【专家视点】29个海外黑客组织被曝光 我国科研机构成攻击首要目标
日前,国内网络安全机构360天眼实验室发布《2015年中国高级持续性威胁(APT)研究报告》,报告显示,中国作为高级持续性威胁(APT)攻击主要受害国,仅2015就已发现29个针对中国境内机构进行APT攻击的黑客组织。
高级持续性威胁(Advanced Persistent Threat,APT),简称 APT,是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,主要针对特定对象,长期、有计划性和组织性地窃取数据,是发生在数字空间的偷窃资料、搜集情报行为。
教育科研与政府机构为主要遭攻击领域
报告显示,仅2015就已发现29个针对中国境内机构进行APT攻击的黑客组织。这些APT组织长时间潜伏,有的活动最长持续8年之久。我国教育科研、政府机构是APT攻击主要针对的领域。其他受到攻击的行业还包括能源、军事、工业与商业等。仅仅在过去的12个月中,这些APT组织发动的攻击行动,至少影响了中国境内超过万台电脑,攻击范围遍布国内31个省级行政区。
报告表明,国内多个省市受到不同程度的影响,其中北京、广东是重灾区。国内受影响量排名前五的省市是:北京、广东、浙江、江苏、福建等沿海相关省市。受影响量排名最后的五个省市是:西藏、青海、宁夏、新疆、贵州。
报告特别指出,科研与教育机构已成为2015年APT攻击首要目标,本次监测到的几乎所有境外APT组织都将中国的政府机构列入自己的战略攻击目标。
国内机构防御相对薄弱
报告显示,针对中国的APT攻击主要由低成本的攻击组成,但由于相关防御薄弱导致低成本攻击频频得手。研究人员发现,针对中国的攻击中,APT组织更多选择1day或Nday等已知漏洞,这说明相关机构对曝出的漏洞并未及时修补,安全意识较差。此外,邮件攻击是APT攻击中使用最为频繁的攻击载体。针对中国的鱼叉邮件攻击主要是携带可执行程序,这也从侧面反应出中国相关机构的安全防御措施、以及人员的安全意识比较欠缺。
大量敏感数据被窃取
报告认为,APT组织从中国科研、政府机构等领域窃取了大量敏感数据,对国家安全已造成严重的危害。其中名为APT-C-05的组织是一个针对中国攻击的境外APT组织,也是至今捕获到针对中国攻击持续时间最长的组织。APT组织窃取的具体数据内容有很大差异,但均涉及中国科研、政府等领域的敏感数据,其中窃取的敏感数据中以具备文件实体形态的文档数据为主,进一步会包括账号密码、截图等。窃取的敏感数据主要以文档为主,APT组织更关注WPS Office相关文档。WPS Office办公软件的用户一般分布在国内政府机构或事业单位。
报告还指出,十三五规划、一带一路、军工制造等内容是已成为APT组织关注的重点领域。在2015年11月、12月期间,研究人员已捕获到针对相关目标的攻击行动,相关攻击行动主要以“一带一路”、“21世纪海上丝绸之路”等诱饵信息攻击相关领域的目标群体。