前幾天（20日），總臺(tái)報(bào)道了廣州某科技公司遭境外黑客組織網(wǎng)絡(luò)攻擊的事件，今天（27日），廣州市公安局天河區(qū)分局再次發(fā)布警情通報(bào)稱，經(jīng)國(guó)家權(quán)威機(jī)構(gòu)對(duì)提取的惡意代碼樣本開(kāi)展溯源追蹤和技術(shù)分析，結(jié)合專案組掌握的多種涉案證據(jù)綜合判斷，廣州某科技公司遭受的網(wǎng)絡(luò)攻擊系中國(guó)臺(tái)灣民進(jìn)黨當(dāng)局有關(guān)的黑客組織所為。

據(jù)廣州市公安局天河區(qū)分局5月20日發(fā)布的警情通報(bào)顯示，廣州某科技公司自助設(shè)備的后臺(tái)系統(tǒng)在遭受網(wǎng)絡(luò)攻擊后，被違法上傳了多份攻擊程序，惡意破壞系統(tǒng)正常運(yùn)行。事件發(fā)生后，該公司立即啟動(dòng)應(yīng)急預(yù)案，第一時(shí)間嘗試恢復(fù)系統(tǒng)，并向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案。

廣州市公安局天河區(qū)分局辦案民警 李雲(yún)鵬：公安機(jī)關(guān)接到報(bào)警后，第一時(shí)間固定證據(jù)，提取相關(guān)攻擊程序樣本。經(jīng)技術(shù)分析發(fā)現(xiàn)，該案屬于初級(jí)APT攻擊，采用的是常規(guī)攻擊手段，即利用開(kāi)源掃描工具，對(duì)我境內(nèi)特定IP地址段實(shí)施無(wú)差別掃描探測(cè)。發(fā)現(xiàn)存有漏洞的計(jì)算機(jī)信息系統(tǒng)，再利用漏洞入侵到該系統(tǒng)，獲取系統(tǒng)管理員權(quán)限，進(jìn)而控制相關(guān)單位所有前端設(shè)備，并上傳惡意代碼。

根據(jù)公安機(jī)關(guān)掌握的情況，廣州某科技公司的部分設(shè)備和系統(tǒng)在遭到了惡意破壞后，導(dǎo)致較長(zhǎng)時(shí)間服務(wù)中斷，影響了企業(yè)的正常生產(chǎn)運(yùn)營(yíng)，同時(shí)該受害企業(yè)下架了部署的設(shè)備，給企業(yè)造成了一定經(jīng)濟(jì)損失。

廣州市公安局天河區(qū)分局副局長(zhǎng) 紀(jì)朝平：針對(duì)該起黑客攻擊案件，公安機(jī)關(guān)組織專業(yè)技術(shù)團(tuán)隊(duì)全面開(kāi)展技術(shù)溯源工作，通過(guò)對(duì)攻擊者暴露的大量網(wǎng)絡(luò)線索進(jìn)行系統(tǒng)梳理、深入分析，成功鎖定了具有中國(guó)臺(tái)灣當(dāng)局政府背景的網(wǎng)絡(luò)黑客組織，提取固定了大量電子證據(jù)。下一步公安機(jī)關(guān)將繼續(xù)對(duì)該黑客組織及其骨干成員開(kāi)展偵查調(diào)查，查清犯罪事實(shí)，依法嚴(yán)厲打擊相關(guān)犯罪嫌疑人。

臺(tái)灣黑客組織網(wǎng)絡(luò)攻擊大陸上千個(gè)重要目標(biāo)

據(jù)記者了解，專業(yè)技術(shù)團(tuán)隊(duì)通過(guò)對(duì)警方提取的相關(guān)攻擊程序樣本進(jìn)行分析發(fā)現(xiàn)，此次網(wǎng)絡(luò)攻擊是臺(tái)灣民進(jìn)黨當(dāng)局策劃的一次有組織、有預(yù)謀的大規(guī)模網(wǎng)絡(luò)攻擊行動(dòng)，并且?guī)в忻黠@的網(wǎng)絡(luò)戰(zhàn)痕跡。

