黑客組織“海蓮花”曝光 專攻中國(guó)國(guó)家級(jí)機(jī)構(gòu)

責(zé)任編輯:editor005

作者:伊凡

2015-05-29 20:36:49

摘自:新浪科技

5月29日消息,360旗下“天眼實(shí)驗(yàn)室”發(fā)布報(bào)告,首次披露一起針對(duì)中國(guó)的國(guó)家級(jí)黑客攻擊細(xì)節(jié)?!疤煅蹖?shí)驗(yàn)室”表示,其已捕獲與海蓮花組織有關(guān)的4種不同形態(tài)的特種木馬程序樣本100余個(gè),感染者遍布中國(guó)29個(gè)省級(jí)行政區(qū)和境外的36個(gè)國(guó)家。

5月29日消息,360旗下“天眼實(shí)驗(yàn)室”發(fā)布報(bào)告,首次披露一起針對(duì)中國(guó)的國(guó)家級(jí)黑客攻擊細(xì)節(jié)。該境外黑客組織被命名為“海蓮花(OceanLotus)”,自2012年4月起,“海蓮花”針對(duì)中國(guó)的海事機(jī)構(gòu)、海域建設(shè)部門、科研院所和航運(yùn)企業(yè),展開了精密組織的網(wǎng)絡(luò)攻擊,很明顯是一個(gè)有國(guó)外政府支持的APT(高級(jí)持續(xù)性威脅)行動(dòng)。

報(bào)告指出,“海蓮花”使用木馬病毒攻陷、控制政府人員、外包商、行業(yè)專家等目標(biāo)人群的電腦,意圖獲取受害者電腦中的機(jī)密資料,截獲受害電腦與外界傳遞的情報(bào),甚至操縱該電腦自動(dòng)發(fā)送相關(guān)情報(bào),從而達(dá)到掌握中方動(dòng)向的目的。

據(jù)天眼實(shí)驗(yàn)室分析,海蓮花攻擊的主要方式有“魚叉攻擊”和“水坑攻擊”,前者最常見的做法是,將木馬程序作為電子郵件的附件,并起上一個(gè)極具誘惑力的名稱,發(fā)送給目標(biāo)電腦,誘使受害者打開附件,從而感染木馬。

例如,在去年5月22日新疆發(fā)生了致死31人的暴力恐怖性事件之后,5月28日,該黑客組織曾發(fā)送名為“新疆暴恐事件最新通報(bào)”的電子郵件及附件,引誘目標(biāo)人群“中招”。該組織曾發(fā)送過(guò)的電郵名稱還包括“公務(wù)員工資收入改革方案”等一系列社會(huì)高度關(guān)注的熱點(diǎn)。

“水坑攻擊”,即在受害者必經(jīng)之路設(shè)置了一個(gè)“水坑(陷阱)”。最常見的做法是,黑客分析攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律,尋找攻擊目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站的弱點(diǎn),先將此網(wǎng)站“攻破”并植入攻擊代碼,一旦攻擊目標(biāo)訪問(wèn)該網(wǎng)站就會(huì)“中招”。例如,黑客攻陷了某單位的內(nèi)網(wǎng),將內(nèi)網(wǎng)上一個(gè)要求全體職工下載的表格偷偷換成了木馬程序,這樣,所有按要求下載這一表格的人都會(huì)被植入木馬程序,向黑客發(fā)送涉密資料。

“海蓮花”組織在攻擊中還配合了多種“社會(huì)工程學(xué)”的手段,以求加大攻擊效果。比如,在進(jìn)行魚叉攻擊時(shí),黑客會(huì)主要選擇周一和周五,因?yàn)檫@兩個(gè)時(shí)間人們與外界的溝通比較密切,是在網(wǎng)絡(luò)上傳遞信息的高峰期。而水坑攻擊的時(shí)間則一般選在周一和周二的時(shí)間,因?yàn)檫@個(gè)時(shí)候一般是單位發(fā)布通知,要求職工登錄內(nèi)網(wǎng)的時(shí)候。

目前已經(jīng)捕獲的與“海蓮花”相關(guān)的第一個(gè)特種木馬程序出現(xiàn)在2012年4月,當(dāng)時(shí),首次發(fā)現(xiàn)第一波針對(duì)海運(yùn)港口交通行業(yè)的“水坑”攻擊,海蓮花組織的滲透攻擊就此開始。不過(guò),在此后的2年內(nèi),“海蓮花”的攻擊并不活躍。

直到2014年2月,海蓮花開始對(duì)我國(guó)內(nèi)目標(biāo)發(fā)送定向的“魚叉”攻擊,海蓮花進(jìn)入活躍期,并在此后的14個(gè)月中對(duì)我國(guó)多個(gè)目標(biāo)發(fā)動(dòng)了不間斷的持續(xù)攻擊。2014年5月,海蓮花對(duì)國(guó)內(nèi)某權(quán)威海洋研究機(jī)構(gòu)發(fā)動(dòng)大規(guī)模魚叉攻擊,并形成了過(guò)去14個(gè)月中魚叉攻擊的最高峰。

“天眼實(shí)驗(yàn)室”表示,其已捕獲與海蓮花組織有關(guān)的4種不同形態(tài)的特種木馬程序樣本100余個(gè),感染者遍布中國(guó)29個(gè)省級(jí)行政區(qū)和境外的36個(gè)國(guó)家。其中,中國(guó)的感染者占全球92.3%,而在境內(nèi)感染者中,北京地區(qū)最多,占22.7%,天津次之,為15.5%。為了隱蔽行蹤,海蓮花組織還先后在至少6個(gè)國(guó)家注冊(cè)了服務(wù)器域名35個(gè),相關(guān)服務(wù)器IP地址19個(gè),分布在全球13個(gè)以上的不同國(guó)家。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)