海王捕鱼:境外黑客组织近期持续加大对中国重要敏感单位网络攻击
2021-06-18
长期以来,境外黑客组织持续对我国重要敏感单位实施网络攻击,安全风险不断加大。海王捕鱼依托云端相关业务,结合海量大数据计算分析和组织归因等技术,通过持续监控和研判,对境外黑客组织开展发现和追踪监测工作。目前已发现境外黑客组织178个,这些黑客组织以我国党政机关、事业单位、科研院所等重要敏感单位的网站和相关主机为主要目标,实施漏洞扫描攻击、暴力破解,DDoS攻击等攻击行为,部分组织攻击意图明显,攻击持续时间长,具有较大的危害。
海王捕鱼基于2021年3月至4月中旬相关监测数据,选择了3个较为典型的境外黑客组织进行研究,分析其攻击行为特征如下。
(一)黑客组织BF-030
黑客组织BF-030(内部代号)为2020年10月19日发现,至今保持着较高的活跃性。监测数据显示,该组织共控制了192.241.(198-239).X多个网段的1065台不同主机,IP地理信息显示这些主机均位于境外某国。
监测时段内,该组织共针对2426台不同的主机发动攻击,攻击对象主要为党政机关和企事业单位,如某汽车动力总成公司、某钢铁股份有限公司以及部分高校等。主要攻击手段为SSH暴力破解、SNMP暴力破解等。
(二)黑客组织BF-024
黑客组织BF-024(内部代号)为2020年10月19日发现,至今保持着较高的活跃性,监测数据显示,该组织共控制了167.248.133.X网段的24台不同的主机,IP地理信息显示这些主机均位于境外某国。
监测时段内,该组织共针对993台不同的主机发动攻击,攻击对象主要为高校,涉及山西、广西、广东等省份;也有部分党政机关,如某省公安厅、某省科技委员会、某市商务局等。主要攻击手段包括SNMP暴力破解、PHP代码执行漏洞、Struts2远程命令执行漏洞等暴力破解和Web扫描攻击。
(三)黑客组织WEB-036
黑客组织WEB-036(内部代号)为2020年8月28日发现,至今保持着较高的活跃性。监测数据显示,该组织共控制了198.74.122.X网段的5台不同主机,IP地理信息显示这些主机均位于境外某国。
监测时段内,该组织共针对119台不同的主机发动攻击,攻击对象为高校,涉及广东、北京等地。主要攻击手段为PHP漏洞攻击、SQL注入等Web类攻击。
从攻击行为特征来看,绿盟监测到的多数境外黑客组织倾向于尝试利用大批量主机,通过广泛的Web和系统漏洞扫描攻击手段,配合高频暴力破解手段进行侦察和踩点攻击,锁定攻击目标。这些组织通过有针对性的高频探测攻击,试图利用较小的攻击成本,找到重要敏感单位资产的薄弱环节,为后期正式入侵和渗透打下基础。
海王捕鱼建议如下:
(一)加强预警防范措施。针对重要敏感单位的相关主机及网站等资产,做好清点、排查和加固工作;根据可能存在的风险隐患,及时建立和完善相应的预警防范措施。
(二)完善应急响应机制。建立健全重要敏感单位的网络安全应急响应机制,针对重要敏感单位经排查发现已经受害或失陷的资产,在应急处置工作等方面由专业机构做好支撑。
(三)加强黑客组织归因研究。现阶段的网络安全防护多数基于海量多模态数据,为了及时有效地进行网络攻击事件和黑客组织追踪,需要结合大数据处理框架,构建行之有效的黑客组织归因框架,并围绕该框架构建黑客组织相关知识库、档案库,打通组织知识情报和实时运维的情报闭环,建立有效的情报驱动的威胁狩猎机制,提升重要敏感单位面对境外网络攻击的立体防护能力。
