視覺華夏

《》感謝也從360政企安全集團(tuán)獲悉，2020年，360監(jiān)控并捕獲到得初始攻擊載荷共有上百個(gè)。來自以印度為主要代表得南亞地區(qū)得網(wǎng)絡(luò)攻擊有活躍趨勢，從2020年下半年開始一直持續(xù)至目前，并呈大幅上升趨勢。尤其在2021年上半年得攻擊活動中，針對時(shí)事熱點(diǎn)得跟進(jìn)頻次和細(xì)分粒度（數(shù)據(jù)庫名詞，細(xì)化程度越高，粒度級就越?。幌喾?，細(xì)化程度越低，粒度級就越大——編者注）已明顯超過去年同期，主要針對華夏和其他南亞地區(qū)China，圍繞地緣政治相關(guān)得目標(biāo)，涉及教育、政府、航空航天和國防軍工等多個(gè)領(lǐng)域。

從技術(shù)方面講，以印度為代表得南亞地區(qū)網(wǎng)絡(luò)攻擊組織具有明顯得特征，其主要利用“釣魚”，且擅長使用社會工程學(xué)手段——通過利用受害者得本能反應(yīng)、好奇心、信任等心理進(jìn)行欺騙或攻擊。據(jù)介紹，這些很好黑客組織攻擊者將自身偽裝成目標(biāo)China得政府或軍隊(duì)人員，向?qū)Ψ酵哆f掛有“釣魚”附件或嵌有“釣魚”鏈接得攻擊，并誘導(dǎo)目標(biāo)通過鏈接訪問攻擊者通過各種方式搭建得“釣魚”網(wǎng)站，收集受害者輸入得賬號密碼以供情報(bào)搜集或橫向攻擊所用。

360安全可能表示，來自印度等南亞China得網(wǎng)絡(luò)攻擊涉及題材豐富多樣，緊跟時(shí)事熱點(diǎn)，且目標(biāo)針對性極強(qiáng)，可以推斷其背后有專門針對目標(biāo)China相關(guān)領(lǐng)域時(shí)事新聞得情報(bào)分析，同時(shí)以此來指導(dǎo)其進(jìn)行網(wǎng)絡(luò)攻擊活動。

《》感謝了解到， 2021年境外針對華夏得網(wǎng)絡(luò)攻擊目標(biāo)不僅涉及教育、政府、航空航天和國防軍工多個(gè)領(lǐng)域，更是通過緊密圍繞政治、經(jīng)濟(jì)等熱點(diǎn)領(lǐng)域及事件，瞄準(zhǔn)涉及相關(guān)時(shí)事熱點(diǎn)得重點(diǎn)機(jī)構(gòu)或個(gè)人。

“級別高一點(diǎn)APT”瞄準(zhǔn)政府機(jī)構(gòu)、軍工企業(yè)、核能行業(yè)等

此類黑客團(tuán)伙被稱為“級別高一點(diǎn)APT”（Advanced Persistent Threat，高級持續(xù)性威脅）組織。在China背景得支持下，他們專注于針對特定目標(biāo)進(jìn)行長期和持續(xù)性得網(wǎng)絡(luò)攻擊，且一直處于十分活躍得狀態(tài)。

印度是一個(gè)可能被世界情報(bào)界忽視得有威脅得China，甚至南亞得一些China可能也沒有完全意識到它先進(jìn)得網(wǎng)絡(luò)能力。正如一些網(wǎng)絡(luò)安全觀察人士經(jīng)常提到得，“下一場世界大戰(zhàn)將不是在地面、空中或水下進(jìn)行，而是在虛擬得網(wǎng)絡(luò)空間進(jìn)行”。多年來，華夏一直是網(wǎng)絡(luò)攻擊得受害國，華夏網(wǎng)安企業(yè)捕捉到得來自印度得加強(qiáng)攻擊也再次表明華夏網(wǎng)絡(luò)安全形勢得嚴(yán)峻性和加快構(gòu)建網(wǎng)絡(luò)安全保障體系得緊迫性。

例如：2020年新冠肺炎疫情暴發(fā)初期，一個(gè)名為“APT-C-48（CNC）”得組織通過偽造體檢表格文檔對華夏醫(yī)療相關(guān)行業(yè)發(fā)起攻擊；2021年4月，360捕獲到CNC組織針對華夏重點(diǎn)單位發(fā)起得新一輪攻擊；2021年6月中旬，CNC組織在華夏航天時(shí)事熱點(diǎn)前后，針對華夏航空航天領(lǐng)域相關(guān)得重點(diǎn)單位突然發(fā)起集中攻擊。

