起底！中國網安企業(yè)人士提供翔實一手資料：印度黑客對我重要部門頻密發(fā)動網絡攻擊！

　　編者的話：“南亞地區(qū)的邪惡之花”“游蕩在喜馬拉雅山脈的幽靈戰(zhàn)象”“來自美色的誘惑”……對大多數(shù)人來說，這些神秘的代碼名稱一般出現(xiàn)在燒腦刺激的黑客電影里。然而，《環(huán)球時報》記者近日從多家中國網絡安全企業(yè)獲悉，這些代碼的背后揭示了一張精密、復雜的真實網絡：來自南亞大陸——以印度為主要代表的頂尖黑客組織，它們在國家和情報機構的強大支持下，在過去幾年里不斷攻擊中國、尼泊爾和巴基斯坦的國防、軍事單位以及國有企業(yè)。近些年，印度軍政高層和媒體不斷炒作“中國網攻威脅”，每次都遭到中方駁斥。事實證明，中國才是黑客攻擊的主要受害國之一。安天科技集團、360政企安全集團和奇安信三大中國網絡安全企業(yè)相關人士給記者提供了大量翔實的一手資料，從中可以發(fā)現(xiàn)印度對我國重要部門頻密發(fā)動網絡攻擊的重要信息。相關專家也提醒，針對境外網絡攻擊，中國要提升自身免疫力，不管是來自印度還是美國的攻擊都需要專業(yè)的團隊分析對手，并采取相應的反制方式。

　　不僅利用“釣魚”郵件，還擅長社會工程學手段

　　作為引領威脅檢測與防御能力發(fā)展的網絡安全國家隊，安天科技集團一直在跟蹤對我國發(fā)起的“釣魚”攻擊。安天科技副總工程師李柏松告訴《環(huán)球時報》記者，今年3月以來，安天已捕獲多起針對我國和南亞次大陸國家的“釣魚”攻擊活動。這些活動涉及網絡節(jié)點數(shù)目眾多，主要攻擊目標為中國、巴基斯坦、尼泊爾等國家的政府、國防軍事以及國企單位。安天科技發(fā)現(xiàn)，這一批次“釣魚”攻擊的最早時間可追溯至 2019年4月份，攻擊組織來自印度。

　　《環(huán)球時報》記者也從360政企安全集團獲悉，2020年，360監(jiān)控并捕獲到的初始攻擊載荷共有上百個。來自以印度為主要代表的南亞地區(qū)的網絡攻擊有活躍趨勢，從2020年下半年開始一直持續(xù)至目前，并呈大幅上升趨勢。尤其在2021年上半年的攻擊活動中，針對時事熱點的跟進頻次和細分粒度（數(shù)據庫名詞，細化程度越高，粒度級就越�。幌喾�，細化程度越低，粒度級就越大——編者注）已明顯超過去年同期，主要針對我國和其他南亞地區(qū)國家，圍繞地緣政治相關的目標，涉及教育、政府、航空航天和國防軍工等多個領域。

　　從技術方面講，以印度為代表的南亞地區(qū)網絡攻擊組織具有明顯的特征，其主要利用“釣魚”郵件，且擅長使用社會工程學手段——通過利用受害者的本能反應、好奇心、信任等心理進行欺騙或攻擊。據介紹，這些頂級黑客組織攻擊者將自身偽裝成目標國家的政府或軍隊人員，向對方郵箱投遞掛有“釣魚”附件或嵌有“釣魚”鏈接的攻擊郵件，并誘導目標通過鏈接訪問攻擊者通過各種方式搭建的“釣魚”網站，收集受害者輸入的賬號密碼以供情報搜集或橫向攻擊所用。

　　360安全專家表示，來自印度等南亞國家的網絡攻擊涉及題材豐富多樣，緊跟時事熱點，且目標針對性極強，可以推斷其背后有專門針對目標國家相關領域時事新聞的情報分析，同時以此來指導其進行網絡攻擊活動。

　　《環(huán)球時報》記者了解到， 2021年境外針對中國的網絡攻擊目標不僅涉及教育、政府、航空航天和國防軍工多個領域，更是通過緊密圍繞政治、經濟等熱點領域及事件，瞄準涉及相關時事熱點的重點機構或個人。

　　“國家級APT”瞄準政府機構、軍工企業(yè)、核能行業(yè)等

　　此類黑客團伙被稱為“國家級APT”（Advanced Persistent Threat，高級持續(xù)性威脅）組織。在國家背景的支持下，他們專注于針對特定目標進行長期和持續(xù)性的網絡攻擊，且一直處于十分活躍的狀態(tài)。

