导读: 在国家级APT研究领域,中国安全企业与国外相比差距还是比较大,特别是在企业市场长期盘踞的传统安全厂商,十余年来都无所作为。海莲花APT报告虽然填补了空白,但揭露出的也仅仅是冰山一角。只有更多的安全企业对该事件重视起来,中国的网络安全整体水平才会提交,以往的不白之冤才能得到洗脱。
这两天,安全圈最大的事当属360旗下天眼实验室揪出了一朵“恶之花”。一个名为“海莲花”的境外黑客组织攻击中国长达三年,是不是真爱不知道,但如此专一,背后一定有不可告人的秘密。从天眼实验室公布的APT(高级持续性威胁)报告上来看,海莲花的攻击重点是中国政府、科研院所、海事机构、海域建设、航运企业等相关部门。目的也很明确,窃取机密文件。
我们在义愤填膺的同时,却也发现了一个尴尬的现实:在“海莲花”被曝光之前,中国竟没有一份像样的APT报告。反观西方世界,美国新兴安全公司FireEye及其旗下的Mandiant已多次发布APT报告,其中一些报告影射中国是黑客攻击来源。中国也因此在网络空间战舆论中处于被动地位,甚至蓝翔也被牵扯其中,成为中国黑客代名词。
海莲花背后有人 攻击中国长达三年
APT报告有什么用我们一会再说,先来看看这次海莲花都对中国做了什么。天眼实验室的报告显示,早在2012年4月,海莲花就对中国“动手动脚”,但基本属于小打小闹。到了2014年2月,海莲花的动作逐渐大了起来,当年5月、9月以及2015年的1月发起了三次大规模攻击,目标依旧是政府部门和科研部门。
海莲花惯用的攻击手段是鱼叉攻击和水坑攻击,简而言之就是邮件挂马和网站挂马两种手段。鱼叉邮件经常会使用诸如“新疆暴恐”、“公务员工资调整”这种目标人群较为感兴趣的话题为诱饵,增加受害者的上当几率。而用来攻击的木马也经过多次升级,现在已经有3种针对Windows系统的木马和1种针对MAC的木马。
毫无疑问,海莲花为了攻击中国是经过周密计算和精确准备的。攻击方式紧贴目标人群关注热点,时政、自身待遇等等;攻击武器也在不断升级。种种迹象表明,这不会是普通的民间黑客,背后很可能有国家背景给予支持。
APT报告能攻善守 是网络空间战的必备物资
太多阴谋论的东西暂且不提,让我们回归到事件本身。前面一直提到一个词,APT攻击,所谓APT攻击是Advanced Persistent Threat(高级持续性威胁)的缩写。对此比较权威的解释是“APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的恶意商业间谍威胁。”
但随着国与国之间网络战的升级,APT攻击已经不仅仅是商业间谍行为,很多时候已经成为国家之间的较量。有攻有防,既然有APT攻击自然就需要对其进行防御,因此APT攻击报告就作为防御体系中的一部分而诞生。
除了对攻击事件进行分析和解读外,APT报告有时也会扮演着攻击者的角色。2013年,美国的Mandiant网络信息安全公司宣称,已经初步掌握了位于中国上海浦东的中国网络部队从事黑客袭击行动的证据。对于这一指控,中国当然是予以否认,并指责美国才是黑客攻击的主要发起者。
首份APT报告让中国洗刷冤屈 盼得到更多重视
无论美国的公司的指控是真是假,但人家有APT攻击报告做背书,就算是耍流氓也是耍的合理合法。中国被扣了屎盆子还有冤没处诉,只能哑巴吃黄连打落牙往肚里咽。但天眼关于海莲花的报告一出,颇有些拨开云雾见青天的感觉。以后中国在国际上也能啪啪地拍着报告,理直气壮的说:“你看看,我都被攻击三年了,你们还总说我搞攻击,咱找地说理去!”
在国家级APT研究领域,中国安全企业与国外相比差距还是比较大,特别是在企业市场长期盘踞的传统安全厂商,十余年来都无所作为。海莲花APT报告虽然填补了空白,但揭露出的也仅仅是冰山一角。只有更多的安全企业对该事件重视起来,中国的网络安全整体水平才会提交,以往的不白之冤才能得到洗脱。(文/独孤依风,微信订阅号:worldlun,如若转载,请保留出处!)