近日,国家互联网应急中心发布的一份报告,如一颗重磅炸弹,在网络安全领域掀起轩然大波。报告中详细揭露了美国对我国某先进材料设计研究院的网络攻击行为,其恶劣程度令人咋舌。这一事件不仅严重侵犯了我国的网络主权,更对我国的经济安全和科技创新构成了巨大威胁。美国,作为网络技术高度发达的国家,本应在网络空间发挥积极的引领作用,却背道而驰,将网络技术作为窃取他国机密的工具。这一行为引发了国际社会的广泛关注,也让我们不得不重新审视网络安全的重要性。摘要:近日,国家互联网应急中心发布的一份报告,如一颗重磅炸弹,在网络安全领域掀起轩然大波。报告中详细揭露了美国对我国某先进材料设计研究院的网络攻击行为,其恶劣程度令人咋舌。这一事件不仅严重侵犯了我国的网络主权,更对我国的经济安全和科技创新构成了巨大威胁。美国,作为网
(一)利用漏洞的初始入侵
2024 年 8 月 19 日,这是一个值得铭记的黑色日子。美国的网络攻击者犹如隐匿在黑暗中的恶狼,敏锐地捕捉到了我国先进材料设计研究院电子文件系统的注入漏洞 。他们如同鬼魅般潜入系统,利用这个漏洞,轻而易举地窃取了该系统管理员的账号和密码信息。这一关键步骤,为他们后续的入侵行动打开了一扇罪恶之门。就如同一个盗贼获取了屋主的钥匙,得以堂而皇之地进入屋内,肆意妄为。该电子文件系统在日常运营中承担着重要的文件存储与管理功能,涉及研究院众多科研项目的核心资料。而此次漏洞的被利用,使得这些珍贵的信息暴露在危险之中。
(二)服务器植入恶意程序
仅仅两天后,即 8 月 21 日,攻击者便迫不及待地利用窃取来的管理员账号和密码,堂而皇之地登录到被攻击系统的管理后台。随后,他们在该电子文件系统中部署了一系列恶意程序。这些恶意程序包括专门接收被窃数据的定制化木马程序以及用于将窃取的敏感文件聚合后传输到境外的后门程序。为了躲避检测,这些恶意程序如同隐藏在黑暗中的幽灵,仅存在于内存中,不在硬盘上留下任何痕迹。木马程序通过特定的访问路径,如 /xxx/xxxx?flag=syn_user_policy,接收从涉事单位被控个人计算机上窃取的敏感文件。而后门程序则通过 /xxx/xxxStats 路径,将这些敏感文件精心聚合后,源源不断地传输到境外,将我国的重要信息拱手送给美国。这一行为,就像是在研究院的网络系统中埋下了一颗定时炸弹,随时可能引爆,造成无法挽回的损失。(三)木马大范围植入
到了 2024 年 11 月,攻击者的野心进一步膨胀。他们利用电子文档服务器的软件升级功能,发动了一场更为广泛的攻击。在短短数天内,包括 11 月 6 日、11 月 8 日和 11 月 16 日,他们成功地将特种木马程序植入到该单位的 276 台主机中。这些木马程序就像是潜伏在计算机中的间谍,一旦植入,便开始疯狂地工作。它们一方面对被植入主机的敏感文件进行地毯式扫描,一旦发现目标,便迅速窃取;另一方面,还窃取受攻击者的登录账密等其他个人信息。更为狡猾的是,这些木马程序采用了即用即删的策略,在完成窃取任务后,立即自动删除,试图销毁证据,逃避检测。这使得研究院的网络安全防线遭受了严重的冲击,大量的机密信息面临被盗取的风险。三、商业秘密失窃详情
(一)全盘扫描与目标锁定
在完成一系列恶意程序的植入后,攻击者的黑手并未停止。他们多次借助中国境内的 IP 跳板,堂而皇之地登录到软件升级管理服务器。随后,以此为据点,深入受害单位的内网主机 。在那里,他们对每一台主机的硬盘展开了反复的全盘扫描,如同贪婪的寻宝者,不放过任何一个角落。通过这种地毯式的搜索,他们成功发现了潜在的攻击目标,对该单位的工作内容有了全面而深入的掌握。这些被扫描的主机中,存储着研究院多年来的科研成果、商业计划、客户信息等重要资料。攻击者的这一行为,使得研究院的核心机密完全暴露在危险之中,为后续的针对性窃密行动奠定了基础。(二)针对性窃密行动
