海蓮花黑客組織,是360“天眼”實驗室發現的針對中國的國家級黑客攻擊組織。據分析,海蓮花攻擊的主要方式有“魚叉攻擊”和“水坑攻擊”。由於海蓮花對中國海洋領域相關機構的攻擊持續時間長達3年,使用攻擊技術複雜,因此“海蓮花”很有可能是有國外政府背景支持,具有高度組織化和專業性的境外高級黑客組織。
簡介,攻擊方式,魚叉攻擊,水坑攻擊,活動時期,感染分布,破獲過程,相關背景,
簡介
海蓮花黑客組織2015年5月,中國網路安全公司360旗下的“天眼”實驗室將發布報告,首次披露一起針對中國的國家級黑客攻擊細節。該境外黑客組織被命名為“海蓮花(OceanLotus)”,自2012年4月起,“海蓮花”針對中國的海事機構、海域建設部門、科研院所和航運企業,展開了精密組織的網路攻擊,很明顯是一個有國外政府支持的APT(高級持續性威脅)行動。
海蓮花黑客組織
海蓮花黑客組織攻擊方式
“海蓮花”使用木馬病毒攻陷、控制政府人員、外包商、行業專家等目標人群的電腦,意圖獲取受害者電腦中的機密資料,截獲受害電腦與外界傳遞的情報,甚至操縱該電腦自動傳送相關情報,從而達到掌握中方動向的目的。攻擊主要方式如下:
魚叉攻擊
海蓮花黑客組織最常見的做法是,將木馬程式作為電子郵件的附屬檔案,並起上一個極具誘惑力的名稱,傳送給目標電腦,誘使受害者打開附屬檔案,從而感染木馬。如,在2014年5月22日新疆發生了致死31人的暴力恐怖性事件之後,5月28日,該黑客組織曾傳送名為“新疆暴恐事件最新通報”的電子郵件及附屬檔案,引誘目標人群“中招”。該組織曾傳送過的電郵名稱還包括“公務員工資收入改革方案”等一系列社會高度關注的熱點,令人防不勝防。
海蓮花黑客組織
海蓮花黑客組織水坑攻擊
顧名思義,是在受害者必經之路設定了一個“水坑(陷阱)”。最常見的做法是,黑客分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問的網站的弱點,先將此網站“攻破”並植入攻擊代碼,一旦攻擊目標訪問該網站就會“中招”。曾經發生過這樣的案例,黑客攻陷了某單位的區域網路,將區域網路上一個要求全體職工下載的表格偷偷換成了木馬程式,這樣,所有按要求下載這一表格的人都會被植入木馬程式,向黑客傳送涉密資料。
“海蓮花”組織在攻擊中還配合了多種“社會工程學”的手段,以求加大攻擊效果。比如,在進行“魚叉攻擊”時,黑客會主要選擇周一和周五,因為這兩個時間人們與外界的溝通比較密切,是在網路上傳遞信息的高峰期。而“水坑攻擊”的時間則一般選在周一和周二的時間,因為這個時候一般是單位發布通知、要求職工登錄區域網路的時候。
活動時期
2015年已經捕獲的與“海蓮花”相關的第一個特種木馬程式出現在2012年4月,當時,首次發現第一波針對海運港口交通行業的“水坑”攻擊,海蓮花組織的滲透攻擊就此開始。不過,在此後的2年內,“海蓮花”的攻擊並不活躍。直到2014年2月,海蓮花開始對中國國內目標傳送定向的“魚叉”攻擊,海蓮花進入活躍期,並在此後的14個月中對中國多個目標發動了不間斷的持續攻擊。2014年5月,海蓮花對國內某權威海洋研究機構發動大規模魚叉攻擊,並形成了過去14個月中魚叉攻擊的最高峰。
感染分布
海蓮花黑客組織“天眼”實驗室表示,其已捕獲與海蓮花組織有關的4種不同形態的特種木馬程式樣本100餘個,感染者遍布中國29個省級行政區和境外的36個國家。其中,中國的感染者占全球92.3%,而在境內感染者中,北京地區最多,占22.7%,天津次之,為15.5%。為了隱蔽行蹤,海蓮花組織還先後在至少6個國家註冊了伺服器域名35個,相關伺服器IP位址19個,分布在全球13個以上的不同國家。
海蓮花黑客組織
海蓮花黑客組織破獲過程
“天眼”實驗室介紹,事實上,“海蓮花”的攻擊早已被他們捕捉到,但之前只是零散的發現,直到2014年起,360成立“天眼”實驗室,利用大數據技術進行未知威脅檢測,才首次發現了這些散見威脅之間的聯繫,一個國家級黑客攻擊行為的輪廓才逐漸清晰。
雖然發現了海蓮花的攻擊軌跡,但如何確定這不是一起普通的商業黑客行為,而是由某個敵對國家支持的,“天眼”實驗室表示,首先,這種有組織、有計畫的長期攻擊行為需要很高的投入,不是一般商業公司能夠負擔的;
其次,“海蓮花”覬覦的資料對商業機構沒有什麼價值。“綜合來看,海蓮花組織的攻擊周期之長(持續3年以上)、攻擊目標之明確、攻擊技術之複雜、社工手段之精準,都說明該組織絕非一般的民間黑客組織,而是具有國外政府支持的、高度組織化、專業化的國家級黑客組織。
相關背景
2014年7月美國媒體曾報導稱,中國黑客曾在當年3月侵入美國政府電腦系統,中國外交部發言人就此回應強調,中方堅決反對網路黑客攻擊行動,在這方面,中方說到做到。“美國一些媒體和網路安全公司經常抹黑中國,製造所謂中國網路威脅,他們根本拿不出充分的證據。”
軍事專家宋忠平說,中國是網路攻擊的最大受害國,這是不爭的事實,科研院所、高校等單位是“重災區”。中國也很重視網路安全,注意在政府部門等關鍵場所的區域網路的保護,不過,最要加強管理的還是人,必須加強對涉密人員的教育,讓他們知道,作為個別人,他們掌握的部分信息可能並不重要,但卻是重大機密的一部分,如果被人獲取、整合,就可能造成重大損失。
宋忠平表示,美國2010年已經建立了網路戰司令部,在今天的信息社會,誰能控制“信息流”,誰就能掌握戰爭的先機,甚至能左右戰爭的進程。隨著我們日常生活“信息化”程度的加深,越來越多的信息實現數據化,能夠在網路上傳輸,這也為網路間諜行為提供了機會。此次的網路攻擊從2014年開始進入活躍期,就是與中國對網路依賴度加深有關,以往的間諜行為主要通過人工實現,現在由於很多信息可以通過網路獲取,網路間諜行為越來越多,這將是一個趨勢。
