國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）今日披露，自 2022 年西北工業(yè)大學(xué)遭受美國 NSA 網(wǎng)絡(luò)攻擊被曝光后，美情報(bào)機(jī)構(gòu)頻繁猖獗對我國防軍工領(lǐng)域?qū)嵤┚W(wǎng)絡(luò)竊密攻擊。

重點(diǎn)瞄準(zhǔn)我國高科技軍工類的高校、科研院所及企業(yè)，試圖竊取軍事領(lǐng)域的科研數(shù)據(jù)或設(shè)計(jì)、研發(fā)、制造等環(huán)節(jié)的核心生產(chǎn)數(shù)據(jù)等敏感信息，目標(biāo)更有針對性、手法更加隱蔽。

本次披露的 2 起典型事件如下：

一、利用微軟 Exchange 郵件系統(tǒng)零日漏洞實(shí)施攻擊：

2022 年 7 月至 2023 年 7 月，美情報(bào)機(jī)構(gòu)利用微軟 Exchange 郵件系統(tǒng)零日漏洞，對我一家大型重要軍工企業(yè)的郵件服務(wù)器攻擊并控制將近 1 年。

經(jīng)調(diào)查，攻擊者控制了該企業(yè)的域控服務(wù)器，以域控服務(wù)器為跳板，控制了內(nèi)網(wǎng)中 50 余臺重要設(shè)備，并在企業(yè)的某對外工作專用服務(wù)器中植入了建立 websocket+SSH 隧道的攻擊竊密武器，意圖實(shí)現(xiàn)持久控制。同時(shí)，攻擊者在該企業(yè)網(wǎng)絡(luò)中構(gòu)建了多條隱蔽通道進(jìn)行數(shù)據(jù)竊取。

期間，攻擊者使用位于德國（159.69.*.*）、芬蘭（95.216.*.*）、韓國（158.247.*.*）和新加坡（139.180.*.*）等多個(gè)國家跳板 IP，發(fā)起 40 余次網(wǎng)絡(luò)攻擊，竊取包括該企業(yè)高層在內(nèi) 11 人的郵件，涉及我軍工類產(chǎn)品的相關(guān)設(shè)計(jì)方案、系統(tǒng)核心參數(shù)等內(nèi)容。

攻擊者在該企業(yè)設(shè)備中植入的攻擊武器，通過混淆來逃避安全軟件的監(jiān)測，通過多層流量轉(zhuǎn)發(fā)達(dá)到攻擊內(nèi)網(wǎng)重要設(shè)備目的，通過通用加密方式抹去了惡意通信流量特征。

二、利用電子文件系統(tǒng)漏洞實(shí)施攻擊：

2024 年 7 月至 11 月，美情報(bào)機(jī)構(gòu)對我國某通信和衛(wèi)星互聯(lián)網(wǎng)領(lǐng)域的軍工企業(yè)實(shí)施網(wǎng)絡(luò)攻擊。經(jīng)調(diào)查，攻擊者先是通過位于羅馬尼亞（72.5.*.*）、荷蘭（167.172.*.*）等多個(gè)國家的跳板 IP，利用未授權(quán)訪問漏洞及 SQL 注入漏洞攻擊該企業(yè)電子文件系統(tǒng)，向該企業(yè)電子文件服務(wù)器植入內(nèi)存后門程序并進(jìn)一步上傳木馬，在木馬攜帶的惡意載荷解碼后，將惡意載荷添加至 Tomcat（美國 Apache 基金會支持的開源代碼 Web 應(yīng)用服務(wù)器項(xiàng)目）服務(wù)的過濾器，通過檢測流量中的惡意請求，實(shí)現(xiàn)與后門的通信。

隨后，攻擊者又利用該企業(yè)系統(tǒng)軟件升級服務(wù)，向該企業(yè)內(nèi)網(wǎng)定向投遞竊密木馬，入侵控制了 300 余臺設(shè)備，并搜索“軍專網(wǎng)”、“核心網(wǎng)”等關(guān)鍵詞定向竊取被控主機(jī)上的敏感數(shù)據(jù)。

在上述案例中，攻擊者利用關(guān)鍵詞檢索國防軍工領(lǐng)域敏感內(nèi)容信息，明顯屬于國家級黑客組織關(guān)注范圍，并帶有強(qiáng)烈的戰(zhàn)略意圖。

另外，攻擊者還意圖掩蓋其攻擊身份和真實(shí)的攻擊意圖，例如：使用多個(gè)境外跳板 IP 實(shí)施網(wǎng)絡(luò)攻擊，采取主動刪除日志、木馬，主動檢測機(jī)器狀態(tài)等手段。意圖掩蓋其身份和攻擊意圖，反映出很強(qiáng)的網(wǎng)絡(luò)攻擊能力和專業(yè)的隱蔽知識。

據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心統(tǒng)計(jì)，2024 年境外國家級 APT（IT之家注：高級持續(xù)性威脅）組織對我國重要單位的網(wǎng)絡(luò)攻擊事件就超過 600 起，其中國防軍工領(lǐng)域是受攻擊的首要目標(biāo)。對我國關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)、關(guān)鍵人員等進(jìn)行攻擊滲透，嚴(yán)重威脅我國的網(wǎng)絡(luò)安全。