《》感謝從華夏知名網(wǎng)絡(luò)安全公司奇安信旗下得高級威脅研究團(tuán)隊(duì)紅雨滴獲悉，目前已知這些主要瞄準(zhǔn)政府機(jī)構(gòu)、軍工企業(yè)、核能行業(yè)等領(lǐng)域得級別高一點(diǎn)很好黑客團(tuán)伙集中在“蔓靈花”（BITTER）、“摩訶草”（Patchwork）、“魔羅桫”（Confucius）和“肚腦蟲”（Donot）四大組織中。

首先說說“蔓靈花”，這是一個(gè)據(jù)稱有南亞背景得APT組織。該組織至少從2013年11月以來就開始活躍，但一直未被發(fā)現(xiàn)，直到2016年才被國外安全廠商Forcepoint首次披露。同年，奇安信威脅情報(bào)中心發(fā)現(xiàn)國內(nèi)也遭受相關(guān)攻擊，并將其命名為“蔓靈花”。自從被曝光后，該組織就修改了數(shù)據(jù)包結(jié)構(gòu)，不再以“BITTER”作為數(shù)據(jù)包得標(biāo)識。

隨著其攻擊活動不斷被發(fā)現(xiàn)披露，“蔓靈花”組織得全貌越來越清晰。該組織具有強(qiáng)烈得政治背景，主要針對巴基斯坦、華夏兩國，2018年也發(fā)現(xiàn)過其針對沙特阿拉伯得活動，攻擊瞄準(zhǔn)政府部門、電力、軍工等相關(guān)單位，意圖竊取敏感資料。據(jù)了解，2019年該組織還加強(qiáng)了針對華夏進(jìn)出口行業(yè)得攻擊。

值得一提得是“蔓靈花”組織蕞常用得兩大攻擊手段：其中之一是“魚叉攻擊”（即黑客利用木馬程序作為電子得附件，發(fā)送到目標(biāo)電腦上，誘導(dǎo)受害者去打開附件來感染木馬），因“魚叉”使用得攻擊誘餌大都根據(jù)不同攻擊對象進(jìn)行定制，因而具有較強(qiáng)得迷惑性，而且該組織通過“魚叉”投遞得誘餌類型多樣。另一種主要攻擊手段是“水坑攻擊”（即黑客攻擊者攻陷合法網(wǎng)站），在合法網(wǎng)站上托管其攻擊荷載，或者搭建偽裝為合法網(wǎng)站得惡意網(wǎng)站，誘使受害者下載。“蔓靈花”除通過“水坑網(wǎng)站”直接向目標(biāo)投遞惡意軟件外，還結(jié)合社會工程學(xué)手段制作“釣魚”頁面竊取攻擊目標(biāo)得賬號。紅雨滴得安全可能告訴《》感謝：“有意思得是，在多份報(bào)告中均顯示，‘蔓靈花’組織跟疑似南亞某國得多個(gè)攻擊組織，包括‘摩訶草’‘魔羅桫’‘肚腦蟲’等存在著千絲萬縷得聯(lián)系?！?/p>

其次是“魔羅桫”，該組織得攻擊活動蕞早可以追溯到2013年，被首次公開披露得時(shí)間則是2016年。相關(guān)可能認(rèn)為，“魔羅桫”組織疑似來自印度地區(qū)，長期以華夏、巴基斯坦、尼泊爾等China及周邊地區(qū)為主要攻擊區(qū)域，并瞄準(zhǔn)政府機(jī)構(gòu)、軍工企業(yè)、核能行業(yè)、商貿(mào)會議、通信運(yùn)營等領(lǐng)域發(fā)起攻擊。

再次是“摩訶草”，該組織主要針對華夏、巴基斯坦等亞洲地區(qū)China進(jìn)行網(wǎng)絡(luò)間諜活動，主要攻擊領(lǐng)域?yàn)檎④娛?、科研、教育等?020年2月，“摩訶草”便發(fā)起以“新冠疫情”為主題針對國內(nèi)得攻擊活動。該組織利用“武漢旅行信息收集申請表.xlsm”“衛(wèi)生部指令.docx”等誘餌對華夏進(jìn)行攻擊活動。2021年8月，“摩訶草”借助梅梅支持為誘餌發(fā)起 “來自美色得誘惑”得惡意程序攻擊。

“摩訶草”不僅是第壹個(gè)被披露利用疫情進(jìn)行攻擊得APT組織，近年來還常使用攜帶有CVE-2017-0261漏洞得文檔開展攻擊活動。2021年1月，奇安信紅雨滴團(tuán)隊(duì)捕獲該組織利用該漏洞針對國內(nèi)得誘餌文檔，名為“Chinese_Pakistani_fighter_planes_play_war_games.docx”。該樣本是一個(gè)以巴基斯坦空軍演習(xí)為主題得office文檔，內(nèi)部嵌入了利用CVE-2017-0261漏洞得EPS腳本，當(dāng)用戶打開該文檔文件，office內(nèi)部得EPS解釋器就會執(zhí)行EPS腳本觸發(fā)漏洞執(zhí)行惡意shellcode載荷。

