“南亚地区的邪恶之花”“游荡在喜马拉雅山脉的幽灵战象”“来自美色的诱惑”……对大多数人来说,这些神秘的代码名称一般出现在烧脑刺激的黑客电影里。
然而,《环球时报》记者近日从多家中国网络安全企业获悉,这些代码的背后揭示了一张精密、复杂的真实网络:来自南亚大陆——以印度为主要代表的顶尖黑客组织,它们在国家和情报机构的强大支持下,在过去几年里不断攻击中国、尼泊尔和巴基斯坦的国防、军事单位以及国有企业。
近些年,印度军政高层和媒体不断炒作“中国网攻威胁”,每次都遭到中方驳斥。事实证明,中国才是黑客攻击的主要受害国之一。
安天科技集团、360政企安全集团和奇安信三大中国网络安全企业相关人士给记者提供了大量翔实的一手资料,从中可以发现印度对我国重要部门频密发动网络攻击的重要信息。
相关专家也提醒,针对境外网络攻击,中国要提升自身免疫力,不管是来自印度还是美国的攻击都需要专业的团队分析对手,并采取相应的反制方式。
作者:曹思琦 郭媛丹等
“钓鱼”邮件+社会工程学手段
作为引领威胁检测与防御能力发展的网络安全国家队,安天科技集团一直在跟踪对我国发起的“钓鱼”攻击。
安天科技副总工程师李柏松告诉《环球时报》记者,今年3月以来,安天已捕获多起针对我国和南亚次大陆国家的“钓鱼”攻击活动。这些活动涉及网络节点数目众多,主要攻击目标为中国、巴基斯坦、尼泊尔等国家的政府、国防军事以及国企单位。安天科技发现,这一批次“钓鱼”攻击的最早时间可追溯至 2019年4月份,攻击组织来自印度。
《环球时报》记者也从360政企安全集团获悉,2020年,360监控并捕获到的初始攻击载荷共有上百个。来自以印度为主要代表的南亚地区的网络攻击有活跃趋势,从2020年下半年开始一直持续至目前,并呈大幅上升趋势。
尤其在2021年上半年的攻击活动中,针对时事热点的跟进频次和细分粒度(数据库名词,细化程度越高,粒度级就越小;相反,细化程度越低,粒度级就越大——编者注)已明显超过去年同期,主要针对我国和其他南亚地区国家,围绕地缘政治相关的目标,涉及教育、政府、航空航天和国防军工等多个领域。
从技术方面讲,以印度为代表的南亚地区网络攻击组织具有明显的特征,其主要利用“钓鱼”邮件,且擅长使用社会工程学手段——通过利用受害者的本能反应、好奇心、信任等心理进行欺骗或攻击。
据介绍,这些顶级黑客组织攻击者将自身伪装成目标国家的政府或军队人员,向对方邮箱投递挂有“钓鱼”附件或嵌有“钓鱼”链接的攻击邮件,并诱导目标通过链接访问攻击者通过各种方式搭建的“钓鱼”网站,收集受害者输入的账号密码以供情报搜集或横向攻击所用。
360安全专家表示,来自印度等南亚国家的网络攻击涉及题材丰富多样,紧跟时事热点,且目标针对性极强,可以推断其背后有专门针对目标国家相关领域时事新闻的情报分析,同时以此来指导其进行网络攻击活动。
《环球时报》记者了解到, 2021年境外针对中国的网络攻击目标不仅涉及教育、政府、航空航天和国防军工多个领域,更是通过紧密围绕政治、经济等热点领域及事件,瞄准涉及相关时事热点的重点机构或个人。
瞄准政府机构、军工企业、核能行业
此类黑客团伙被称为“国家级APT”(Advanced Persistent Threat,高级持续性威胁)组织。在国家背景的支持下,他们专注于针对特定目标进行长期和持续性的网络攻击,且一直处于十分活跃的状态。
印度是一个可能被世界情报界忽视的有威胁的国家,甚至南亚的一些国家可能也没有完全意识到它先进的网络能力。正如一些网络安全观察人士经常提到的,“下一场世界大战将不是在地面、空中或水下进行,而是在虚拟的网络空间进行”。多年来,中国一直是网络攻击的受害国,中国网安企业捕捉到的来自印度的加强攻击也再次表明中国网络安全形势的严峻性和加快构建网络安全保障体系的紧迫性。
相关网站对(APT-C-48)的介绍
例如:2020年新冠肺炎疫情暴发初期,一个名为“APT-C-48(CNC)”的组织通过伪造体检表格文档对我国医疗相关行业发起攻击;2021年4月,360捕获到CNC组织针对我国重点单位发起的新一轮攻击;2021年6月中旬,CNC组织在我国航天时事热点前后,针对我国航空航天领域相关的重点单位突然发起集中攻击。
《环球时报》记者从中国知名网络安全公司奇安信旗下的高级威胁研究团队红雨滴获悉,目前已知这些主要瞄准政府机构、军工企业、核能行业等领域的国家级顶级黑客团伙集中在“蔓灵花”(BITTER)、“摩诃草”(Patchwork)、“魔罗桫”(Confucius)和“肚脑虫”(Donot)四大组织中。
