國(guo)(guo)家互聯網應急中心（CNCERT）監測發現，近年來，美國(guo)(guo)情(qing)報機構將(jiang)網絡(luo)攻(gong)(gong)擊竊(qie)密的(de)重點(dian)目標瞄準我(wo)(wo)高科技軍(jun)(jun)工(gong)類的(de)高校、科研院所(suo)及企(qi)業(ye)，試圖竊(qie)取(qu)我(wo)(wo)軍(jun)(jun)事領域(yu)相關的(de)科研數(shu)據或設計、研發、制造(zao)等環節的(de)核心生產(chan)數(shu)據等敏感信息，目標更(geng)有針對性、手法更(geng)加隱(yin)蔽，嚴重威脅我(wo)(wo)國(guo)(guo)防軍(jun)(jun)工(gong)領域(yu)的(de)科研生產(chan)安全甚至(zhi)國(guo)(guo)家安全。自2022年西北工(gong)業(ye)大學遭受美國(guo)(guo)NSA網絡(luo)攻(gong)(gong)擊被曝光(guang)后，美情(qing)報機構頻繁猖獗對我(wo)(wo)國(guo)(guo)防軍(jun)(jun)工(gong)領域(yu)實施網絡(luo)竊(qie)密攻(gong)(gong)擊。在此，選取(qu)2起典型事件予以公布，為重要行業(ye)領域(yu)提供安全預警(jing)。

一、利用微軟Exchange郵件系統(tong)零(ling)日漏洞實(shi)施攻擊

2022年7月(yue)至2023年7月(yue)，美情報機構利用微(wei)軟(ruan)Exchange郵件系統零日(ri)漏洞(dong)，對(dui)我一家大型重(zhong)要軍工企(qi)(qi)業的(de)郵件服務(wu)器(qi)攻(gong)擊并控(kong)制(zhi)將近1年。經調查，攻(gong)擊者控(kong)制(zhi)了(le)該企(qi)(qi)業的(de)域控(kong)服務(wu)器(qi)，以域控(kong)服務(wu)器(qi)為跳板，控(kong)制(zhi)了(le)內網中(zhong)(zhong)50余臺重(zhong)要設備，并在企(qi)(qi)業的(de)某對(dui)外工作(zuo)專用服務(wu)器(qi)中(zhong)(zhong)植入了(le)建(jian)立websocket+SSH隧(sui)道的(de)攻(gong)擊竊密(mi)武器(qi)，意(yi)圖實現(xian)持久控(kong)制(zhi)。同時，攻(gong)擊者在該企(qi)(qi)業網絡中(zhong)(zhong)構建(jian)了(le)多(duo)條隱(yin)蔽通道進行數據(ju)竊取(qu)。

其間，攻擊者(zhe)使(shi)用位于(yu)德國（159.69.*.*）、芬蘭（95.216.*.*）、韓國（158.247.*.*）和新加(jia)坡（139.180.*.*）等多個國家跳板IP，發起40余次網(wang)絡攻擊，竊取包括該企業(ye)高層在(zai)內(nei)(nei)11人的郵件，涉及我(wo)軍(jun)工(gong)類產品的相關設計方案(an)、系(xi)統核心參(can)數(shu)等內(nei)(nei)容。攻擊者(zhe)在(zai)該企業(ye)設備中(zhong)植入的攻擊武(wu)器，通(tong)過混(hun)淆來(lai)逃避安全軟件的監測，通(tong)過多層流(liu)(liu)量(liang)轉發達到攻擊內(nei)(nei)網(wang)重要設備目的，通(tong)過通(tong)用加(jia)密(mi)方式抹去了惡(e)意通(tong)信流(liu)(liu)量(liang)特征。

