攻擊架構(gòu)：域名adobesys[.]com和其它攻擊使用的注冊信息

利用ThreatConnect系統(tǒng)WHOIS查詢功能，發(fā)現(xiàn)惡意程序回連域名adobesys[.]com的大量注冊信息，如通過中國網(wǎng)絡(luò)服務(wù)商注冊，注冊郵箱為li2384826402[@]yahoo[.]com，而該郵箱與2015年攻擊美國Anthem和OPM的APT組織DEEP PANDA高度關(guān)聯(lián)，進一步為此次攻擊事件提供了重要證據(jù)。

經(jīng)分析，adobesys[.]com域名對應兩個IP地址：173.231.11[.]24和185.92.222[.]81；攻擊者使用的另一個域名newsoft2[.]com對應IP地址185.92.222[.]81，WHOIS信息顯示，newsoft2[.]com通過中國地區(qū)網(wǎng)絡(luò)利用郵箱omyname@gmail[.]com進行注冊。攻擊者利用newsoft2[.]com配合adobesys[.]com進行網(wǎng)絡(luò)滲透活動。

攻擊目標：兩家公司

在該案例中，攻擊者只關(guān)注小范圍的特定目標。我們與合作伙伴通過網(wǎng)絡(luò)流量分析和攻擊域名監(jiān)測發(fā)現(xiàn)，中國APT組織使用HttpBrowser后門，對歐洲某無人機設(shè)備公司的系統(tǒng)控制工程師發(fā)起了定向攻擊，另外，美國國防部承包商的法國某能源管理公司在美分部也成為了這次攻擊的目標，該公司長期為美方提供能源管理和SCADA系統(tǒng)解決方案。

在攻擊發(fā)現(xiàn)后，我們及時通知了這兩家攻擊公司，但目前還暫時無法確定是否造成了數(shù)據(jù)泄露。

攻擊者：老練的“熊貓”組織

雖然此次攻擊手法與Emissary Panda和Dynamite Panda高度一致，但我們還不能確定攻擊者具體屬于哪支中國APT組織。Emissary Panda和Dynamite Panda都以國防和航空航天領(lǐng)域為主要攻擊目標，Emissary Panda也曾對能源領(lǐng)域開展過入侵攻擊。根據(jù)SecureWorks報告，Emissary Panda通常以掛馬攻擊、策略式網(wǎng)頁攻擊或水坑攻擊為主要技術(shù)，針對特定組織機構(gòu)人員實施定向滲透。另外，魚叉式釣魚郵件也是Emissary Panda使用的攻擊手段。

社會-政治因素：攻擊動機討論

在2015年中美雙方承諾遵守反對經(jīng)濟間諜的協(xié)議以來，HttpBrowser后門樣本的出現(xiàn)可能讓人們大失所望，雖然攻擊目標為法國公司，但其中涉及美國利益，抑或者中國可以聲稱，這屬于軍事間諜范疇，并不違反去年中美協(xié)定。

相比之下，針對歐洲無人機設(shè)備公司的攻擊就屬于典型的經(jīng)濟間諜活動。雖然中國的大疆占據(jù)全球70%的民用無人機市場，但隨著無人機商業(yè)經(jīng)濟的持續(xù)增長，可能不得不促使中國尋求與其它競爭對手抗衡的方法。無人機公司的系統(tǒng)控制工程師作為此次攻擊的開始，如果進一步滲透，攻擊者會獲取更多無人機相關(guān)的知識產(chǎn)權(quán)、敏感資料和產(chǎn)品路線圖等信息，之后，通過竊取資料，中國可以為其無人機企業(yè)獲得更多經(jīng)濟優(yōu)勢：

整合競爭對手能力，縮小中國無人機技術(shù)差距

竊取競爭對手的技術(shù)創(chuàng)新，先于競爭對手實現(xiàn)產(chǎn)品

與競爭對手搶占金融市場或市場定價

了解競爭對手的商業(yè)和研究計劃

經(jīng)濟間諜活動的演化？

近年來，雖然中國的網(wǎng)絡(luò)經(jīng)濟間諜活動不太明顯，但可以肯定的是這并沒有結(jié)束，這些攻擊活動可能已經(jīng)演變成鞏固其市場地位的方式存在。從某種程度上來說，鞏固中國公司在國際市場上占據(jù)主導地位的方式，可能是其經(jīng)濟間諜活動的轉(zhuǎn)向。就像中國長期針對美國鋼鐵企業(yè)開展的APT攻擊一樣，讓其世界鋼鐵產(chǎn)量占比從2000年的15%上升到了2015年的50%。