6月5日,國家計算機病毒應急處理中心和360數字安全集團聯合發布《台民進黨當局「資通電軍」黑客組織網路攻擊活動調查報告》,首次公開披露了360集團近年來追蹤的歸屬於中國台灣省的五大黑客組織:apt-c-01(毒雲藤)、apt-c-62(三色堇)、apt-c-64(匿名者64)、apt-c-65(金葉蘿)和apt-c-67(烏蘇拉)。
同時,報告還公開了台灣「資通電軍」網路部隊組織架構及其策劃、指揮對大陸網攻犯罪的主要成員身份。本次公開的五大黑客組織就是由台灣民進黨當局豢養支持,並由台當局「資通電軍」網路部隊直接操縱指揮的。
▲報告封面
今年4月,對廣州某科技公司實施網路攻擊的就是apt-c-67(烏蘇拉)黑客組織。該組織近年來頻繁利用公開網路資產探測平台,針對大陸10多個省份的1000餘個涉及軍工、能源、水電、交通、政府等重要網路系統開展網路資產探查,搜集相關係統基礎信息和技術情報,並通過大範圍發送釣魚郵件、公開漏洞利用、密碼暴力破解、自製簡易木馬程序等低端網攻手法實施了多輪次網路攻擊。
目前,廣州警方已對20名參與實施本次網路攻擊活動的犯罪懸疑人進行懸賞通緝。
360集團創始人周鴻禕表示,網路攻擊溯源是全世界公認的難題。對apt組織的溯源,通常需要掌握大量安全數據,並高度依賴擁有強大知識儲備和豐富實戰經驗的頂級安全專家進行溯源及處置。360公司有著近20年和境外apt組織交手的經驗,其中和台灣省apt組織「交手」經驗豐富,2007年披露了首個歸屬中國台灣省背景的apt組織「毒雲藤」。上個月對廣州某科技公司發起網路攻擊的「烏蘇拉」黑客組織是一個近年來剛剛冒頭的專門團隊,主要針對中國大陸和港澳地區的物聯網系統,特別是視頻監控系統實施攻擊竊密活動,意圖通過控制大量視頻監控設備,持續秘密竊取我網路及地理空間情報數據。
但360對這些apt組織的攻擊流程和攻擊技戰術都了如指掌。
周鴻禕認為,台灣省相關apt組織屬於apt組織中的三線水平,他們的反溯源能力比較弱。尤其是其相關人員在歷史上有多次極其不專業的操作,例如個人文檔信息存儲於攻擊資源伺服器,在製作一些誘餌文檔和釣魚頁面時候留下容易查證的痕迹,導致在前期偵查、攻擊過程中經常漏洞百出。360的專家往往在他們發起網路攻擊的初始階段就已經察覺,基於360大而全的apt知識庫,第一時間就能夠歸因關聯。
據360網路安全專家介紹,根據360的實戰經驗,台灣省apt組織的攻擊技戰術仍處於較低水平,主要表現在幾個方面:一是攻擊彈藥儲備少,網路漏洞就是網路軍火,未知漏洞(零日漏洞)的威力相當於核彈級別,但台灣省apt組織主要使用已知漏洞進行攻擊,缺乏自主的漏洞發現和利用能力以及高級零日漏洞的儲備。二是攻擊武器的自主開發性差,台灣省apt組織缺乏自主的網路武器和技戰術開發能力,通常使用的攻擊武器都是一些免費或開源的代碼、木馬、工具和商業滲透測試框架以及攻擊技戰術資料。三是攻擊隱蔽性差,台灣省apt組織的相關人員缺乏專業化能力,無論是他們逃避檢測還是想要駐留的方式都很常見,甚至會留下顯著的攻擊痕迹,給我們的專家提供了快速溯源的有利證據。
據了解,360集團已累計發現了58個apt組織,佔國內所有發現apt總數的98%以上,其中也包括美國國安局(nsa)、中央情報局(cia)這些國家級黑客組織對我國關鍵基礎設施、科研單位、政府機構進行長達十餘年的網路潛伏滲透和攻擊。
早在2022年,360就率先發現美國國安局對我國西北工業大學發起網路攻擊,並成功溯源、上報有關部門,最終將上述兩家機構潛伏在中國十餘年的間諜軟體網路連根拔起,也使360成為唯一被美國商務部和國防部雙重製裁的網路安全公司。
周鴻禕表示,目前網路攻擊已進入ai時代,作為國內唯一兼具網路安全和ai能力的公司,將繼續發揮自身技術優勢,加速研發迭代安全大模型、安全專家智能體;同時與各方攜手,為構建我國數字安全防禦屏障、守護國家和社會穩定貢獻力量。
來源:環球時報
