長期竊取我國敏感數據,29個海外駭客組織被曝光
- 發佈時間:2016-01-19 12:08:15 來源:中國經濟網 責任編輯:王磊
日前,360天眼實驗室發佈了《2015年中國高級持續性威脅(APT)研究報告》。報告顯示,中國作為高級持續性威脅(APT)攻擊的主要受害國,僅2015就已發現29個針對中國境內機構進行APT攻擊的駭客組織。這些APT組織長時間潛伏,有的網路間諜活動最長持續8年之久。駭客組織從中國科研、政府機構等領域竊取了大量敏感數據,對國家安全已造成嚴重的危害。其中,中國的教育科研、政府機構、能源、軍事等行業是遭受攻擊的重災區。
《2015年中國高級持續性威脅(APT)研究報告》是對目前針對中國的APT攻擊組織的年度總結。主要內容包括:
中國是高級持續性威脅(APT)攻擊的主要受害國。截至2015年11月底,360天眼實驗室監測到的針對中國境內科研教育、政府機構等組織單位發動APT攻擊的境內外駭客組織累計29個,其中15個APT組織曾經被國外安全廠商披露過,另外14個為360天眼實驗室首先發現並監測到的APT組織,其中包括2015年5月末發佈的海蓮花(OceanLotus)APT組織。
北京、廣東是重災區教育科研與政府機構是主要遭攻擊領域。國內多個省市受到不同程度的影響,其中北京、廣東是重災區。國內受影響量排名前五的省市是:北京、廣東、浙江、江蘇、福建等沿海相關省市。受影響量排名最後的五個省市是:西藏、青海、寧夏、新疆、貴州。
圖1國內受影響情況(2014年12月-2015年11月)
教育科研、政府機構是APT攻擊主要針對的領域。其他受到攻擊的行業還包括能源、軍事、工業與商業等。科研與教育機構能夠成為2015年APT攻擊的首要目標,在一定程度上反映出境外APT組織對中國科技情報的“興趣”。幾乎所有境外APT組織都會將中國的政府機構列入自己的戰略攻擊目標。這説明絕大多數的APT組織都是具有政府背景的。
攻擊持續時間長,最長可達8年
攻擊者長期持續對特定目標進行精準的打擊。在這29個APT組織中,針對中國境內目標的攻擊最早可以追溯到2007年,該組織主要針對中國政府、軍事、科技和教育等重點單位和部門,相關攻擊行動最早可追溯到2007,至今還非常活躍。也就是從2007年開始進行了持續8年的網路間諜活動。最近三個月(2015年9月以後)內仍然處於活躍狀態的APT組織至少有9個。
我國相關機構防禦薄弱低成本攻擊頻頻得手
針對中國的APT攻擊主要由低成本的攻擊組成,但由於相關防禦薄弱導致低成本攻擊頻頻得手。研究人員發現,針對中國的攻擊中,APT組織更多選擇1day或Nday等已知漏洞,這説明相關機構對曝出的漏洞並未及時修補,安全意識較差。此外,郵件攻擊是APT攻擊中使用最為頻繁的攻擊載體。針對中國的魚叉郵件攻擊主要是攜帶可執行程式,這也從側面反應出中國相關機構的安全防禦措施、以及人員的安全意識比較欠缺。
大量敏感數據被竊取,國家安全遭受嚴重危害
APT組織從中國科研、政府機構等領域竊取了大量敏感數據,對國家安全已造成嚴重的危害。其中名為APT-C-05的組織是一個針對中國攻擊的境外APT組織,也是至今捕獲到針對中國攻擊持續時間最長的組織。APT組織竊取的具體數據內容有很大差異,但均涉及中國科研、政府等領域的敏感數據,其中竊取的敏感數據中以具備文件實體形態的文檔數據為主,進一步會包括賬號密碼、截圖等。竊取的敏感數據主要以文檔為主,APT組織更關注WPS Office相關文檔。WPS Office辦公軟體的用戶一般分佈在國內政府機構或事業單位。
攻擊緊密圍繞政濟、科技、軍工等熱點領域
十三五規劃、一帶一路、軍工製造等內容是APT組織關注的重點領域。國民經濟和社會發展第十三個五年規劃綱要(2016-2020年,簡稱“十三五”規劃)是2016年-2020年中國經濟社會發展的宏偉藍圖。穩步推進“一帶一路”建設合作是中國“十三五”規劃的重要內容。在2015年11月、12月期間,研究人員已捕獲到針對相關目標的攻擊行動,相關攻擊行動主要以“一帶一路”、“21世紀海上絲綢之路”等誘餌資訊攻擊相關領域的目標群體。
360企業安全集團總裁吳雲坤表示,從本次報告的結果看,國內科研與政府等相關機構的安全防禦措施亟待加強,工作人員的網路安全意識比較淡薄。在幫助政企用戶加強網路安全防護上,國內安全廠商還有很多工作要做。
這是繼2015年5月發佈"海蓮花"分析報告後,360天眼實驗室第二次發佈APT相關研究報告。據360天眼實驗室負責人韓永剛透露,2016年360天眼實驗將會持續發佈APT相關報告,報告全文可以在360威脅情報中心(TI.360.com)下載瀏覽。
成立於2014年的360天眼實驗室致力於利用大數據技術研究未知威脅。該實驗室旗下的天眼系統(SkyEyeSystem)是全球首個基於大數據的未知威脅感知系統。