,通過對攻擊者暴露的大量網絡線索進行系統梳理、深入分析,成功鎖定了具有中國台灣當局政府背景的網絡黑客組織,提取固定了大量電子證據。下一步公安機關將繼續對該黑客組織及其骨幹成員開展偵查調查,查清犯罪事實,依法嚴厲打擊相關犯罪嫌疑人。
台灣黑客組織網絡攻擊大陸上千個重要目標
據記者瞭解,專業技術團隊通過對警方提取的相關攻擊程序樣本進行分析發現,此次網絡攻擊是台灣民進黨當局策劃的一次有組織、有預謀的大規模網絡攻擊行動,並且帶有明顯的網絡戰痕跡。
據警方調查掌握,該台灣黑客組織近年來頻繁利用公開網絡資產探測平台,針對大陸10餘個省份的1000餘個重要網絡系統,涉及軍工、能源、水電、交通、政府等領域開展大規模網絡資產探查。
*國家計算機病毒應急處理中心高級工程師 杜振華:*首先是通過網絡端口的探測掃描,去發現目標單位暴露在互聯網上網絡資產的一些基本信息。同時還通過搜索引擎或公開信息檢索等手段,去搜集目標單位以及相關工作人員的聯繫方式,比如電子郵件。如果沒有合適的漏洞,可能會採用社會工程學的攻擊方式,向相關的工作人員發送釣魚網站鏈接,竊取相關工作人員的用户名口令。一旦運行之後可能會進入到目標單位的內網,再進一步進行探測和入侵。
*360集團創始人 周鴻禕:*在過去的這10年裏,我們收集了全世界最多的將近400億個病毒木馬和攻擊者的樣本。像台灣地區的這幾個APT組織,我們一共發現了可能來自5家不同的團隊,他們的編程手法、代碼特徵、攻擊習慣基本上都在我們的知識庫裏。所以只要一對照,基本上就水落石出了。
根據技術團隊分析顯示,雖然該黑客組織頻繁利用VPN代理、境外雲主機和傀儡機等網絡資產,通過大量來自美國、法國、韓國、日本、荷蘭、以色列、波蘭等國家的IP地址實施網絡攻擊,意圖掩蓋其真實攻擊來源,但通過網絡偵查調查,不難查清該黑客組織實施網絡攻擊犯罪的整個過程及其真實意圖。
*國家計算機病毒應急處理中心高級工程師 杜振華:*這些攻擊反映出一方面是攻擊者試圖通過這種攻擊對我(大陸)實施襲擾、騷擾和干擾,另一方面也反映出攻擊者正在試圖去獲取我(大陸)境內的這些網絡資產的控制權,為後續的攻擊或者進一步的攻擊,去準備相應的跳板機和傀儡機,用心非常險惡。
涉案台灣黑客組織技術水平較低 手法簡單粗暴
據網絡安全專家介紹,此次台灣黑客組織實施的網絡攻擊具有明顯的政治背景,具有高度定向性,屬於典型的APT攻擊。那什麼是APT攻擊呢?涉案的台灣黑客組織是怎麼被精準鎖定的呢?
*國家計算機病毒應急處理中心高級工程師 杜振華:*APT攻擊直譯過來叫高級持續性威脅攻擊,具體體現在它使用的漏洞,可能是一些利用難度比較大的漏洞,甚至是未知的漏洞。使用的這些木馬病毒和網絡武器,通常是自主開發的。攻擊者在目標選擇上,相較於普通網絡攻擊的隨機性、發散性而言,對目標的選擇專注度更高,可能對同一目標實施數月甚至長達數年的持續性攻擊。
不同於普通網絡攻擊的“廣撒網”模式,APT攻擊如同訓練有素的“網絡間諜”,往往提前數月甚至數年鎖定目標。他們利用零日漏洞、釣魚郵件等手段,悄無聲息地滲透系統、長期潛伏,進而竊取目標單位的重要數據。
然而,據網絡安全專家介紹,通過相關網絡攻擊樣本和攻擊手法分析,涉案的台灣黑客組織技術水平整體較低,攻擊手法簡單粗暴,攻擊範圍較廣,多次被我網絡防護系統監測發現。
*安天集團創始人董事長 肖新光:*首先,他們比較多使用商用的或開源的木馬或者工具,一定程度上説明他們缺少自研工具的能力。第二,他們極少出現使用零日漏洞的相關情況,説明他們缺少這方面的儲備。第三個他們在整個攻擊活動是比較泛化的,也就是撒大網撈魚,這就使他們的攻擊本身是比較容易被發現和暴露的。
*360集團創始人 周鴻禕:*台灣地區的幾個APT組織簡單而粗暴,能力屬於三流團隊水平,也沒有太多地掩飾和隱藏。他們的攻擊特徵,從現在他們攻擊的對象和竊取的情報來看,他們比較具有強烈的政治意義目的,他們比較偏重於國防和外交等方面的情報和信息竊取。
新聞鏈接:如何防範網絡攻擊威脅?
據網絡安全專家介紹,這些具有高度定向、持續性的APT攻擊是目前網絡安全最大的威脅,那麼能採取哪些安全措施進行防禦呢?
杜振華介紹了三項措施:
首先,相關單位和個人要按照我國網絡安全相關的法律法規和標準規範,落實網絡安全防範的各項措施。
第二,儘量要避免或者杜絕犯一些低級錯誤,比如弱口令,口令設置非常簡單,或者使用默認口令或長期口令不修改等等;再比如一些已知高危漏洞,長時間不進行修補。這些都是非常容易被攻擊者利用,也非常容易出現的一些問題。
第三,尤其要注意電子郵件的安全,特別是防範釣魚郵件,原則是多聯繫多核實。因為有一些常見釣魚郵件的攻擊套路,像偽造的會議通知、邀請函、約稿通知、論文錄用通知等等,都是非常常見的、攻擊者會用到的一些套路,需要相關單位和相關人員提高防範意識。
網絡安全專家提示,如果遇到異常登錄提醒、系統性能突變等異常情況,要提高安全防範意識,及時啓動應急響應機制,並立即向相關部門上報威脅信息。
(總枱央視記者 李文傑 張崗 梁治)