首先说说“蔓灵花”,这是一个据称有南亚背景的APT组织。该组织至少从2013年11月以来就开始活跃,但一直未被发现,直到2016年才被国外安全厂商Forcepoint首次披露。同年,奇安信威胁情报中心发现国内也遭受相关攻击,并将其命名为“蔓灵花”。自从被曝光后,该组织就修改了数据包结构,不再以“BITTER”作为数据包的标识。
随着其攻击活动不断被发现披露,“蔓灵花”组织的全貌越来越清晰。该组织具有强烈的政治背景,主要针对巴基斯坦、中国两国,2018年也发现过其针对沙特阿拉伯的活动,攻击瞄准政府部门、电力、军工等相关单位,意图窃取敏感资料。据了解,2019年该组织还加强了针对我国进出口行业的攻击。
值得一提的是“蔓灵花”组织最常用的两大攻击手段:其中之一是“鱼叉攻击”(即黑客利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马),因“鱼叉邮件”使用的攻击诱饵大都根据不同攻击对象进行定制,因而具有较强的迷惑性,而且该组织通过“鱼叉邮件”投递的诱饵类型多样。
另一种主要攻击手段是“水坑攻击”(即黑客攻击者攻陷合法网站),在合法网站上托管其攻击荷载,或者搭建伪装为合法网站的恶意网站,诱使受害者下载。“蔓灵花”除通过“水坑网站”直接向目标投递恶意软件外,还结合社会工程学手段制作“钓鱼”页面窃取攻击目标的邮箱账号。红雨滴的安全专家告诉《环球时报》记者:“有意思的是,在多份报告中均显示,‘蔓灵花’组织跟疑似南亚某国的多个攻击组织,包括‘摩诃草’‘魔罗桫’‘肚脑虫’等存在着千丝万缕的联系。”
其次是“魔罗桫”,该组织的攻击活动最早可以追溯到2013年,被首次公开披露的时间则是2016年。相关专家认为,“魔罗桫”组织疑似来自印度地区,长期以中国、巴基斯坦、尼泊尔等国家及周边地区为主要攻击区域,并瞄准政府机构、军工企业、核能行业、商贸会议、通信运营等领域发起攻击。
再次是“摩诃草”,该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,主要攻击领域为政府、军事、科研、教育等。2020年2月,“摩诃草”便发起以“新冠疫情”为主题针对国内的攻击活动。该组织利用“武汉旅行信息收集申请表.xlsm”“卫生部指令.docx”等诱饵对我国进行攻击活动。2021年8月,“摩诃草”借助美女图片为诱饵发起 “来自美色的诱惑”的恶意程序攻击。
相关网站对(APT-C-48)的介绍
例如:2020年新冠肺炎疫情暴发初期,一个名为“APT-C-48(CNC)”的组织通过伪造体检表格文档对我国医疗相关行业发起攻击;2021年4月,360捕获到CNC组织针对我国重点单位发起的新一轮攻击;2021年6月中旬,CNC组织在我国航天时事热点前后,针对我国航空航天领域相关的重点单位突然发起集中攻击。
《环球时报》记者从中国知名网络安全公司奇安信旗下的高级威胁研究团队红雨滴获悉,目前已知这些主要瞄准政府机构、军工企业、核能行业等领域的国家级顶级黑客团伙集中在“蔓灵花”(BITTER)、“摩诃草”(Patchwork)、“魔罗桫”(Confucius)和“肚脑虫”(Donot)四大组织中。
首先说说“蔓灵花”,这是一个据称有南亚背景的APT组织。该组织至少从2013年11月以来就开始活跃,但一直未被发现,直到2016年才被国外安全厂商Forcepoint首次披露。同年,奇安信威胁情报中心发现国内也遭受相关攻击,并将其命名为“蔓灵花”。自从被曝光后,该组织就修改了数据包结构,不再以“BITTER”作为数据包的标识。
随着其攻击活动不断被发现披露,“蔓灵花”组织的全貌越来越清晰。该组织具有强烈的政治背景,主要针对巴基斯坦、中国两国,2018年也发现过其针对沙特阿拉伯的活动,攻击瞄准政府部门、电力、军工等相关单位,意图窃取敏感资料。据了解,2019年该组织还加强了针对我国进出口行业的攻击。
值得一提的是“蔓灵花”组织最常用的两大攻击手段:其中之一是“鱼叉攻击”(即黑客利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马),因“鱼叉邮件”使用的攻击诱饵大都根据不同攻击对象进行定制,因而具有较强的迷惑性,而且该组织通过“鱼叉邮件”投递的诱饵类型多样。
另一种主要攻击手段是“水坑攻击”(即黑客攻击者攻陷合法网站),在合法网站上托管其攻击荷载,或者搭建伪装为合法网站的恶意网站,诱使受害者下载。“蔓灵花”除通过“水坑网站”直接向目标投递恶意软件外,还结合社会工程学手段制作“钓鱼”页面窃取攻击目标的邮箱账号。红雨滴的安全专家告诉《环球时报》记者:“有意思的是,在多份报告中均显示,‘蔓灵花’组织跟疑似南亚某国的多个攻击组织,包括‘摩诃草’‘魔罗桫’‘肚脑虫’等存在着千丝万缕的联系。”
