印一黑客組織對我攻擊長達(dá)十年

郭媛丹

中國網(wǎng)絡(luò)安全企業(yè)安天科技集團(tuán)16日向《環(huán)球時(shí)報(bào)》記者獨(dú)家披露最新發(fā)現(xiàn)稱，來自印度的一個(gè)定向威脅攻擊(APT攻擊）組織針對印度境內(nèi)，以及包括中國在內(nèi)的周邊目標(biāo)，發(fā)動(dòng)了長達(dá)十年的網(wǎng)絡(luò)攻擊活動(dòng)。

安天將該組織命名為“暗象”，其主要針對目標(biāo)為印度境內(nèi)的社會(huì)活動(dòng)人士、社會(huì)團(tuán)體和在野政黨等，同時(shí)也會(huì)竊取印度周邊國家（如中國和巴基斯坦等）軍事政治目標(biāo)的重要情報(bào)。安天借鑒國際其他安全團(tuán)隊(duì)研究成果，并補(bǔ)充暗象組織針對我國重要單位的網(wǎng)絡(luò)攻擊活動(dòng)分析成果后，通過溯源分析鎖定該組織背后的運(yùn)營人員可能位于東5.5時(shí)區(qū)（印度國家標(biāo)準(zhǔn)時(shí)間）。

安天科技集團(tuán)副總工程師李柏松對《環(huán)球時(shí)報(bào)》記者介紹說，暗象組織的主要攻擊手段是通過谷歌/雅虎郵箱，或者盜取的郵箱賬號，向目標(biāo)發(fā)送內(nèi)容極具迷惑性的魚叉式釣魚郵件，誘騙目標(biāo)運(yùn)行其采用多種免殺技巧、包含成熟商用遠(yuǎn)控木馬載荷的誘餌文件?！坝捎谠摻M織通過網(wǎng)絡(luò)攻擊手段，構(gòu)陷印度國內(nèi)社會(huì)活動(dòng)人士，手段極其暗黑，是比馬?科雷岡案件中誣陷社會(huì)運(yùn)動(dòng)人士的執(zhí)行者，再結(jié)合其組織層面的行動(dòng)隱蔽，暗藏十年有逾而鮮有曝光的情況，因此被命名為‘暗象?！?/p>

2018年1月，比馬?科雷岡發(fā)生種姓暴力。印度知名社會(huì)活動(dòng)家羅納?威爾森成為此案被告之一，而這正是源于暗象組織的長期布局，構(gòu)陷虛假電子證據(jù)。2016年6月13日，羅納?威爾森收到一封來自好友的電子郵件,要他下載查看附件中的文檔。事實(shí)上，這是黑客竊取其好友郵箱賬號后發(fā)送的木馬文件。攻擊者不僅能在威爾森的電腦中進(jìn)行一系列竊密操作，且能通過NetWire木馬遠(yuǎn)程控制其電腦系統(tǒng)。2018年4月17日，印度警方聲稱通過線人密報(bào)突襲了威爾森位于新德里的住宅，并在他使用的U盤和電腦硬盤中查獲一些足以論罪的“數(shù)字證據(jù)”。

安天注意到,在該公司監(jiān)測的大多數(shù)案例中，攻擊者都喜好偽裝成收信人的好友或社會(huì)知名人士、知名機(jī)構(gòu)，而誘導(dǎo)內(nèi)容或緊隨時(shí)事熱點(diǎn)或與對方的工作方向密切相關(guān)。李柏松說：“攻擊者通過滲透入侵個(gè)人信箱和設(shè)備，不僅持續(xù)獲取個(gè)人隱私和文件信息，還通過這些被攻擊設(shè)備存儲(chǔ)發(fā)送“違法信息”，來制造假案，構(gòu)陷相關(guān)人員。而對于印度境外的別國軍事政治目標(biāo)，攻擊者主要是以長期潛伏、持續(xù)竊密為主要目的?！?/p>

據(jù)介紹，該組織也將目標(biāo)對準(zhǔn)我國軍事政治目標(biāo)。2020年10月13日，國內(nèi)某重要單位信箱收到一封可疑電子郵件，麥件人使用Gmail郵箱發(fā)送主題為“關(guān)于丟失帶有敏感文件的外交包的信“的郵件，并在正文提供一條可供下載可疑文件的網(wǎng)盤鏈接。當(dāng)自解壓誘餌被執(zhí)行后，四個(gè)木馬程序開始運(yùn)行，李柏松解釋道：“這種ParallaxRAT遠(yuǎn)控木馬，屬于公開的商業(yè)遠(yuǎn)控，具備文件管理、擊鍵記錄、密碼竊取等多種能力，功能運(yùn)行都成熟穩(wěn)定，足以支持常規(guī)的竊密操作。”

安天壽來自疑似印度的網(wǎng)絡(luò)攻擊的捕獲分析始于2013年。李柏松表示：“在過去近10年的攻擊中，印度的網(wǎng)絡(luò)攻擊重心逐漸從巴基斯坦轉(zhuǎn)移到中國。通過暗象組織的活動(dòng)，可以看到印度相關(guān)機(jī)構(gòu)不僅極為頻繁對周邊國家實(shí)施網(wǎng)絡(luò)攻擊，同時(shí)也將網(wǎng)絡(luò)攻擊手段廣泛用于國內(nèi)社會(huì)治理，相關(guān)組織行動(dòng)隱蔽能力較強(qiáng)，值得關(guān)注與警惕?！薄?/p>