華文網

超級間諜在行動!網路安全大型專題片權威披露:“海蓮花”怎樣入侵中國?

超級間諜在行動!網路安全大型專題片權威披露:“海蓮花”怎樣入侵中國?

2014年3月,中國某海事機構一台辦公電腦出現異常:運行緩慢,CPU、記憶體佔用率極高,原因不明。

作為該單位安全服務供應商,360天眼實驗室負責人汪列軍第一時間參與調查。經過初步排查,他發現,致使電腦異常的罪魁禍首絕不是一個普通的病毒。該病毒不以破壞系統為目的,而是通過層層解密,把系統內檔打包外傳,以竊取電腦中的敏感檔。

汪列軍和團隊隨即排摸整個系統網路,卻發現了更恐怖的事情。他們發現了另外一套專門用於控制伺服器的木馬。一旦伺服器被控制,那麼該伺服器網路中的所有電腦,將變成傀儡,任人擺佈。汪列軍和團隊立即採取了有效的監控防禦措施。

然而,駭客絲毫沒有收斂,

索性撕去隱藏的外衣,肆無忌憚地發起定向的“魚叉”和“水坑”攻擊。

注:“魚叉”攻擊是一種只針對特定目標的網路釣魚攻擊。最常見的做法是,將木馬程式作為電子郵件的附件,並起上一個極具誘惑力的名稱,發送給目標電腦,誘使受害者打開附件,從而感染木馬。

“水坑”攻擊,顧名思義,是在受害者必經之路設置了一個“水坑(陷阱)”。最常見的做法是,駭客通過分析攻擊目標的上網規律,

將其經常使用的網站“攻破”並植入攻擊代碼,一旦目標訪問該網站就會“中招”。曾經發生的案例是駭客攻陷了某單位的內網,將內網上一個要求全體職工下載的表格偷偷換成了木馬程式。這樣,所有按要求下載這一表格的人都會被植入木馬程式,向駭客發送資料。

“水坑”攻擊類似獅子等猛獸的狩獵方式。在捕獵時,獅子們有時會埋伏在水坑邊,等目標路過水坑停下來喝水的時候,抓住時機展開攻擊

汪列軍隨後發現,在網路攻擊的過程中,駭客至少使用了4套不同類型的病毒代碼,相關伺服器IP位址19個,惡意伺服器遍佈全球13個國家。

這就是臭名昭著的“海蓮花”(“Ocean Lotus”)組織。

以上,是正在熱映的國內首部網路安全大型專題片《第五空間》第3集《真實的較量》的重要一幕。

迄今為止,“海蓮花”組織的駭客攻擊還在繼續。由於我國及時防禦,部署得當,才避免了大規模網路安全事件的發生。而隨著《第五空間》的權威披露,“海蓮花”組織及其他網路安全威脅再一次走進人們的視野。

說到這裡,還要給大家介紹一個名詞:高級持續性威脅,簡稱APT(Advanced Persistent Threats)攻擊,是指利用先進的攻擊手段對特定目標進行長期持續性網路攻擊。

“海蓮花”組織的攻擊手段,就是典型的APT攻擊模式。

普通的駭客攻擊就像現實生活中常見的坑蒙拐騙,商業模式追求的是感染量,以量的優勢獲取更多利益,例如盜取QQ號、作流氓推廣等。而APT則是以網路為媒介的間諜行為,它的基礎設施成本高、資源投入大、一切以拿下攻擊物件為目標,結果常常是竊密或破壞。二者最本質的區別就是定向性。

事實上,APT攻擊多以政治、高價值經濟目標為主,特別是國家重點要害部門,有的甚至會涉及網路戰的範疇。它一般僅瞄準少量目標,感染量最少的僅有1個終端,最多的1047個。像“海蓮花”組織,就是瞄準中國海事機構,想方設法竊取我國與海洋相關的政策資訊。

如果把APT攻擊作一個排序,政府機關是絕對的重點,幾乎所有境外APT組織都會將中國政府機構列入戰略攻擊目標。緊隨其後的是科研教育機構,接下來是特定行業,以及更尖端的軍工領域。

作為政治中心的北京,毫無疑問是攻擊的焦點。而理工和軍工背景的科研院校,往往因為承擔較敏感的課題,也成為APT團夥的目標。同理,某些社科類課題組作為政府的智囊,建議建言很可能影響國家對內對外相關政策,這些情報同樣是APT團夥所關心的。

