日前,360天眼实验室发布了《2015年中国高级持续性威胁(APT)研究报告》。报告显示,中国作为高级持续性威胁(APT)攻击的主要受害国,仅2015就已发现29个针对中国境内机构进行APT攻击的黑客组织。
这些APT组织长时间潜伏,有的网络间谍活动最长持续8年之久。黑客组织从中国科研、政府机构等领域窃取了大量敏感数据,对国家安全已造成严重的危害。其中,中国的教育科研、政府机构、能源、军事等行业是遭受攻击的重灾区。
《2015年中国高级持续性威胁(APT)研究报告》是对目前针对中国的APT攻击组织的年度总结。主要内容包括:
中国是高级持续性威胁(APT)攻击的主要受害国。截至2015年11月底,360天眼实验室监测到的针对中国境内科研教育、政府机构等组织单位发动APT攻击的境内外黑客组织累计29个,其中15个APT组织曾经被国外安全厂商披露过,另外14个为360天眼实验室首先发现并监测到的APT组织,其中包括2015年5月末发布的海莲花(OceanLotus)APT组织。
北京、广东是重灾区教育科研与政府机构是主要遭攻击领域。国内多个省市受到不同程度的影响,其中北京、广东是重灾区。国内受影响量排名前五的省市是:北京、广东、浙江、江苏、福建等沿海相关省市。受影响量排名最后的五个省市是:西藏、青海、宁夏、新疆、贵州。
国内受影响情况(2014年12月-2015年11月)
教育科研、政府机构是APT攻击主要针对的领域。其他受到攻击的行业还包括能源、军事、工业与商业等。科研与教育机构能够成为2015年APT攻击的首要目标,在一定程度上反映出境外APT组织对中国科技情报的“兴趣”。几乎所有境外APT组织都会将中国的政府机构列入自己的战略攻击目标。这说明绝大多数的APT组织都是具有政府背景的。
攻击持续时间长,最长可达8年
攻击者长期持续对特定目标进行精准的打击。在这29个APT组织中,针对中国境内目标的攻击最早可以追溯到2007年,该组织主要针对中国政府、军事、科技和教育等重点单位和部门,相关攻击行动最早可追溯到2007,至今还非常活跃。也就是从2007年开始进行了持续8年的网络间谍活动。最近三个月(2015年9月以后)内仍然处于活跃状态的APT组织至少有9个。
我国相关机构防御薄弱低成本攻击频频得手
针对中国的APT攻击主要由低成本的攻击组成,但由于相关防御薄弱导致低成本攻击频频得手。研究人员发现,针对中国的攻击中,APT组织更多选择1day或Nday等已知漏洞,这说明相关机构对曝出的漏洞并未及时修补,安全意识较差。此外,邮件攻击是APT攻击中使用最为频繁的攻击载体。针对中国的鱼叉邮件攻击主要是携带可执行程序,这也从侧面反应出中国相关机构的安全防御措施、以及人员的安全意识比较欠缺。
大量敏感数据被窃取 国家安全遭受严重危害
APT组织从中国科研、政府机构等领域窃取了大量敏感数据,对国家安全已造成严重的危害。其中名为APT-C-05的组织是一个针对中国攻击的境外APT组织,也是至今捕获到针对中国攻击持续时间最长的组织。APT组织窃取的具体数据内容有很大差异,但均涉及中国科研、政府等领域的敏感数据,其中窃取的敏感数据中以具备文件实体形态的文档数据为主,进一步会包括账号密码、截图等。窃取的敏感数据主要以文档为主,APT组织更关注WPSOffice相关文档。WPSOffice办公软件的用户一般分布在国内政府机构或事业单位。
攻击紧密围绕政济、科技、军工等热点领域
十三五规划、一带一路、军工制造等内容是APT组织关注的重点领域。国民经济和社会发展第十三个五年规划纲要(2016-2020年,简称“十三五”规划)是2016年-2020年中国经济社会发展的宏伟蓝图。稳步推进“一带一路”建设合作是中国“十三五”规划的重要内容。在2015年11月、12月期间,研究人员已捕获到针对相关目标的攻击行动,相关攻击行动主要以“一带一路”、“21世纪海上丝绸之路”等诱饵信息攻击相关领域的目标群体。
360企业安全集团总裁吴云坤表示,从本次报告的结果看,国内科研与政府等相关机构的安全防御措施亟待加强,工作人员的网络安全意识比较淡薄。在帮助政企用户加强网络安全防护上,国内安全厂商还有很多工作要做。(完)