360成功溯源黑客網(wǎng)軍對(duì)廣州一科技公司發(fā)起網(wǎng)絡(luò)攻擊

5月27日，廣州市公安局天河區(qū)分局發(fā)布《警情通報(bào)》，廣州一科技公司遭境外黑客組織網(wǎng)絡(luò)攻擊，經(jīng)國(guó)家相關(guān)部門和360集團(tuán)等安全公司的安全專家溯源追蹤和技術(shù)分析，發(fā)現(xiàn)該公司遭受的網(wǎng)絡(luò)攻擊系中國(guó)臺(tái)灣省黑客組織所為。

據(jù)警方調(diào)查掌握，此次發(fā)起攻擊的黑客組織近年來頻繁針對(duì)中國(guó)大陸地區(qū)10余個(gè)省份的1000余個(gè)重要網(wǎng)絡(luò)系統(tǒng)（涉及軍工、能源、水電、交通、政府等）開展大規(guī)模網(wǎng)絡(luò)資產(chǎn)探查，搜集相關(guān)系統(tǒng)基礎(chǔ)信息和技術(shù)情報(bào)，并通過大范圍發(fā)送釣魚郵件、公開漏洞利用、密碼暴力破解、自制簡(jiǎn)易木馬程序等低端網(wǎng)攻手法實(shí)施了多輪次網(wǎng)絡(luò)攻擊。特別是去年以來，該黑客組織針對(duì)我境內(nèi)目標(biāo)的攻擊規(guī)模和攻擊頻次均有明顯提升，騷擾破壞意圖明顯，用心極其險(xiǎn)惡。

360集團(tuán)創(chuàng)始人周鴻祎介紹，此次360通過網(wǎng)絡(luò)安全大數(shù)據(jù)和網(wǎng)絡(luò)安全智能體的配合，很快辨認(rèn)出此次攻擊來自于中國(guó)臺(tái)灣省的一個(gè)APT（高級(jí)持續(xù)性威脅）組織。周鴻祎表示，360對(duì)中國(guó)臺(tái)灣省APT情況掌握較早，360發(fā)現(xiàn)的APT組織第一個(gè)編號(hào)就是以中國(guó)臺(tái)灣省的APT組織命名，目前，360已獨(dú)立發(fā)現(xiàn)并命名了5個(gè)中國(guó)臺(tái)灣省APT組織。經(jīng)過十余年與這些APT組織進(jìn)行實(shí)戰(zhàn)對(duì)抗的技術(shù)積淀和經(jīng)驗(yàn)，360的安全團(tuán)隊(duì)已全面掌握相關(guān)組織的武器庫和技戰(zhàn)術(shù)特征，建立起基于行為模式分析的戰(zhàn)術(shù)推演模型。這些維度的威脅情報(bào)與實(shí)戰(zhàn)中驗(yàn)證的溯源方法論，成為支撐360對(duì)相關(guān)APT組織追蹤定位的關(guān)鍵。

周鴻祎介紹，360目前已經(jīng)獨(dú)立發(fā)現(xiàn)并披露57個(gè)境外APT組織，按照攻擊能力進(jìn)行劃分的話，中國(guó)臺(tái)灣省APT組織整體攻擊水平不高，屬于APT組織中的三線水平，其攻擊手法粗糙，網(wǎng)絡(luò)木馬程序編程水平低下，留下多處可被反向追蹤的犯罪線索。

技術(shù)分析顯示，雖然該黑客組織頻繁利用VPN代理、境外云主機(jī)和傀儡機(jī)等網(wǎng)絡(luò)資產(chǎn)，通過大量來自美國(guó)、法國(guó)、韓國(guó)、日本、荷蘭、以色列、波蘭等國(guó)家的IP地址實(shí)施網(wǎng)絡(luò)攻擊，意圖掩蓋其真實(shí)攻擊來源，但通過網(wǎng)絡(luò)偵查調(diào)查不難查清該黑客組織實(shí)施網(wǎng)絡(luò)攻擊犯罪的整個(gè)過程及其真實(shí)意圖。從攻擊對(duì)象和竊取的情報(bào)來看，中國(guó)臺(tái)灣省APT攻擊具有強(qiáng)烈的政治意味，重點(diǎn)關(guān)注我國(guó)軍工、中美關(guān)系、兩岸關(guān)系和海洋相關(guān)領(lǐng)域，試圖竊取我國(guó)在國(guó)防外交等領(lǐng)域的重大決策及敏感數(shù)據(jù)信息。

廣州市公安局天河區(qū)分局表示，目前，已將有關(guān)情況上報(bào)國(guó)家有關(guān)部門。下一步，將繼續(xù)對(duì)該案開展偵查調(diào)查，依法打擊相關(guān)犯罪團(tuán)伙及其幕后主使。

據(jù)了解，目前頂級(jí)APT組織當(dāng)屬美國(guó)國(guó)家安全局（NSA）、中央情報(bào)局（CIA），他們針對(duì)我國(guó)發(fā)起的網(wǎng)絡(luò)攻擊往往更加隱蔽、攻擊武器更加自動(dòng)化，早前360曾經(jīng)披露的西北工業(yè)大學(xué)、武漢地震監(jiān)測(cè)中心以及不久前的亞冬會(huì)遭網(wǎng)絡(luò)攻擊事件就是他們的行為。

周鴻祎表示，360在過去的十幾年投入數(shù)百億資金，采集了全世界最大規(guī)模的網(wǎng)絡(luò)安全大數(shù)據(jù)和攻擊樣本庫，可以有效應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅攻擊，成功解決了過去“看不見”攻擊的卡脖子難題，能夠?qū)暨M(jìn)行抵御、反制、溯源。