疫情之下，在新冠病毒改變現(xiàn)實社會和生活的同時，另一種來自網(wǎng)絡(luò)世界的“病毒”也在暗中肆掠。

日前， 繼越南政府否認(rèn)支持APT組織“海蓮花”（APT32）竊取我國政府疫情相關(guān)情報后，最大的網(wǎng)絡(luò)安全公司360表示，已經(jīng)掌握“海蓮花”（APT32）對我國醫(yī)療衛(wèi)生行業(yè)和機構(gòu)進(jìn)行APT攻擊的實錘證據(jù)，該消息使得事件發(fā)生了新的反轉(zhuǎn)。

疫情之下，APT組織“很忙”。此前的2月，360公司就曾對外披露了另一起類似的網(wǎng)絡(luò)攻擊，來自印度的APT組織利用新冠肺炎疫情相關(guān)題材為誘餌，對我國的特定機構(gòu)，發(fā)動APT攻擊。這并非偶然，當(dāng)前，國家級利益爭奪正在加劇，并且越來越“低調(diào)”化，APT作為最為有效的網(wǎng)絡(luò)竊取和攻擊手段，有愈演愈烈之勢，而政府、能源、醫(yī)療、金融等重要領(lǐng)域和行業(yè)，更是首當(dāng)其沖。某些特定的APT組織，更是通過長期潛伏，長期緊盯特定目標(biāo)，一旦獲得可乘之機時，便趁火打劫，往往給被攻擊放造成巨大的損失。

在全球新冠肺炎蔓延的當(dāng)下，各國醫(yī)療衛(wèi)生行業(yè)和相關(guān)重要機構(gòu)，如何應(yīng)對APT威脅，已迫在眉睫。

“老團(tuán)伙”再上新報告

就在近期，360公司又監(jiān)測到了“老團(tuán)伙”的行蹤：海蓮花（APT32），這個由360公司最早發(fā)現(xiàn)、命名，并長期追蹤的APT組織又活躍起來。360發(fā)現(xiàn)，海蓮花正利用新冠狀病毒題材制作誘餌文件，對我國醫(yī)療衛(wèi)生行業(yè)的相關(guān)機構(gòu)發(fā)起APT攻擊。

“本輪攻擊使用白利用手法繞過了部分殺毒軟件的查殺，利用新冠疫情題材誘使用戶執(zhí)行木馬程序，最終達(dá)到控制系統(tǒng)、竊取情報的目的。”360安全專家介紹。

早在2015年5月，360便首次披露了海蓮花（APT32）組織，該組織自2012年4月起就針對中國政府的海事機構(gòu)、海域建設(shè)部門、科研院所和航運企業(yè)，展開多次精密組織的網(wǎng)絡(luò)攻擊。

借用“社會熱點”為誘餌，對受害方“設(shè)套”，是該組織的擅長手法。而在此次攻擊中，海蓮花組織也是在誘餌文件中植入了“冠狀病毒”等熱門字眼。

另一國外安全機構(gòu)的發(fā)現(xiàn)，也證實了360的判斷。4月22日，外媒報道，一國外安全機構(gòu)發(fā)現(xiàn)越南黑客組織“APT32”試圖侵入中國相關(guān)部門和人員的私人和工作電郵賬戶，以期竊取有關(guān)新冠疫情的數(shù)據(jù)。

對此行為，我國外交部新聞發(fā)言人耿爽，在例行發(fā)布會上就媒體提問的相關(guān)網(wǎng)絡(luò)攻擊表示，“疫情中攻擊抗疫機構(gòu)網(wǎng)絡(luò)，無疑應(yīng)受到譴責(zé)?！?/p>

這是繼今年2月，360公司公布針對我國醫(yī)療行業(yè)的境外APT攻擊之后，發(fā)布的又一起APT攻擊報告和證據(jù)。

在業(yè)內(nèi)看來，疫情期間頻受關(guān)注的APT攻擊并非偶然。國家安全部有關(guān)負(fù)責(zé)人近日對媒體表示，2019年，我國發(fā)現(xiàn)并處置的網(wǎng)絡(luò)攻擊竊密活動中，涉及境外APT組織數(shù)量多達(dá)近百個。甚至某個境外專業(yè)黑客組織，在一年內(nèi)，針對我國“兩會”、“一帶一路”高峰論壇以及新中國成立70周年等重大活動的定向攻擊，竟多達(dá)4000多次。

據(jù)悉，這些APT黑客組織竊取大量重要敏感信息，極力攻擊和試圖控制我國核心設(shè)備和關(guān)鍵設(shè)施，勢頭猛烈，威脅巨大，正在對我國網(wǎng)絡(luò)空間國家安全和利益，產(chǎn)生重大威脅和危害。