“海蓮花”組織惡意功能變數名稱註冊地及伺服器實際所在地分佈

“海蓮花”特種木馬感染者地域分佈

2016年,《保密工作》記者曾走進360天眼實驗室。在這裡可以很明顯地看到,APT組織竊取的敏感性資料以文檔為主,也包括帳號密碼、截圖等。這些攻擊的針對性非常強,只要檔中出現某些關鍵字,就會統統被打包,再伺機向外傳輸。特別是Office和WPS等文檔檔,無論內容幾何,只要副檔名是.doc、.ppt、.xls、.wps格式就照單全收。

360天眼實驗室2015年監測的29個組織中,14個為首次發現。但這並不代表它們是新出現的,有的可能已潛伏了很久。發現、追蹤、研究APT就像大海撈針,成果可能並不豐碩。與此同時,安全威脅越來越難“看見”:駭客採用越來越複雜的手段進行偽裝,並逐步發展為週期性攻擊,事後能很快恢復,同時大量使用動態功能變數名稱等手法。APT組織還會主動向安全廠商出擊,把木馬程式偽裝成安全從業人員或駭客常用的軟體,企圖滲入安全廠商內部。

“海蓮花”組織發動攻擊歷史

而更可怕的是,即使APT行動被揭露,只要團夥成員沒有落網,大多並不會從此停止活動。實際上,如果是境外團夥,落網基本不可能。他們通過改換基礎設施、改變攻擊手法捲土重來的事例屢見不鮮,這是一場永遠不會結束的戰鬥。

並且,隨著移動智慧終端機的廣泛運用,如今除了傳統的PC平臺,針對移動平臺的攻擊也越來越多。像智慧手機、平板等移動通信設備,天生具有通話記錄、短信、照片、地理定位等獨特資源。此外,物聯網的發展使得攻防的對抗逐步向智慧設備擴散,而且演化速度更快。一旦被恐怖組織效仿,將比自殺式襲擊殺傷力更大。

21世紀是網路的世紀,這一點無疑已經成為各國的共識。從20世紀90年代起,互聯網的迅猛發展,不但使其成為一種推動全球經濟增長的重要新生力量,同時也對人類生活的方方面面產生了革命性的影響。

而作為保密工作者,最為關心的,莫過於網路空間的安全保密問題。

自黨的十八大以來,我國主動開展並積極促成網路空間安全在國際間的對話,在國際性的論壇和互聯網產業大會上提出了我國在網路空間開放合作方面的原則和主張。而2016年發佈的《國家網路空間安全戰略》則是我國有史以來第一次以網路安全國家戰略檔的形式正式對外表明中國在網路空間發展和安全的重大立場,具有絕對性的里程碑意義。

2016年,在烏鎮舉行的第二屆互聯網大會上,國家主席習近平系統論述了“網路空間命運共同體”的理念,重點提出推進全球互聯網治理體系變革的“四項原則”和構建網路空間命運共同體的“五個主張”,推動網路空間互聯互通、共用共治,全面展現了全球網路空間治理的中國方案。

當前,國家安全環境更加複雜,軍事領域競爭不斷加劇,網路空間硝煙四起。正如習近平主席一針見血所指出的,“沒有網路安全就沒有國家安全,沒有資訊化就沒有現代化。”資訊安全保密已經不是個人和部門的問題,而是事關整個國家的安全。我們必須站在全球網路對抗的形勢下,提高資訊安全保密意識,嚴格遵循國家網路安全及保守國家秘密相關法律法規,維護國家安全和發展利益。

原創 紅心火龍果 保密觀

說到這裡,還要給大家介紹一個名詞:高級持續性威脅,簡稱APT(Advanced Persistent Threats)攻擊,是指利用先進的攻擊手段對特定目標進行長期持續性網路攻擊。

“海蓮花”組織的攻擊手段,就是典型的APT攻擊模式。

普通的駭客攻擊就像現實生活中常見的坑蒙拐騙,商業模式追求的是感染量,以量的優勢獲取更多利益,例如盜取QQ號、作流氓推廣等。而APT則是以網路為媒介的間諜行為,它的基礎設施成本高、資源投入大、一切以拿下攻擊物件為目標,結果常常是竊密或破壞。二者最本質的區別就是定向性。

