(相關(guān)資料圖)
【環(huán)球時報(bào)-環(huán)球網(wǎng)報(bào)道 記者郭媛丹】16日,中國網(wǎng)絡(luò)安全企業(yè)安天科技集團(tuán)對《環(huán)球時報(bào)》獨(dú)家披露,來自印度的一個定向威脅攻擊(APT攻擊)組織針對印度境內(nèi)以及包括中國在內(nèi)的周邊目標(biāo),發(fā)動了長達(dá)十年的網(wǎng)絡(luò)攻擊活動。
安天將該組織命名為“暗象”,其主要針對目標(biāo)為印度境內(nèi)的社會活動人士、社會團(tuán)體和在野政黨等,同時也會竊取印度周邊國家(如中國和巴基斯坦等)軍事政治目標(biāo)的重要情報(bào)。安天借鑒了國際其他安全團(tuán)隊(duì)研究成果,并補(bǔ)充了“暗象”組織針對我國重要單位的網(wǎng)絡(luò)攻擊活動分析成果,最后通過溯源分析鎖定該組織背后的運(yùn)營人員可能位于東5.5時區(qū)(印度國家標(biāo)準(zhǔn)時間)。
安天科技集團(tuán)副總工程師李柏松對《環(huán)球時報(bào)》記者介紹,“暗象”組織的主要攻擊手段是通過谷歌/雅虎郵箱或者盜取的郵箱賬號,向目標(biāo)發(fā)送內(nèi)容極具迷惑性的魚叉式釣魚郵件,誘騙目標(biāo)運(yùn)行其采用多種免殺技巧、包含成熟商用遠(yuǎn)控木馬載荷的誘餌文件,“至少自2012年以來,該組織針對印度境內(nèi)的目標(biāo),以及包括中國在內(nèi)的印度周邊的目標(biāo),發(fā)動了長達(dá)十年的網(wǎng)絡(luò)攻擊活動。因?yàn)樵摴艚M織通過網(wǎng)絡(luò)攻擊手段,構(gòu)陷印度國內(nèi)社會活動人士,手段極其暗黑,是比馬·科雷岡(Bhima Koregaon)案件中誣陷社會運(yùn)動人士的執(zhí)行者,其行動隱蔽,暗藏十年有余而鮮有曝光,于是將該組織命名為 ‘暗象’。”
2018年1月,比馬·科雷岡(Bhima Koregaon)發(fā)生種姓暴力沖突,期間印共的城市領(lǐng)導(dǎo)層遭到印度官方嚴(yán)厲打擊。印度知名社會活動家羅納·威爾森成為此案被告之一,而這正是源自“暗象”組織長期布局,構(gòu)陷虛假電子證據(jù)。早在2016年6月13日下午3點(diǎn)07分,羅納·威爾森收到一封來自其一位好友的電子郵件,信中提醒威爾森下載查看附件中的文檔。事實(shí)上這是黑客竊取這位好友的郵箱賬號后發(fā)送的木馬文件,攻擊者不僅從威爾森的電腦中進(jìn)行一系列竊密操作,并且能夠通過NetWire木馬遠(yuǎn)程控制其電腦系統(tǒng)。
2018年4月17日早上6點(diǎn),印度馬哈拉施特拉邦的浦那區(qū)警方聲稱得到線人密報(bào),前往突襲了威爾森位于新德里的住宅,并在威爾森使用的U盤和電腦硬盤中查獲了一些足以論罪的“數(shù)字證據(jù)”。
在安天監(jiān)測到的大多攻擊案例中,攻擊者都喜好使用谷歌和雅虎郵箱偽裝成收信人的好友或社會知名人士、知名機(jī)構(gòu),誘導(dǎo)內(nèi)容緊隨時事熱點(diǎn),或以刊物訂閱的形式,或與對方的工作方向密切相關(guān)。李柏松說:“攻擊者重點(diǎn)目標(biāo)為印度本土活動的社會活動家、社會團(tuán)體以及印共等黨派的活躍人士,對于特別重要的個人目標(biāo)實(shí)施長達(dá)多年跨越多種系統(tǒng)平臺的監(jiān)控活動。不僅持續(xù)獲取個人隱私和文件信息,而且通過這些被攻擊設(shè)備存儲發(fā)送違法信息,來制造假案,構(gòu)陷相關(guān)人員。對于印度境外的別國軍事政治目標(biāo),攻擊者主要以長期潛伏、持續(xù)竊密為主要目的。”
此外,該組織也將目標(biāo)對準(zhǔn)了我國軍事政治目標(biāo)。根據(jù)介紹,2020年10月13日,國內(nèi)某重要單位信箱收到一份可疑的電子郵件,發(fā)件人使用Gmail郵箱,郵件主題為“關(guān)于丟失帶有敏感文件的外交包的信”,并在正文中提供了一條可供下載可疑文件的網(wǎng)盤鏈接。當(dāng)自解壓誘餌被執(zhí)行后,四個木馬程序開始運(yùn)行,李柏松解釋,“這種ParallaxRAT遠(yuǎn)控木馬屬于公開的商業(yè)遠(yuǎn)控,具備文件管理、擊鍵記錄、遠(yuǎn)程桌面、密碼竊取、命令執(zhí)行、進(jìn)程管理、上傳和執(zhí)行等能力,功能運(yùn)行都成熟穩(wěn)定,足以支持常規(guī)的竊密操作。”
據(jù)《環(huán)球時報(bào)》了解,安天對來自疑似印度的網(wǎng)絡(luò)攻擊的捕獲分析始于2013年,先后捕獲、分析、命名并曝光了“白象”“幼象”“苦象”等攻擊組織。李柏松表示:“在過去近10年的攻擊中,印度的網(wǎng)絡(luò)攻擊重心逐漸從巴基斯坦轉(zhuǎn)移到中國。而通過對‘暗象’攻擊組織的活動監(jiān)測,我們可以看到印度相關(guān)機(jī)構(gòu)不僅極為頻繁地對周邊國家實(shí)施網(wǎng)絡(luò)攻擊,同時也將網(wǎng)絡(luò)攻擊手段廣泛用于國內(nèi)社會管控,甚至用來構(gòu)陷其國內(nèi)社會活動人士,行動隱蔽能力較強(qiáng),值得關(guān)注與警惕。”
關(guān)鍵詞:
