背景復(fù)雜的APT攻擊
2013年1月1日至6月30日��,CNCERT/CC共接收并協(xié)調(diào)處置國(guó)際應(yīng)急組織和其他網(wǎng)絡(luò)安全組織投訴拒絕服務(wù)攻擊�����、惡意程序��、網(wǎng)絡(luò)釣魚等事件339起�����,其中來自美國(guó)的組織投訴事件191起��,來自歐洲的組織投訴事件62起。
同期����, CNCERT/CC共向國(guó)際網(wǎng)絡(luò)安全應(yīng)急組織和其他相關(guān)組織投訴達(dá)1760起��,其中向美國(guó)相關(guān)組織投訴1110起����。
在此期間����,CNCERT/CC還組織開展了3次木馬和僵尸網(wǎng)絡(luò)專項(xiàng)打擊行動(dòng),成功處置了899個(gè)控制規(guī)模較大的木馬和僵尸網(wǎng)絡(luò)控制端與惡意程序傳播源��,切斷了黑客對(duì)近152萬臺(tái)感染主機(jī)的遠(yuǎn)程操控����。
對(duì)于網(wǎng)絡(luò)攻擊的“工具”---病毒,中國(guó)受到攻擊較多的是能夠?qū)嵤〢PT攻擊的“火焰”病毒����、“高斯”病毒、“紅色十月”病毒等����。
APT即高級(jí)持續(xù)性威脅,是黑客以竊取核心資料為目的發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為����,通常是一種蓄謀已久的網(wǎng)絡(luò)攻擊����。這種行為往往經(jīng)過長(zhǎng)期的經(jīng)營(yíng)與策劃��,并具備高度的隱蔽性����。
上述幾種APT病毒非常復(fù)雜,幕后操作者目的性極強(qiáng)��,需要進(jìn)行前期數(shù)據(jù)收集�����,有很長(zhǎng)的潛伏期��?�!坝行┎《疽恢睗摲?����,在不斷增加它的感染量��,版本也在持續(xù)更新�����?�!毙煸f��。
據(jù)CNCERT/CC監(jiān)測(cè)�����,2012年中國(guó)境內(nèi)至少有4.1萬余臺(tái)主機(jī)感染具有APT特征的木馬程序�����,涉及多個(gè)政府機(jī)構(gòu)��、重要信息系統(tǒng)部門以及高新技術(shù)企事業(yè)單位��,這類木馬的控制服務(wù)器絕大多數(shù)位于境外�����。
至于以APT為主的病毒�����,“需要很大的精力和財(cái)力,一般黑客不會(huì)做這件事情����,可能會(huì)有政府在幕后操作。做這類病毒的人都很專業(yè)�����,并且堅(jiān)持不懈�����,防范是個(gè)很大的難題�����?���!蓖趺魅A說,國(guó)際上通常認(rèn)為發(fā)起這種攻擊的源頭具有更高��、更復(fù)雜的背景。
他建議��,個(gè)人必須具有防范意識(shí)����,收到未知郵件、鏈接����、程序不要隨便點(diǎn)擊��。而從企業(yè)����、網(wǎng)管的角度,要加強(qiáng)安全防護(hù)��,配置好合適的防火墻�����。
對(duì)國(guó)家層面來說��,政府的網(wǎng)絡(luò)安全管理部門要提高高危病毒的重視程度��,要加大宣傳力度,對(duì)國(guó)家重點(diǎn)企業(yè)�����、重要信息系統(tǒng)進(jìn)行重點(diǎn)防護(hù)��。
就最近爆發(fā)的“棱鏡門”事件����,王明華認(rèn)為,國(guó)家重要的信息系統(tǒng)盡量不要使用國(guó)外廠商的服務(wù)器產(chǎn)品�����。譬如現(xiàn)在中國(guó)的骨干網(wǎng)絡(luò)上�����,還有一些思科的產(chǎn)品��。而斯諾登首先曝光的就是思科與美國(guó)政府有相關(guān)合作�����。
“可以遠(yuǎn)程改變路由器配置��,獲知一些信息。這是很容易做到的�����?���!蓖趺魅A說。
在2012年�����,中國(guó)境內(nèi)政府網(wǎng)站被篡改數(shù)量為1802個(gè)��,較2011年的1484個(gè)增長(zhǎng)21.4%�����。王明華認(rèn)為����,省部級(jí)層面對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)比較到位����,但地市級(jí)及以下網(wǎng)站安全防護(hù)確實(shí)不理想。
通常情況下,地方政府只是側(cè)重于建立一個(gè)網(wǎng)站��,對(duì)網(wǎng)站的維護(hù)重視程度遠(yuǎn)遠(yuǎn)不夠�����?���!昂诳凸粽W(wǎng)站,主要是針對(duì)應(yīng)用系統(tǒng)本身的缺陷�����。網(wǎng)管發(fā)現(xiàn)漏洞��,要及時(shí)修復(fù)�����,如果反應(yīng)不夠快�����,網(wǎng)站承載的信息就可能很快被黑客竊取����?���!彼f��。
另一方面����,對(duì)于個(gè)人用戶而言,移動(dòng)互聯(lián)網(wǎng)的安全威脅日益嚴(yán)重��,而安卓手機(jī)平臺(tái)逐漸成為安全重災(zāi)區(qū)����。
