長期以來,境外駭客組織持續對我國重要敏感單位實施網路攻擊,安全風險不斷加大。綠盟科技依託雲端相關業務,結合海量大資料計算分析和組織歸因等技術,透過持續監控和研判,對境外駭客組織開展發現和追蹤監測工作。目前已發現境外駭客組織178個,這些駭客組織以我國黨政機關、事業單位、科研院所等重要敏感單位的網站和相關主機為主要目標,實施漏洞掃描攻擊、暴力破解,DDoS攻擊等攻擊行為,部分組織攻擊意圖明顯,攻擊持續時間長,具有較大的危害。
綠盟科技基於2021年3月至4月中旬相關監測資料,選擇了3個較為典型的境外駭客組織進行研究,分析其攻擊行為特徵如下。
(一)駭客組織BF-030
駭客組織BF-030(內部代號)為2020年10月19日發現,至今保持著較高的活躍性。監測資料顯示,該組織共控制了192.241.(198-239).X多個網段的1065臺不同主機,IP地理資訊顯示這些主機均位於境外某國。
監測時段內,該組織共針對2426臺不同的主機發動攻擊,攻擊物件主要為黨政機關和企事業單位,如某汽車動力總成公司、某鋼鐵股份有限公司以及部分高校等。主要攻擊手段為SSH暴力破解、SNMP暴力破解等。
(二)駭客組織BF-024
駭客組織BF-024(內部代號)為2020年10月19日發現,至今保持著較高的活躍性,監測資料顯示,該組織共控制了167.248.133.X網段的24臺不同的主機,IP地理資訊顯示這些主機均位於境外某國。
監測時段內,該組織共針對993臺不同的主機發動攻擊,攻擊物件主要為高校,涉及山西、廣西、廣東等省份;也有部分黨政機關,如某省公安廳、某省科技委員會、某市商務局等。主要攻擊手段包括SNMP暴力破解、PHP程式碼執行漏洞、Struts2遠端命令執行漏洞等暴力破解和Web掃描攻擊。
(三)駭客組織WEB-036
駭客組織WEB-036(內部代號)為2020年8月28日發現,至今保持著較高的活躍性。監測資料顯示,該組織共控制了198.74.122.X網段的5臺不同主機,IP地理資訊顯示這些主機均位於境外某國。
監測時段內,該組織共針對119臺不同的主機發動攻擊,攻擊物件為高校,涉及廣東、北京等地。主要攻擊手段為PHP漏洞攻擊、SQL隱碼攻擊等Web類攻擊。
從攻擊行為特徵來看,綠盟監測到的多數境外駭客組織傾向於嘗試利用大批次主機,透過廣泛的Web和系統漏洞掃描攻擊手段,配合高頻暴力破解手段進行偵察和踩點攻擊,鎖定攻擊目標。這些組織透過有針對性的高頻探測攻擊,試圖利用較小的攻擊成本,找到重要敏感單位資產的薄弱環節,為後期正式入侵和滲透打下基礎。
綠盟科技建議如下:
(一)加強預警防範措施。針對重要敏感單位的相關主機及網站等資產,做好清點、排查和加固工作;根據可能存在的風險隱患,及時建立和完善相應的預警防範措施。
(二)完善應急響應機制。建立健全重要敏感單位的網路安全應急響應機制,針對重要敏感單位經排查發現已經受害或失陷的資產,在應急處置工作等方面由專業機構做好支撐。
(三)加強駭客組織歸因研究。現階段的網路安全防護多數基於海量多模態資料,為了及時有效地進行網路攻擊事件和駭客組織追蹤,需要結合大資料處理框架,構建行之有效的駭客組織歸因框架,並圍繞該框架構建駭客組織相關知識庫、檔案庫,打通組織知識情報和實時運維的情報閉環,建立有效的情報驅動的威脅狩獵機制,提升重要敏感單位面對境外網路攻擊的立體防護能力。