2024 年 11 月 6 日至 11 月 16 日期间,是这场网络窃密灾难的高潮阶段。攻击者精心策划,利用 3 个不同的跳板 IP,分三次悍然入侵该软件升级管理服务器。每一次入侵,他们都向个人主机植入了内置特定关键词的木马程序。这些关键词与受害单位的工作内容高度相关,是攻击者经过深入研究和分析后确定的。例如,针对研究院正在进行的新型材料研发项目,攻击者设置了诸如 “新型材料配方”“材料性能测试数据”“研发进度报告” 等关键词。一旦木马程序在主机中运行,便会迅速对主机上的文件进行搜索。只要发现包含特定关键词的文件,便会如饿狼扑食般,迅速将相应文件窃取,并通过精心搭建的传输通道,将这些文件源源不断地传输至境外。这三次窃密活动,攻击者使用的关键词均不相同,充分显示出他们在每次攻击前都进行了周密的策划和精心的准备。他们如同经验丰富的猎人,根据猎物的习性,选择最合适的陷阱。这三次窃密行为,共窃取了重要商业信息、知识产权文件共计 4.98GB 。这些文件包含了研究院的核心技术、商业机密以及未来发展的重要规划,一旦泄露,将对我国的相关产业发展造成巨大的冲击。四、攻击行为特点剖析
(一)时间规律
此次网络攻击在时间选择上有着明显的规律 。攻击时间主要集中在北京时间 22 时至次日 8 时,这个时间段恰好对应美国东部时间的 10 - 20 时。选择这一时间段发动攻击,显然是经过深思熟虑的。此时,我国研究院的工作人员大多已经下班,网络活动相对较少,攻击者能够更隐蔽地进行操作,降低被发现的风险。而对于美国的攻击者来说,这正是他们的正常工作时间,便于他们集中精力实施攻击。此外,攻击多发生在工作日,避开了美国的主要节假日。这表明攻击者有着严谨的工作节奏和组织规划,他们在进行攻击时,充分考虑了双方的工作和休息时间,以确保攻击的高效性和成功率。(二)资源运用
攻击者在资源运用方面展现出了高度的反溯源意识和丰富的资源储备。他们使用的 5 个跳板 IP 分别来自德国、罗马尼亚等不同国家 。这些跳板 IP 就像是攻击者的 “隐身衣”,使得追踪溯源工作变得异常困难。通过使用多个不同国家的跳板 IP,攻击者可以混淆视听,让安全人员难以确定攻击的真正源头。这不仅体现了攻击者对网络安全技术的深入了解,也反映出他们背后有着强大的资源支持。他们能够获取到来自不同国家的 IP 资源,并熟练地运用这些资源来实施攻击,这种资源运用能力和反溯源手段,给网络安全防护带来了极大的挑战。(三)武器特性
在攻击武器的选择和运用上,攻击者采用了一系列狡猾的手段。他们善于利用开源或通用工具进行伪装 ,以此来躲避溯源。在涉事单位服务器中发现的后门程序,便是开源通用后门工具。这些开源工具在网络上广泛存在,容易获取,而且具有一定的隐蔽性。攻击者通过对这些工具的使用,试图将自己的攻击行为隐藏在大量的正常网络活动之中。更为关键的是,重要的后门和木马程序仅在内存中运行,不在硬盘中存储。这一特性大大增加了检测的难度。传统的安全检测手段往往依赖于对硬盘文件的扫描,而这些内存中的恶意程序就像是隐藏在黑暗中的幽灵,难以被发现。它们在内存中悄然运行,窃取着重要信息,一旦完成任务,便可能消失得无影无踪,给事后的调查和取证工作带来了巨大的阻碍。(四)攻击手法
攻击者的攻击手法极具针对性和精准性。他们在攻击该单位电子文件系统服务器后,巧妙地篡改了该系统的客户端分发程序 。通过这种方式,他们利用软件客户端的升级功能,将木马程序精准地投递到 276 台个人主机中。这种攻击手法就像是在敌人的内部安插了间谍,通过合法的途径将恶意程序植入目标系统。软件升级本是保障系统安全和功能完善的正常操作,却被攻击者利用来进行恶意攻击。这不仅体现了攻击者对软件系统运行机制的深入了解,也展示了他们高超的攻击技巧。他们能够抓住软件升级这一关键环节,将木马程序伪装成正常的升级文件,从而快速、精准地攻击重要用户,大肆搜集和窃取信息。这种攻击手法的高效性和隐蔽性,使得研究院的网络安全防线在不知不觉中被突破,大量的机密信息被窃取。五、部分跳板 IP 列表展示
为了让大家更直观地了解此次网络攻击的复杂性和跨国性,以下是部分已知的跳板 IP 列表:六、总结与警示
来源:少荣科技君
免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!