王明華解釋說�����,安卓系統(tǒng)代碼是開放的��。另外�����,安卓系統(tǒng)的用戶基數(shù)較大,導(dǎo)致受災(zāi)較為嚴(yán)重��。
合作消除誤解
隨著境外對(duì)華網(wǎng)絡(luò)攻擊日益嚴(yán)重����,推進(jìn)國(guó)際合作成為當(dāng)務(wù)之急。在這方面����,中韓兩國(guó)的網(wǎng)絡(luò)安全合作可以作為案例。2013年,為了共同維護(hù)雙方的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全��,中韓兩國(guó)還簽訂了新的合作協(xié)議����。
2012年����,來自韓國(guó)的木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制中國(guó)境內(nèi)78.5萬臺(tái)主機(jī),緊隨美國(guó)之后�����,位列第二�����。在網(wǎng)站后門攻擊方面,韓國(guó)遠(yuǎn)程控制中國(guó)大陸7931個(gè)網(wǎng)站�����,同樣位于第二位��。
2012年2月7日下午�,CNCERT/CC接到境內(nèi)“烏云”網(wǎng)站的求助電話,稱其網(wǎng)站正在遭受網(wǎng)絡(luò)攻擊�����,已不能提供正常的訪問服務(wù)��。
CNCERT/CC立即對(duì)攻擊事件進(jìn)行技術(shù)驗(yàn)證和數(shù)據(jù)分析�����,發(fā)現(xiàn)該網(wǎng)站位于吉林省的網(wǎng)站服務(wù)器從當(dāng)日早7時(shí)開始遭受嚴(yán)重攻擊�����。
進(jìn)一步分析發(fā)現(xiàn)��,在1800多個(gè)攻擊源IP地址中有1400多個(gè)位于韓國(guó)����。為此,按照與韓國(guó)方面建立的工作機(jī)制�����,CNCERT/CC于7日下午緊急聯(lián)系了韓國(guó)互聯(lián)網(wǎng)應(yīng)急中心(KrCERT)��,請(qǐng)其協(xié)助處理此次攻擊事件�����。
KrCERT迅速完成了攻擊源IP定位驗(yàn)證��、惡意程序分析����、攻擊源IP處理和防病毒軟件病毒庫(kù)升級(jí)等工作。7日晚�����,“烏云”恢復(fù)正常�����。
王明華解釋說,根據(jù)分析��,這起事件的源頭是:韓國(guó)有一個(gè)網(wǎng)站wuyun.com�����,該國(guó)黑客可能本來要攻擊這個(gè)網(wǎng)站���,在輸入域名時(shí)出現(xiàn)錯(cuò)誤��,把com輸入成了org�����,轉(zhuǎn)而錯(cuò)誤地對(duì)“烏云”網(wǎng)站展開攻擊����。
最近一次涉及兩國(guó)互聯(lián)網(wǎng)安全的事件發(fā)生在2013年3月20日�,韓國(guó)主要廣播電臺(tái)KBS、MBC����、YTN,以及韓國(guó)新韓銀行�����、農(nóng)協(xié)銀行等部分金融機(jī)構(gòu)遭受大規(guī)模網(wǎng)絡(luò)攻擊��。
黑客通過向這些機(jī)構(gòu)所使用的殺毒軟件管理服務(wù)器植入惡意程序����,使3.2萬臺(tái)電腦出現(xiàn)故障,導(dǎo)致自動(dòng)取款機(jī)無法取款�����、電視節(jié)目無法制作����,相關(guān)網(wǎng)絡(luò)與信息系統(tǒng)完全陷入癱瘓。為此���,KrCERT上級(jí)領(lǐng)導(dǎo)部門��、韓國(guó)廣播電臺(tái)主管部門����、韓國(guó)軍方聯(lián)合成立了“民官軍聯(lián)合應(yīng)對(duì)小組”。
徐原對(duì)本刊記者說���,事件發(fā)生后��,韓國(guó)媒體稱發(fā)起攻擊的IP來自中國(guó)���,而且在文中特別說,“由于朝鮮多次通過中國(guó)的互聯(lián)網(wǎng)對(duì)韓國(guó)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)攻擊���,故此次事件有可能是朝鮮所為�����?!?/p>
CNCERT/CC看到這條新聞后���,主動(dòng)聯(lián)系韓國(guó)的KrCERT�,獲知攻擊韓國(guó)的IP地址�����。
CNCERT/CC隨后從境內(nèi)運(yùn)營(yíng)商了解到,此IP自2012年8月就已經(jīng)停止使用��。CNCERT/CC在22日中午向KrCERT反饋了這個(gè)情況����,并要求韓國(guó)進(jìn)一步提供分析報(bào)告及相關(guān)證據(jù)線索���。
隨著韓國(guó)“民官軍聯(lián)合應(yīng)對(duì)小組”進(jìn)一步調(diào)查����,發(fā)現(xiàn)是韓國(guó)農(nóng)協(xié)銀行的網(wǎng)管沒有使用預(yù)留的標(biāo)準(zhǔn)私有IP����,導(dǎo)致其IP地址落入中國(guó)的網(wǎng)址范圍。
到25日�,韓國(guó)發(fā)布消息說,據(jù)韓國(guó)警察廳調(diào)查發(fā)現(xiàn)��,導(dǎo)致此次網(wǎng)絡(luò)癱瘓的惡意代碼來自美國(guó)和歐洲地區(qū)的4個(gè)國(guó)家��。
