首次曝光海外黑客组织“海莲”专门从事中国

时间:2019-04-05 02:49:15 来源:二道江新闻网 作者:匿名
  

中国经济网北京时间5月29日5月29日,中国网络安全公司360“天雁实验室”发布报告,首次披露了针对中国的全国黑客攻击细节。海外黑客组织被命名为“OceanLotus”。自2012年4月起,“海联”为中国政府的海事机构,海洋建设部门,研究机构和航运公司推出了一个完善的网络。这次袭击显然是外国政府支持的APT(高级持续性威胁)行动。

“海莲花”对中国政府发起了鱼叉和水坑袭击

“海炼”使用木马病毒来捕获和控制目标人员的计算机,如政府人员,外包商和行业专家。它打算从受害者的计算机获取机密信息,拦截受害者计算机和外界传输的信息,甚至操纵计算机自动发送相关信息。智力,从而达到抓住中国运动的目的。

根据天雁实验室的分析,海莲袭击的主要方法是“鱼叉攻击”和“水坑攻击”。前者最常见的做法是将特洛伊木马程序作为电子邮件附加,并使其成为一个非常有吸引力的程序。发送到目标计算机的名称会诱使受害者打开附件并感染特洛伊木马。例如,去年5月22日,在新疆发生一起涉及31人死亡的暴力恐怖事件后,5月28日,黑客组织发送了一封电子邮件和附件,称为“新疆恐怖事件的最新通知”,以吸引目标人群。 。 “中招”。该组织发送的电子邮件的名称还包括一系列备受瞩目的社会热点,例如“公务员薪酬收入改革计划”,这是很难预防的。

顾名思义,“水坑袭击”是在受害者必须通过的道路上设置“水坑(陷阱)”。最常见的做法是黑客分析攻击目标的在线活动,并发现攻击目标经常访问的网站的弱点。首先,网站被“粉碎”并植入攻击代码中。一旦访问目标,目标将“在中间”。 。在案件发生的情况下,黑客抓住了某个单位的内联网,并在内联网上偷了一张表格,要求所有员工将其下载到特洛伊木马程序中。通过这种方式,根据请求下载表单的所有人都将被植入特洛伊木马。向黑客发送机密信息。北京和天津的感染率最高

“海联华”组织还与各种“社会工程”方法合作,以增加攻击效果。例如,在鱼叉攻击的情况下,黑客主要选择周一和周五,因为人们在这两次与外界通信,这是在网络上传输信息的高峰期。通常在周一和周二选择水坑攻击的时间,因为这次通用单元发出通知,要求员工登录内联网。

2012年4月出现了与“海莲花”有关的第一个特殊木马程序。当时,首次发现了针对航运港口行业的第一波“水坑”攻击。开始。然而,在接下来的两年里,“海莲花”袭击并未激活。直到2014年2月,海联开始向我的国内目标发送有针对性的“鱼叉”攻击。海炼进入活跃期,并在接下来的14个月内对中国的多个目标进行了不间断的持续攻击。 2014年5月,海联对中国权威海洋研究机构发起大规模鱼叉攻击,并在过去14个月中形成了鱼叉攻击的最高峰。

图1.“海莲花”攻击时间表

“天雁实验室”说,已经捕获了100多个与海莲组织有关的四种不同类型特殊木马的样本,感染了29个省级行政区域和36个国家以外的国家。其中,中国感染者占世界的92.3%,在国内感染者中,北京人数最多,占22.7%,其次是天津,占15.5%。为了隐藏下落,海华莲花在至少六个国家注册了35个服务器域名,相关的服务器IP地址为19个,分布在全球13个不同的国家。

图2:“海联”使用分布在许多海外国家的域名和服务器

大数据技术揭开了“海莲”的面纱

“天雁实验室”告诉记者,事实上,“海联华”的攻击已经被他们捕获,但这只是一个零散的发现。直到去年,360建立了“天韵”实验室并首次在中国使用大数据技术。进行了未知威胁检测,并首次发现了这些分散威胁之间的联系。全国黑客行为的概述逐渐变得清晰。虽然发现了海莲的攻击轨迹,但如何确定这不是一般的商业黑客行为,而是受到敌对国家的支持?面对记者提问,“天韵实验室”表示,首先,这种有组织和有计划的长期攻击需要高额投资,这对一般商业公司来说是不可承受的。其次,“海联”的信息对商业组织没什么价值。 “综合来说,海华莲花组织的长期攻击期(3年以上),明确的攻击目标,攻击技术的复杂性以及社会工作的精确性意味着该组织不是一般的民间黑客组织,而是拥有一个由外国政府支持的高度组织化,专业化的国家级黑客组织。“

美国曾经称中国军队对美国进行黑客攻击。

近年来,围绕“网络空间”的进攻性和防御性战争愈演愈烈。所谓的APT攻击(高级持续性威胁),一种常见的网络攻击,已经为普通人所熟知的行业术语。世界知名的网络安全公司Fireeye几年前发布了世界上第一个APT攻击报告APT One,并且此后继续发布类似的网络威胁。其他知名网络安全厂商如卡巴斯基也有自己的APT安全报告。

2013年,一家名为Mandiant的美国网络信息安全公司宣布,它最初掌握了中国网络部队在中国上海浦东发生黑客攻击的证据。中方坚决反驳这一说法并声称它是美国黑客攻击的受害者。

军事专家宋仲平说,中国是网络攻击的最大受害者。这是一个不争的事实。研究机构,大学和其他单位是“受灾最严重的地区”。中国也非常重视网络安全,重视政府部门等重点地区的局域网保护。但是,仍有必要加强管理。有必要加强对秘密人员的教育,让他们知道,作为个人,他们已经掌握了这些部分。信息可能并不重要,但它是一个重要秘密的一部分,如果获得和整合它可能是重要的。

宋仲平说,美国在2010年已经建立了网络战指挥。在当今的信息社会,谁能控制“信息流”,谁能抓住战争机遇,甚至控制战争的进展。随着我们日常生活中“信息化”程度的加深,越来越多的信息被数字化并通过网络传播,这也为网络间谍活动提供了机会。此次网络攻击已进入2014年以来的一个活跃期,这与中国网络依赖性的深化有关。过去的间谍活动主要是通过人工实施实现的。现在,由于可以通过网络获得大量信息,因此网络间谍活动正在增加。将是一种趋势。