二、利用電子文(wen)件(jian)系統(tong)漏(lou)洞實(shi)施(shi)攻(gong)擊

2024年7月至11月，美情報機構(gou)對我(wo)某通(tong)(tong)(tong)信和(he)衛(wei)星(xing)互聯網(wang)領域的(de)軍工企(qi)(qi)業(ye)(ye)(ye)實施網(wang)絡攻(gong)擊。經調查，攻(gong)擊者先是(shi)通(tong)(tong)(tong)過位(wei)于羅(luo)馬(ma)尼亞(ya)（72.5.*.*）、荷(he)蘭（167.172.*.*）等多個國家的(de)跳板IP，利(li)用(yong)未授權訪(fang)問(wen)漏洞及SQL注入漏洞攻(gong)擊該企(qi)(qi)業(ye)(ye)(ye)電子文件(jian)系統，向(xiang)該企(qi)(qi)業(ye)(ye)(ye)電子文件(jian)服務(wu)(wu)器植入內存后(hou)門程序并(bing)進一步上傳木馬(ma)，在木馬(ma)攜帶的(de)惡意載(zai)(zai)荷(he)解碼后(hou)，將(jiang)惡意載(zai)(zai)荷(he)添加(jia)至Tomcat（美國Apache基(ji)金會支持的(de)開(kai)源代(dai)碼Web應用(yong)服務(wu)(wu)器項目）服務(wu)(wu)的(de)過濾器，通(tong)(tong)(tong)過檢測流量中的(de)惡意請求，實現與后(hou)門的(de)通(tong)(tong)(tong)信。隨后(hou)，攻(gong)擊者又利(li)用(yong)該企(qi)(qi)業(ye)(ye)(ye)系統軟件(jian)升(sheng)級服務(wu)(wu)，向(xiang)該企(qi)(qi)業(ye)(ye)(ye)內網(wang)定(ding)向(xiang)投遞(di)竊密木馬(ma)，入侵控制了300余臺設備，并(bing)搜索“軍專網(wang)”、“核心(xin)網(wang)”等關(guan)鍵詞(ci)定(ding)向(xiang)竊取被控主機上的(de)敏感數(shu)據(ju)。

上述案例中，攻(gong)擊者利用關鍵詞檢(jian)索(suo)國防(fang)軍(jun)工領(ling)域敏感(gan)內容信息，明顯(xian)屬(shu)于國家級黑(hei)客組織關注(zhu)范圍，并帶有(you)強烈的戰略(lve)意(yi)圖。此外，攻(gong)擊者使用多個(ge)境外跳板IP實施網絡(luo)攻(gong)擊，采取主動刪除日(ri)志(zhi)、木馬，主動檢(jian)測機器狀態等手段，意(yi)圖掩蓋其攻(gong)擊身(shen)份(fen)及真實的攻(gong)擊意(yi)圖，反映出很強的網絡(luo)攻(gong)擊能力和專業的隱蔽意(yi)識(shi)。

據統(tong)計，僅(jin)2024年境外國家級APT組(zu)織(zhi)(zhi)對(dui)(dui)我重(zhong)(zhong)要單位的網絡攻(gong)(gong)(gong)擊(ji)(ji)事件就超過(guo)600起，其中國防軍(jun)工領域是(shi)受攻(gong)(gong)(gong)擊(ji)(ji)的首要目標。尤(you)其是(shi)以美(mei)國情(qing)報機構為背景的黑客組(zu)織(zhi)(zhi)依托成建制的網絡攻(gong)(gong)(gong)擊(ji)(ji)團(tuan)隊、龐大的支撐工程體系與制式化的攻(gong)(gong)(gong)擊(ji)(ji)裝備(bei)庫、強大的漏洞分析挖掘能力，對(dui)(dui)我國關鍵信(xin)息(xi)(xi)基礎設(she)施、重(zhong)(zhong)要信(xin)息(xi)(xi)系統(tong)、關鍵人員等進行攻(gong)(gong)(gong)擊(ji)(ji)滲透，嚴重(zhong)(zhong)威(wei)脅我國家網絡安全。