事實上,APT攻擊多以政治、高價值經濟目標為主,特別是國家重點要害部門,有的甚至會涉及網路戰的範疇。它一般僅瞄準少量目標,感染量最少的僅有1個終端,最多的1047個。像“海蓮花”組織,就是瞄準中國海事機構,想方設法竊取我國與海洋相關的政策資訊。

如果把APT攻擊作一個排序,政府機關是絕對的重點,幾乎所有境外APT組織都會將中國政府機構列入戰略攻擊目標。緊隨其後的是科研教育機構,接下來是特定行業,以及更尖端的軍工領域。

作為政治中心的北京,毫無疑問是攻擊的焦點。而理工和軍工背景的科研院校,往往因為承擔較敏感的課題,也成為APT團夥的目標。同理,某些社科類課題組作為政府的智囊,建議建言很可能影響國家對內對外相關政策,這些情報同樣是APT團夥所關心的。

“海蓮花”組織惡意功能變數名稱註冊地及伺服器實際所在地分佈

“海蓮花”特種木馬感染者地域分佈

2016年,《保密工作》記者曾走進360天眼實驗室。在這裡可以很明顯地看到,APT組織竊取的敏感性資料以文檔為主,也包括帳號密碼、截圖等。這些攻擊的針對性非常強,只要檔中出現某些關鍵字,就會統統被打包,再伺機向外傳輸。特別是Office和WPS等文檔檔,無論內容幾何,只要副檔名是.doc、.ppt、.xls、.wps格式就照單全收。

360天眼實驗室2015年監測的29個組織中,14個為首次發現。但這並不代表它們是新出現的,有的可能已潛伏了很久。發現、追蹤、研究APT就像大海撈針,成果可能並不豐碩。與此同時,安全威脅越來越難“看見”:駭客採用越來越複雜的手段進行偽裝,並逐步發展為週期性攻擊,事後能很快恢復,同時大量使用動態功能變數名稱等手法。APT組織還會主動向安全廠商出擊,把木馬程式偽裝成安全從業人員或駭客常用的軟體,企圖滲入安全廠商內部。

“海蓮花”組織發動攻擊歷史

而更可怕的是,即使APT行動被揭露,只要團夥成員沒有落網,大多並不會從此停止活動。實際上,如果是境外團夥,落網基本不可能。他們通過改換基礎設施、改變攻擊手法捲土重來的事例屢見不鮮,這是一場永遠不會結束的戰鬥。

並且,隨著移動智慧終端機的廣泛運用,如今除了傳統的PC平臺,針對移動平臺的攻擊也越來越多。像智慧手機、平板等移動通信設備,天生具有通話記錄、短信、照片、地理定位等獨特資源。此外,物聯網的發展使得攻防的對抗逐步向智慧設備擴散,而且演化速度更快。一旦被恐怖組織效仿,將比自殺式襲擊殺傷力更大。

21世紀是網路的世紀,這一點無疑已經成為各國的共識。從20世紀90年代起,互聯網的迅猛發展,不但使其成為一種推動全球經濟增長的重要新生力量,同時也對人類生活的方方面面產生了革命性的影響。

而作為保密工作者,最為關心的,莫過於網路空間的安全保密問題。

自黨的十八大以來,我國主動開展並積極促成網路空間安全在國際間的對話,在國際性的論壇和互聯網產業大會上提出了我國在網路空間開放合作方面的原則和主張。而2016年發佈的《國家網路空間安全戰略》則是我國有史以來第一次以網路安全國家戰略檔的形式正式對外表明中國在網路空間發展和安全的重大立場,具有絕對性的里程碑意義。

2016年,在烏鎮舉行的第二屆互聯網大會上,國家主席習近平系統論述了“網路空間命運共同體”的理念,重點提出推進全球互聯網治理體系變革的“四項原則”和構建網路空間命運共同體的“五個主張”,推動網路空間互聯互通、共用共治,全面展現了全球網路空間治理的中國方案。

當前,國家安全環境更加複雜,軍事領域競爭不斷加劇,網路空間硝煙四起。正如習近平主席一針見血所指出的,“沒有網路安全就沒有國家安全,沒有資訊化就沒有現代化。”資訊安全保密已經不是個人和部門的問題,而是事關整個國家的安全。我們必須站在全球網路對抗的形勢下,提高資訊安全保密意識,嚴格遵循國家網路安全及保守國家秘密相關法律法規,維護國家安全和發展利益。

原創 紅心火龍果 保密觀