據(jù)警方調(diào)查掌握，該臺(tái)灣黑客組織近年來(lái)頻繁利用公開(kāi)網(wǎng)絡(luò)資產(chǎn)探測(cè)平臺(tái)，針對(duì)大陸10余個(gè)省份的1000余個(gè)重要網(wǎng)絡(luò)系統(tǒng)，涉及軍工、能源、水電、交通、政府等領(lǐng)域開(kāi)展大規(guī)模網(wǎng)絡(luò)資產(chǎn)探查。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心高級(jí)工程師 杜振華：首先是通過(guò)網(wǎng)絡(luò)端口的探測(cè)掃描，去發(fā)現(xiàn)目標(biāo)單位暴露在互聯(lián)網(wǎng)上網(wǎng)絡(luò)資產(chǎn)的一些基本信息。同時(shí)還通過(guò)搜索引擎或公開(kāi)信息檢索等手段，去搜集目標(biāo)單位以及相關(guān)工作人員的聯(lián)系方式，比如電子郵件。如果沒(méi)有合適的漏洞，可能會(huì)采用社會(huì)工程學(xué)的攻擊方式，向相關(guān)的工作人員發(fā)送釣魚(yú)網(wǎng)站鏈接，竊取相關(guān)工作人員的用戶名口令。一旦運(yùn)行之后可能會(huì)進(jìn)入到目標(biāo)單位的內(nèi)網(wǎng)，再進(jìn)一步進(jìn)行探測(cè)和入侵。

360集團(tuán)創(chuàng)始人 周鴻祎：在過(guò)去的這10年里，我們收集了全世界最多的將近400億個(gè)病毒木馬和攻擊者的樣本。像臺(tái)灣地區(qū)的這幾個(gè)APT組織，我們一共發(fā)現(xiàn)了可能來(lái)自5家不同的團(tuán)隊(duì)，他們的編程手法、代碼特征、攻擊習(xí)慣基本上都在我們的知識(shí)庫(kù)里。所以只要一對(duì)照，基本上就水落石出了。

根據(jù)技術(shù)團(tuán)隊(duì)分析顯示，雖然該黑客組織頻繁利用VPN代理、境外云主機(jī)和傀儡機(jī)等網(wǎng)絡(luò)資產(chǎn)，通過(guò)大量來(lái)自美國(guó)、法國(guó)、韓國(guó)、日本、荷蘭、以色列、波蘭等國(guó)家的IP地址實(shí)施網(wǎng)絡(luò)攻擊，意圖掩蓋其真實(shí)攻擊來(lái)源，但通過(guò)網(wǎng)絡(luò)偵查調(diào)查，不難查清該黑客組織實(shí)施網(wǎng)絡(luò)攻擊犯罪的整個(gè)過(guò)程及其真實(shí)意圖。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心高級(jí)工程師 杜振華：這些攻擊反映出一方面是攻擊者試圖通過(guò)這種攻擊對(duì)我（大陸）實(shí)施襲擾、騷擾和干擾，另一方面也反映出攻擊者正在試圖去獲取我（大陸）境內(nèi)的這些網(wǎng)絡(luò)資產(chǎn)的控制權(quán)，為后續(xù)的攻擊或者進(jìn)一步的攻擊，去準(zhǔn)備相應(yīng)的跳板機(jī)和傀儡機(jī)，用心非常險(xiǎn)惡。

涉案臺(tái)灣黑客組織技術(shù)水平較低，手法簡(jiǎn)單粗暴

據(jù)網(wǎng)絡(luò)安全專家介紹，此次臺(tái)灣黑客組織實(shí)施的網(wǎng)絡(luò)攻擊具有明顯的政治背景，具有高度定向性，屬于典型的APT攻擊。那什么是APT攻擊呢？涉案的臺(tái)灣黑客組織是怎么被精準(zhǔn)鎖定的呢？

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心高級(jí)工程師 杜振華：APT攻擊直譯過(guò)來(lái)叫高級(jí)持續(xù)性威脅攻擊，具體體現(xiàn)在它使用的漏洞，可能是一些利用難度比較大的漏洞，甚至是未知的漏洞。使用的這些木馬病毒和網(wǎng)絡(luò)武器，通常是自主開(kāi)發(fā)的。攻擊者在目標(biāo)選擇上，相較于普通網(wǎng)絡(luò)攻擊的隨機(jī)性、發(fā)散性而言，對(duì)目標(biāo)的選擇專注度更高，可能對(duì)同一目標(biāo)實(shí)施數(shù)月甚至長(zhǎng)達(dá)數(shù)年的持續(xù)性攻擊。