　　印度是一個可能被世界情報界忽視的有威脅的國家，甚至南亞的一些國家可能也沒有完全意識到它先進的網絡能力。正如一些網絡安全觀察人士經常提到的，“下一場世界大戰(zhàn)將不是在地面、空中或水下進行，而是在虛擬的網絡空間進行”。多年來，中國一直是網絡攻擊的受害國，中國網安企業(yè)捕捉到的來自印度的加強攻擊也再次表明中國網絡安全形勢的嚴峻性和加快構建網絡安全保障體系的緊迫性。

　　例如：2020年新冠肺炎疫情暴發(fā)初期，一個名為“APT-C-48（CNC）”的組織通過偽造體檢表格文檔對我國醫(yī)療相關行業(yè)發(fā)起攻擊；2021年4月，360捕獲到CNC組織針對我國重點單位發(fā)起的新一輪攻擊；2021年6月中旬，CNC組織在我國航天時事熱點前后，針對我國航空航天領域相關的重點單位突然發(fā)起集中攻擊。

　　《環(huán)球時報》記者從中國知名網絡安全公司奇安信旗下的高級威脅研究團隊紅雨滴獲悉，目前已知這些主要瞄準政府機構、軍工企業(yè)、核能行業(yè)等領域的國家級頂級黑客團伙集中在“蔓靈花”（BITTER）、“摩訶草”（Patchwork）、“魔羅桫”（Confucius）和“肚腦蟲”（Donot）四大組織中。

　　首先說說“蔓靈花”，這是一個據稱有南亞背景的APT組織。該組織至少從2013年11月以來就開始活躍，但一直未被發(fā)現(xiàn)，直到2016年才被國外安全廠商Forcepoint首次披露。同年，奇安信威脅情報中心發(fā)現(xiàn)國內也遭受相關攻擊，并將其命名為“蔓靈花”。自從被曝光后，該組織就修改了數(shù)據包結構，不再以“BITTER”作為數(shù)據包的標識。

　　隨著其攻擊活動不斷被發(fā)現(xiàn)披露，“蔓靈花”組織的全貌越來越清晰。該組織具有強烈的政治背景，主要針對巴基斯坦、中國兩國，2018年也發(fā)現(xiàn)過其針對沙特阿拉伯的活動，攻擊瞄準政府部門、電力、軍工等相關單位，意圖竊取敏感資料。據了解，2019年該組織還加強了針對我國進出口行業(yè)的攻擊。

　　值得一提的是“蔓靈花”組織最常用的兩大攻擊手段：其中之一是“魚叉攻擊”（即黑客利用木馬程序作為電子郵件的附件，發(fā)送到目標電腦上，誘導受害者去打開附件來感染木馬），因“魚叉郵件”使用的攻擊誘餌大都根據不同攻擊對象進行定制，因而具有較強的迷惑性，而且該組織通過“魚叉郵件”投遞的誘餌類型多樣。另一種主要攻擊手段是“水坑攻擊”（即黑客攻擊者攻陷合法網站），在合法網站上托管其攻擊荷載，或者搭建偽裝為合法網站的惡意網站，誘使受害者下載。“蔓靈花”除通過“水坑網站”直接向目標投遞惡意軟件外，還結合社會工程學手段制作“釣魚”頁面竊取攻擊目標的郵箱賬號。紅雨滴的安全專家告訴《環(huán)球時報》記者：“有意思的是，在多份報告中均顯示，‘蔓靈花’組織跟疑似南亞某國的多個攻擊組織，包括‘摩訶草’‘魔羅桫’‘肚腦蟲’等存在著千絲萬縷的聯(lián)系。”

　　其次是“魔羅桫”，該組織的攻擊活動最早可以追溯到2013年，被首次公開披露的時間則是2016年。相關專家認為，“魔羅桫”組織疑似來自印度地區(qū)，長期以中國、巴基斯坦、尼泊爾等國家及周邊地區(qū)為主要攻擊區(qū)域，并瞄準政府機構、軍工企業(yè)、核能行業(yè)、商貿會議、通信運營等領域發(fā)起攻擊。

　　再次是“摩訶草”，該組織主要針對中國、巴基斯坦等亞洲地區(qū)國家進行網絡間諜活動，主要攻擊領域為政府、軍事、科研、教育等。2020年2月，“摩訶草”便發(fā)起以“新冠疫情”為主題針對國內的攻擊活動。該組織利用“武漢旅行信息收集申請表．xlsm”“衛(wèi)生部指令．docx”等誘餌對我國進行攻擊活動。2021年8月，“摩訶草”借助美女圖片為誘餌發(fā)起 “來自美色的誘惑”的惡意程序攻擊。

