疫情之下,在新冠病毒改变现实社会和生活的同时,另一种来自网络世界的“病毒”也在暗中肆掠。
日前, 继越南政府否认支持APT组织“海莲花”(APT32)窃取我国政府疫情相关情报后,最大的网络安全公司360表示,已经掌握“海莲花”(APT32)对我国医疗卫生行业和机构进行APT攻击的实锤证据,该消息使得事件发生了新的反转。
疫情之下,APT组织“很忙”。此前的2月,360公司就曾对外披露了另一起类似的网络攻击,来自印度的APT组织利用新冠肺炎疫情相关题材为诱饵,对我国的特定机构,发动APT攻击。这并非偶然,当前,国家级利益争夺正在加剧,并且越来越“低调”化,APT作为最为有效的网络窃取和攻击手段,有愈演愈烈之势,而政府、能源、医疗、金融等重要领域和行业,更是首当其冲。某些特定的APT组织,更是通过长期潜伏,长期紧盯特定目标,一旦获得可乘之机时,便趁火打劫,往往给被攻击放造成巨大的损失。
在全球新冠肺炎蔓延的当下,各国医疗卫生行业和相关重要机构,如何应对APT威胁,已迫在眉睫。
“老团伙”再上新报告
就在近期,360公司又监测到了“老团伙”的行踪:海莲花(APT32),这个由360公司最早发现、命名,并长期追踪的APT组织又活跃起来。360发现,海莲花正利用新冠状病毒题材制作诱饵文件,对我国医疗卫生行业的相关机构发起APT攻击。
“本轮攻击使用白利用手法绕过了部分杀毒软件的查杀,利用新冠疫情题材诱使用户执行木马程序,最终达到控制系统、窃取情报的目的。”360安全专家介绍。
早在2015年5月,360便首次披露了海莲花(APT32)组织,该组织自2012年4月起就针对中国政府的海事机构、海域建设部门、科研院所和航运企业,展开多次精密组织的网络攻击。
借用“社会热点”为诱饵,对受害方“设套”,是该组织的擅长手法。而在此次攻击中,海莲花组织也是在诱饵文件中植入了“冠状病毒”等热门字眼。
另一国外安全机构的发现,也证实了360的判断。4月22日,外媒报道,一国外安全机构发现越南黑客组织“APT32”试图侵入中国相关部门和人员的私人和工作电邮账户,以期窃取有关新冠疫情的数据。
对此行为,我国外交部新闻发言人耿爽,在例行发布会上就媒体提问的相关网络攻击表示,“疫情中攻击抗疫机构网络,无疑应受到谴责。”
这是继今年2月,360公司公布针对我国医疗行业的境外APT攻击之后,发布的又一起APT攻击报告和证据。
在业内看来,疫情期间频受关注的APT攻击并非偶然。国家安全部有关负责人近日对媒体表示,2019年,我国发现并处置的网络攻击窃密活动中,涉及境外APT组织数量多达近百个。甚至某个境外专业黑客组织,在一年内,针对我国“两会”、“一带一路”高峰论坛以及新中国成立70周年等重大活动的定向攻击,竟多达4000多次。
据悉,这些APT黑客组织窃取大量重要敏感信息,极力攻击和试图控制我国核心设备和关键设施,势头猛烈,威胁巨大,正在对我国网络空间国家安全和利益,产生重大威胁和危害。
应对APT亟需构建网空“雷达”
“未来APT攻击将成为国与国角力的首选,成本低、效果好、烈度可控,连反击都不知道找谁反击。”360集团董事长兼CEO周鸿祎曾如此概括APT攻击的特性和作用。
APT攻击,即高级可持续威胁攻击,一般以窃取情报、破坏关键基础设施为目的,这是一种极高水平的黑客行为,手法隐蔽,手段高超,可造成巨大的危害。
正因为APT攻击的诸多特点,打造能发动APT攻击的黑客组织,已成为很多国家的或明或暗的“必然动作了”。据媒体的报道,美国政府机构官员更是每年参加在拉斯维加斯举行的“世界黑客大会”,或公开、或暗中,以极佳条件招募“网络战士”,以填补美国网络战略对人才的需求。据不完全统计,截至目前,全球有超过100国家,已先后成立了200多支网络攻击部队。
对于网络安全而言,APT攻击已成为全新的挑战。不同于制造木马的“小毛贼”,APT攻击的实施者,已经发展为国家级的“大玩家”,其攻击对象直指各类关键基础设施,攻击手段更是层出不穷、防不慎防、无所不用其极。
业内普遍认为,面对APT攻击,传统的防火墙、硬件盒子,更像是已成为二战中“马奇诺防线”,面对攻击时,作用甚微甚至无济于事。
APT使得网络安全的攻防,已在事实上演变为国家级网络水平的对抗,甚至就是赤裸裸的不同国家之间,在互联网数字世界里,悄无声息的实际战争。
要赢得现代战争的关键,在于更先发现敌人所在,在APT攻防领域,亦是如此。“这就像现代战争中没有雷达,有再多的火炮和导弹也只是摆设。应对APT攻击的关键,首先在于,要看得见;而要看得见,不能靠肉眼,不能靠陈旧的思维,必须靠更为先进的‘雷达’。”周鸿祎说。
他认为,要打造网络空间的“雷达”需要三个必要条件:安全大数据是看见的基础,威胁情报和知识库帮助筛选,高级别攻防专家起决定性作用;“三者结合,就能形成‘看见’APT攻击的‘安全大脑’。”
安全大脑,是360公司提出的新的核心安全的战略思维。在周鸿祎看来,或许别的人并不会使用“安全大脑”这个词汇来表达,但重点是,最终要奏效,核心的思维,也必然是和360“安全大脑”的战略思维高度吻合。
近年来,利用安全大脑技术,360捕获的境外APT专业组织,已超40个,攻击范围更是涉及了能源、通信、金融、交通、制造、教育、医疗等众多关键基础设施行业。
“不能指望光靠360一家公司,来应对APT攻击,作为一个商业公司,我们也无力做到那么多,但我们愿意把网络安全大脑的技术开放共享,协助政府部门、关键基础设施、大型企业及生态伙伴,利用他们自己的网络大数据,在他们的系统里重建一个网络安全大脑,继而在全国范围内形成分布式的网络安全大脑网络。”周鸿祎说。
当各个行业,各个层面,都以“安全大脑”的思维,建立起大大小小的有效“雷达”时,就如同周鸿祎所言,更容易“看见”APT组织的相关攻击,对网络的保护,以及有效防范APT攻击,也将因此“有计可施”。