網絡安全大案｜“海蓮花”：國家機密的竊取者

核心提示

2014年3月，中國某海事機構一臺辦公電腦出現異常：運行緩慢，CPU內存占用率極高，原因不明。作為該單位安全服務供應商，360天眼實驗室負責人汪列軍第一時間參與調查。

中國海事機構突遭攻擊，引發安全機構警覺

2014年3月，中國某海事機構一臺辦公電腦出現異常：運行緩慢，CPU內存占用率極高，原因不明。

作為該單位安全服務供應商，360天眼實驗室負責人汪列軍第一時間參與調查。

經過初步排查，汪列軍發現，致使電腦異常的罪魁禍首決不是一個普通的病毒。該病毒不是以破壞系統為目的，而是通過一層層解密，把系統內文件打包外傳，以竊取電腦中的機密文件。

汪列軍和團隊隨即排摸整個系統網絡，卻發現了更恐怖的事情。

原來，他們發現了另外一套專門用于控制服務器的木馬。

一旦服務器被控制，那么該服務器網絡中的所有計算機，將變成傀儡，任人擺布。汪列軍和團隊立即采取了有效的監控防御措施。

然而，黑客絲毫沒有收斂，索性撕去隱藏的外衣，肆無忌憚地發起定向的“魚叉”和“水坑”攻擊。

四套病毒代碼輪番攻擊，黑客組織資源強大

首先，黑客通過魚叉攻擊的方式對目標發起了定向攻擊：

黑客將木馬程序偽裝成一封與目標用戶相關的電子郵件附件，比如工資報告單，誘使目標用戶打開附件，從而控制電腦服務器。

接著，黑客又開啟了一輪規模較大的水坑攻擊：

黑客潛入目標機構的官方網站或目標用戶經常訪問的網站，替換正常文件。一旦用戶訪問該網站并下載此類文件，電腦服務器就會被植入特種木馬。

汪列軍還發現，在網絡攻擊的過程中，黑客至少使用了4套不同類型的病毒代碼，相關服務器IP地址19個，惡意服務器遍布全球13個國家。

汪列軍對看看新聞Knews記者表示：“從它資源的可得程度來看，這個黑客組織肯定是有國家支持的，專門對其他國家進行類似間諜活動的網絡攻擊組織。 ”

2015年，天眼實驗室發布APT（Advanced Persistent Threat）——高級持續性威脅報告，將該黑客組織命名為“海蓮花”。

“海蓮花”攻擊仍未停止，國防安全敲響警鐘

報告顯示，在國內，與該組織相關的木馬最早被截獲于2012年。

在早期，“海蓮花”組織的網絡攻擊并不活躍。但是， 2014年底，“海蓮花”開始運用云控技術進行網絡攻擊，采用包括文件偽裝、隨機加密和自我銷毀等一系列復雜的攻擊技術與安全軟件進行對抗，其攻擊的危險性、木馬識別查殺的難度都大大增強。

截至2015年，“海蓮花”的襲擊遍布全世界范圍內的36個國家。其中, 中國的感染者占到92.3%，遍布國內29個省級行政區，北京和天津是國內感染者最多的兩個地區。

“海蓮花”攻擊范圍大、時間長并且目的明確、目標精準。天眼實驗室通過大量的數據分析，發現“海蓮花”主要是對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域進行不間斷攻擊，以竊取國家機密情報。

對此，360集團董事長兼CEO周鴻祎表示，在互聯網時代，網絡安全關乎國家安全。

“過去，一個病毒背后可能只意味著惡作劇，而今天每一個網絡攻擊背后，都是可能一種國家力量支持的，或者是一個大型犯罪組織支持的高智商的黑客組織，他們竭盡全力地在想你有什么缺點，你有什么問題。”

復旦大學戰略與網絡安全研究中心主任沈逸認為，從國家網絡安全戰略的角度來看，對于中國這樣的大國，網絡安全的防御越來越重要，防御是一種戰略能力，而且是一種必須優先的戰略能力。

由于我國及時防御，部署得當，才避免了大規模網絡安全事件的發生。但“海蓮花”的攻擊，無疑是給國防安全敲響了警鐘。

迄今為止，海蓮花組織的黑客攻擊還在繼續。