　　“摩訶草”不僅是第一個被披露利用疫情進行攻擊的APT組織，近年來還常使用攜帶有CVE-2017-0261漏洞的文檔開展攻擊活動。2021年1月，奇安信紅雨滴團隊捕獲該組織利用該漏洞針對國內的誘餌文檔，名為“Chinese_Pakistani_fighter_planes_play_war_games.docx”。該樣本是一個以巴基斯坦空軍演習為主題的office文檔，內部嵌入了利用CVE-2017-0261漏洞的EPS腳本，當用戶打開該文檔文件，office內部的EPS解釋器就會執(zhí)行EPS腳本觸發(fā)漏洞執(zhí)行惡意shellcode載荷。

　　最后是“肚腦蟲”，該組織由360和奇安信威脅情報中心聯(lián)合發(fā)現(xiàn)，并在全球率先披露。2017年“肚腦蟲”攻擊活動首次被曝光，但它的攻擊活動可追溯到2016年�！岸悄X蟲”組織一直處于活躍狀態(tài)，主要針對巴基斯坦、克什米爾地區(qū)、斯里蘭卡、泰國等南亞、東南亞國家和地區(qū)發(fā)起攻擊，對政府、軍隊以及商務領域重要人士進行網絡間諜活動。

　　“沒有網絡安全就沒有國家安全”

　　隨著中國互聯(lián)網行業(yè)的快速發(fā)展，網絡安全風險迅速增加。多年來，中國、俄羅斯等國一直是網絡攻擊的主要受害者。網絡已成為美國及其“盟友”在信息戰(zhàn)中壓制其他國家的新武器。中國國家互聯(lián)網應急中心數(shù)據顯示，2020年位于境外的約5.2萬個計算機惡意程序控制服務器，控制了中國境內約531萬臺主機，就控制中國境內主機數(shù)量來看，控制規(guī)模排名前三位的控制服務器均來自北約成員國。

　　此外，相關報道顯示，美國中央情報局的網絡攻擊組織APT-C-39，曾對中國航空航天科研機構、石油行業(yè)、大型互聯(lián)網公司以及政府機構等關鍵領域進行了長達11年的網絡滲透攻擊。

　　“這告訴中國人一個很簡單的道理：在網絡攻擊中，有一種東西叫作國家級的網絡攻擊�！睆偷┐髮W網絡空間國際治理研究基地主任沈逸對《環(huán)球時報》記者說，“我們在網絡空間開展活動，所發(fā)布、擁有的信息又是具有國家安全意義和影響的，天然就會成為國家情報機構進行網絡搜集的目標�！彼�認為，網絡安全是國家安全的重要組成部分，要從國家安全領域理解網絡安全，樹立安全意識。

　　沈逸表示：“我們一開始認為我們是一個落后國家，或者說發(fā)展中國家，在網上好像我們的信息不值錢，沒什么值得你偷的。但我們現(xiàn)在已經是經濟體量全球排第二的國家，有些周邊國家把你視為對手，會發(fā)動國家級的網絡攻擊。印度對我們的攻擊是長期持續(xù)存在的，是網絡空間、國際局勢和體系復雜性的具體表現(xiàn)�！痹谏蛞菘磥�，盡管中國一直試圖搞好和印度的關系，但印度一直受西方式的地緣政治思想和理念影響，在網絡安全上和美方開展了大量合作。

　　為應對來自網絡空間的挑戰(zhàn)，中國政府推出一系列法律措施，以建立一個網絡安全治理系統(tǒng)。自2017年以來，中國幾乎從零開始建立起一套完善的網絡安全法律保障機制。沈逸還建議，中國應從提升網絡安全防御能力和威懾能力兩方面來進行網絡安全建設。中國的網絡空間要有在開放環(huán)境、數(shù)據跨境流動、基本零信任條件下的有效防御能力。同時，要建立信息的通報機制，如美國經常寫報告，把矛頭指向中國，以此制約中國的網絡空間國際治理，而中國也要采取相應的反制方式。

　　中國網絡空間戰(zhàn)略研究所所長秦安告訴《環(huán)球時報》記者，現(xiàn)在網絡空間軍事化的大趨勢已形成，一些國家開始加強對外網絡攻擊。秦安認為，對中國來說，要提升自己的免疫力，“洪水、污水都是水，不管是來自印度還是美國的攻擊都需要專業(yè)的團隊分析對手，專門應對”。