蕞后是“肚腦蟲”，該組織由360和奇安信威脅情報(bào)中心聯(lián)合發(fā)現(xiàn)，并在全球率先披露。2017年“肚腦蟲”攻擊活動首次被曝光，但它得攻擊活動可追溯到2016年?！岸悄X蟲”組織一直處于活躍狀態(tài)，主要針對巴基斯坦、克什米爾地區(qū)、斯里蘭卡、泰國等南亞、東南亞China和地區(qū)發(fā)起攻擊，對政府、軍隊(duì)以及商務(wù)領(lǐng)域重要人士進(jìn)行網(wǎng)絡(luò)間諜活動。

“沒有網(wǎng)絡(luò)安全就沒有China安全”

隨著華夏互聯(lián)網(wǎng)行業(yè)得快速發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)迅速增加。多年來，華夏、俄羅斯等國一直是網(wǎng)絡(luò)攻擊得主要受害者。網(wǎng)絡(luò)已成為美國及其“盟友”在信息戰(zhàn)中壓制其他China得新武器。華夏China互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示，2020年位于境外得約5.2萬個(gè)計(jì)算機(jī)惡意程序控制服務(wù)器，控制了華夏境內(nèi)約531萬臺主機(jī)，就控制華夏境內(nèi)主機(jī)數(shù)量來看，控制規(guī)模排名前三位得控制服務(wù)器均來自北約成員國。

此外，相關(guān)報(bào)道顯示，美國中央情報(bào)局得網(wǎng)絡(luò)攻擊組織APT-C-39，曾對華夏航空航天科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等關(guān)鍵領(lǐng)域進(jìn)行了長達(dá)11年得網(wǎng)絡(luò)滲透攻擊。

“這告訴華夏人一個(gè)很簡單得道理：在網(wǎng)絡(luò)攻擊中，有一種東西叫作級別高一點(diǎn)得網(wǎng)絡(luò)攻擊?！睆?fù)旦大學(xué)網(wǎng)絡(luò)空間國際治理研究基地主任沈逸對《》感謝說，“我們在網(wǎng)絡(luò)空間開展活動，所發(fā)布、擁有得信息又是具有China安全意義和影響得，天然就會成為China情報(bào)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)搜集得目標(biāo)。”他認(rèn)為，網(wǎng)絡(luò)安全是China安全得重要組成部分，要從China安全領(lǐng)域理解網(wǎng)絡(luò)安全，樹立安全意識。

沈逸表示：“我們一開始認(rèn)為我們是一個(gè)落后China，或者說發(fā)展華夏家，在網(wǎng)上好像我們得信息不值錢，沒什么值得你偷得。但我們現(xiàn)在已經(jīng)是經(jīng)濟(jì)體量全球排第二得China，有些周邊China把你視為對手，會發(fā)動級別高一點(diǎn)得網(wǎng)絡(luò)攻擊。印度對我們得攻擊是長期持續(xù)存在得，是網(wǎng)絡(luò)空間、國際局勢和體系復(fù)雜性得具體表現(xiàn)?！痹谏蛞菘磥恚M管華夏一直試圖搞好和印度得關(guān)系，但印度一直受西方式得地緣政治思想和理念影響，在網(wǎng)絡(luò)安全上和美方開展了大量合作。

為應(yīng)對來自網(wǎng)絡(luò)空間得挑戰(zhàn)，華夏政府推出一系列法律措施，以建立一個(gè)網(wǎng)絡(luò)安全治理系統(tǒng)。自2017年以來，華夏幾乎從零開始建立起一套完善得網(wǎng)絡(luò)安全法律保障機(jī)制。沈逸還建議，華夏應(yīng)從提升網(wǎng)絡(luò)安全防御能力和威懾能力兩方面來進(jìn)行網(wǎng)絡(luò)安全建設(shè)。華夏得網(wǎng)絡(luò)空間要有在開放環(huán)境、數(shù)據(jù)跨境流動、基本零信任條件下得有效防御能力。同時(shí)，要建立信息得通報(bào)機(jī)制，如美國經(jīng)常寫報(bào)告，把矛頭指向華夏，以此制約華夏得網(wǎng)絡(luò)空間國際治理，而華夏也要采取相應(yīng)得反制方式。

華夏網(wǎng)絡(luò)空間戰(zhàn)略研究所所長秦安告訴《》感謝，現(xiàn)在網(wǎng)絡(luò)空間軍事化得大趨勢已形成，一些China開始加強(qiáng)對外網(wǎng)絡(luò)攻擊。秦安認(rèn)為，對華夏來說，要提升自己得免疫力，“洪水、污水都是水，不管是來自印度還是美國得攻擊都需要可以得團(tuán)隊(duì)分析對手，專門應(yīng)對”。

感謝：

感謝：金久超