不同于普通網(wǎng)絡(luò)攻擊的“廣撒網(wǎng)”模式，APT攻擊如同訓(xùn)練有素的“網(wǎng)絡(luò)間諜”，往往提前數(shù)月甚至數(shù)年鎖定目標(biāo)。他們利用零日漏洞、釣魚(yú)郵件等手段，悄無(wú)聲息地滲透系統(tǒng)、長(zhǎng)期潛伏，進(jìn)而竊取目標(biāo)單位的重要數(shù)據(jù)。

然而，據(jù)網(wǎng)絡(luò)安全專家介紹，通過(guò)相關(guān)網(wǎng)絡(luò)攻擊樣本和攻擊手法分析，涉案的臺(tái)灣黑客組織技術(shù)水平整體較低，攻擊手法簡(jiǎn)單粗暴，攻擊范圍較廣，多次被我網(wǎng)絡(luò)防護(hù)系統(tǒng)監(jiān)測(cè)發(fā)現(xiàn)。

安天集團(tuán)創(chuàng)始人董事長(zhǎng) 肖新光：首先，他們比較多使用商用的或開(kāi)源的木馬或者工具，一定程度上說(shuō)明他們?nèi)鄙僮匝泄ぞ叩哪芰Α５诙麄儤O少出現(xiàn)使用零日漏洞的相關(guān)情況，說(shuō)明他們?nèi)鄙龠@方面的儲(chǔ)備。第三個(gè)他們?cè)谡麄€(gè)攻擊活動(dòng)是比較泛化的，也就是撒大網(wǎng)撈魚(yú)，這就使他們的攻擊本身是比較容易被發(fā)現(xiàn)和暴露的。

360集團(tuán)創(chuàng)始人 周鴻祎：臺(tái)灣地區(qū)的幾個(gè)APT組織簡(jiǎn)單而粗暴，能力屬于三流團(tuán)隊(duì)水平，也沒(méi)有太多地掩飾和隱藏。他們的攻擊特征，從現(xiàn)在他們攻擊的對(duì)象和竊取的情報(bào)來(lái)看，他們比較具有強(qiáng)烈的政治意義目的，他們比較偏重于國(guó)防和外交等方面的情報(bào)和信息竊取。

新聞鏈接：如何防范網(wǎng)絡(luò)攻擊威脅？

據(jù)網(wǎng)絡(luò)安全專家介紹，這些具有高度定向、持續(xù)性的APT攻擊是目前網(wǎng)絡(luò)安全最大的威脅，那么能采取哪些安全措施進(jìn)行防御呢？

杜振華介紹了三項(xiàng)措施：

首先，相關(guān)單位和個(gè)人要按照我國(guó)網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，落實(shí)網(wǎng)絡(luò)安全防范的各項(xiàng)措施。

第二，盡量要避免或者杜絕犯一些低級(jí)錯(cuò)誤，比如弱口令，口令設(shè)置非常簡(jiǎn)單，或者使用默認(rèn)口令或長(zhǎng)期口令不修改等等；再比如一些已知高危漏洞，長(zhǎng)時(shí)間不進(jìn)行修補(bǔ)。這些都是非常容易被攻擊者利用，也非常容易出現(xiàn)的一些問(wèn)題。

第三，尤其要注意電子郵件的安全，特別是防范釣魚(yú)郵件，原則是多聯(lián)系多核實(shí)。因?yàn)橛幸恍┏Ｒ?jiàn)釣魚(yú)郵件的攻擊套路，像偽造的會(huì)議通知、邀請(qǐng)函、約稿通知、論文錄用通知等等，都是非常常見(jiàn)的、攻擊者會(huì)用到的一些套路，需要相關(guān)單位和相關(guān)人員提高防范意識(shí)。

網(wǎng)絡(luò)安全專家提示，如果遇到異常登錄提醒、系統(tǒng)性能突變等異常情況，要提高安全防范意識(shí)，及時(shí)啟動(dòng)應(yīng)急響應(yīng)機(jī)制，并立即向相關(guān)部門上報(bào)威脅信息。