其次是“魔罗桫”,该组织的攻击活动最早可以追溯到2013年,被首次公开披露的时间则是2016年。相关专家认为,“魔罗桫”组织疑似来自印度地区,长期以中国、巴基斯坦、尼泊尔等国家及周边地区为主要攻击区域,并瞄准政府机构、军工企业、核能行业、商贸会议、通信运营等领域发起攻击。
再次是“摩诃草”,该组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,主要攻击领域为政府、军事、科研、教育等。2020年2月,“摩诃草”便发起以“新冠疫情”为主题针对国内的攻击活动。该组织利用“武汉旅行信息收集申请表.xlsm”“卫生部指令.docx”等诱饵对我国进行攻击活动。2021年8月,“摩诃草”借助美女图片为诱饵发起 “来自美色的诱惑”的恶意程序攻击。
《环球时报》英文版制作的这张示意图,罗列了主要来自印度的南亚黑客对中国相关机构进行攻击的案例,并在最后提示说:“黑客会按照热点话题发动攻击,这暗示着攻击背后可能存在情报分析的影子。” 冯清吟制图
“摩诃草”不仅是第一个被披露利用疫情进行攻击的APT组织,近年来还常使用携带有CVE-2017-0261漏洞的文档开展攻击活动。2021年1月,奇安信红雨滴团队捕获该组织利用该漏洞针对国内的诱饵文档,名为“Chinese_Pakistani_fighter_planes_play_war_games.docx”。
该样本是一个以巴基斯坦空军演习为主题的office文档,内部嵌入了利用CVE-2017-0261漏洞的EPS脚本,当用户打开该文档文件,office内部的EPS解释器就会执行EPS脚本触发漏洞执行恶意shellcode载荷。
最后是“肚脑虫”,该组织由360和奇安信威胁情报中心联合发现,并在全球率先披露。2017年“肚脑虫”攻击活动首次被曝光,但它的攻击活动可追溯到2016年。“肚脑虫”组织一直处于活跃状态,主要针对巴基斯坦、克什米尔地区、斯里兰卡、泰国等南亚、东南亚国家和地区发起攻击,对政府、军队以及商务领域重要人士进行网络间谍活动。
“没有网络安全就没有国家安全”
随着中国互联网行业的快速发展,网络安全风险迅速增加。多年来,中国、俄罗斯等国一直是网络攻击的主要受害者。网络已成为美国及其“盟友”在信息战中压制其他国家的新武器。中国国家互联网应急中心数据显示,2020年位于境外的约5.2万个计算机恶意程序控制服务器,控制了中国境内约531万台主机,就控制中国境内主机数量来看,控制规模排名前三位的控制服务器均来自北约成员国。
此外,相关报道显示,美国中央情报局的网络攻击组织APT-C-39,曾对中国航空航天科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击。
“这告诉中国人一个很简单的道理:在网络攻击中,有一种东西叫作国家级的网络攻击。”复旦大学网络空间国际治理研究基地主任沈逸对《环球时报》记者说,“我们在网络空间开展活动,所发布、拥有的信息又是具有国家安全意义和影响的,天然就会成为国家情报机构进行网络搜集的目标。”他认为,网络安全是国家安全的重要组成部分,要从国家安全领域理解网络安全,树立安全意识。
沈逸表示:“我们一开始认为我们是一个落后国家,或者说发展中国家,在网上好像我们的信息不值钱,没什么值得你偷的。但我们现在已经是经济体量全球排第二的国家,有些周边国家把你视为对手,会发动国家级的网络攻击。印度对我们的攻击是长期持续存在的,是网络空间、国际局势和体系复杂性的具体表现。”
在沈逸看来,尽管中国一直试图搞好和印度的关系,但印度一直受西方式的地缘政治思想和理念影响,在网络安全上和美方开展了大量合作。
为应对来自网络空间的挑战,中国政府推出一系列法律措施,以建立一个网络安全治理系统。自2017年以来,中国几乎从零开始建立起一套完善的网络安全法律保障机制。
沈逸还建议,中国应从提升网络安全防御能力和威慑能力两方面来进行网络安全建设。中国的网络空间要有在开放环境、数据跨境流动、基本零信任条件下的有效防御能力。同时,要建立信息的通报机制,如美国经常写报告,把矛头指向中国,以此制约中国的网络空间国际治理,而中国也要采取相应的反制方式。
中国网络空间战略研究所所长秦安告诉《环球时报》记者,现在网络空间军事化的大趋势已形成,一些国家开始加强对外网络攻击。
秦安认为,对中国来说,要提升自己的免疫力,“洪水、污水都是水,不管是来自印度还是美国的攻击都需要专业的团队分析对手,专门应对”。▲