應(yīng)對APT亟需構(gòu)建網(wǎng)空“雷達(dá)”

“未來APT攻擊將成為國與國角力的首選，成本低、效果好、烈度可控，連反擊都不知道找誰反擊?！?60集團(tuán)董事長兼CEO周鴻祎曾如此概括APT攻擊的特性和作用。

APT攻擊，即高級可持續(xù)威脅攻擊，一般以竊取情報、破壞關(guān)鍵基礎(chǔ)設(shè)施為目的，這是一種極高水平的黑客行為，手法隱蔽，手段高超，可造成巨大的危害。

正因為APT攻擊的諸多特點，打造能發(fā)動APT攻擊的黑客組織，已成為很多國家的或明或暗的“必然動作了”。據(jù)媒體的報道，美國政府機構(gòu)官員更是每年參加在拉斯維加斯舉行的“世界黑客大會”，或公開、或暗中，以極佳條件招募“網(wǎng)絡(luò)戰(zhàn)士”，以填補美國網(wǎng)絡(luò)戰(zhàn)略對人才的需求。據(jù)不完全統(tǒng)計，截至目前，全球有超過100國家，已先后成立了200多支網(wǎng)絡(luò)攻擊部隊。

對于網(wǎng)絡(luò)安全而言，APT攻擊已成為全新的挑戰(zhàn)。不同于制造木馬的“小毛賊”，APT攻擊的實施者，已經(jīng)發(fā)展為國家級的“大玩家”，其攻擊對象直指各類關(guān)鍵基礎(chǔ)設(shè)施，攻擊手段更是層出不窮、防不慎防、無所不用其極。

業(yè)內(nèi)普遍認(rèn)為，面對APT攻擊，傳統(tǒng)的防火墻、硬件盒子，更像是已成為二戰(zhàn)中“馬奇諾防線”，面對攻擊時，作用甚微甚至無濟(jì)于事。

APT使得網(wǎng)絡(luò)安全的攻防，已在事實上演變?yōu)閲壹壘W(wǎng)絡(luò)水平的對抗，甚至就是赤裸裸的不同國家之間，在互聯(lián)網(wǎng)數(shù)字世界里，悄無聲息的實際戰(zhàn)爭。

要贏得現(xiàn)代戰(zhàn)爭的關(guān)鍵，在于更先發(fā)現(xiàn)敵人所在，在APT攻防領(lǐng)域，亦是如此?！斑@就像現(xiàn)代戰(zhàn)爭中沒有雷達(dá)，有再多的火炮和導(dǎo)彈也只是擺設(shè)。應(yīng)對APT攻擊的關(guān)鍵，首先在于，要看得見；而要看得見，不能靠肉眼，不能靠陳舊的思維，必須靠更為先進(jìn)的‘雷達(dá)’?！敝茗櫟t說。

他認(rèn)為，要打造網(wǎng)絡(luò)空間的“雷達(dá)”需要三個必要條件：安全大數(shù)據(jù)是看見的基礎(chǔ)，威脅情報和知識庫幫助篩選，高級別攻防專家起決定性作用；“三者結(jié)合，就能形成‘看見’APT攻擊的‘安全大腦’。”

安全大腦，是360公司提出的新的核心安全的戰(zhàn)略思維。在周鴻祎看來，或許別的人并不會使用“安全大腦”這個詞匯來表達(dá)，但重點是，最終要奏效，核心的思維，也必然是和360“安全大腦”的戰(zhàn)略思維高度吻合。

近年來，利用安全大腦技術(shù)，360捕獲的境外APT專業(yè)組織，已超40個，攻擊范圍更是涉及了能源、通信、金融、交通、制造、教育、醫(yī)療等眾多關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。

“不能指望光靠360一家公司，來應(yīng)對APT攻擊，作為一個商業(yè)公司，我們也無力做到那么多，但我們愿意把網(wǎng)絡(luò)安全大腦的技術(shù)開放共享，協(xié)助政府部門、關(guān)鍵基礎(chǔ)設(shè)施、大型企業(yè)及生態(tài)伙伴，利用他們自己的網(wǎng)絡(luò)大數(shù)據(jù)，在他們的系統(tǒng)里重建一個網(wǎng)絡(luò)安全大腦，繼而在全國范圍內(nèi)形成分布式的網(wǎng)絡(luò)安全大腦網(wǎng)絡(luò)。”周鴻祎說。

當(dāng)各個行業(yè)，各個層面，都以“安全大腦”的思維，建立起大大小小的有效“雷達(dá)”時，就如同周鴻祎所言，更容易“看見”APT組織的相關(guān)攻擊，對網(wǎng)絡(luò)的保護(hù)，以及有效防范APT攻擊，也將因此“有計可施”。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。