【专家视点】29个海外黑客组织被曝光 我国科研机构成攻击首要目标

日前，国内网络安全机构360天眼实验室发布《2015年中国高级持续性威胁（APT）研究报告》，报告显示，中国作为高级持续性威胁（APT）攻击主要受害国，仅2015就已发现29个针对中国境内机构进行APT攻击的黑客组织。
　　高级持续性威胁(Advanced Persistent Threat，APT)，简称 APT，是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，主要针对特定对象，长期、有计划性和组织性地窃取数据，是发生在数字空间的偷窃资料、搜集情报行为。
　　教育科研与政府机构为主要遭攻击领域
　　报告显示，仅2015就已发现29个针对中国境内机构进行APT攻击的黑客组织。这些APT组织长时间潜伏，有的活动最长持续8年之久。我国教育科研、政府机构是APT攻击主要针对的领域。其他受到攻击的行业还包括能源、军事、工业与商业等。仅仅在过去的12个月中，这些APT组织发动的攻击行动，至少影响了中国境内超过万台电脑，攻击范围遍布国内31个省级行政区。
　　报告表明，国内多个省市受到不同程度的影响，其中北京、广东是重灾区。国内受影响量排名前五的省市是：北京、广东、浙江、江苏、福建等沿海相关省市。受影响量排名最后的五个省市是：西藏、青海、宁夏、新疆、贵州。
　　报告特别指出，科研与教育机构已成为2015年APT攻击首要目标，本次监测到的几乎所有境外APT组织都将中国的政府机构列入自己的战略攻击目标。
　　国内机构防御相对薄弱
　　报告显示，针对中国的APT攻击主要由低成本的攻击组成，但由于相关防御薄弱导致低成本攻击频频得手。研究人员发现，针对中国的攻击中，APT组织更多选择1day或Nday等已知漏洞，这说明相关机构对曝出的漏洞并未及时修补，安全意识较差。此外，邮件攻击是APT攻击中使用最为频繁的攻击载体。针对中国的鱼叉邮件攻击主要是携带可执行程序，这也从侧面反应出中国相关机构的安全防御措施、以及人员的安全意识比较欠缺。
　　大量敏感数据被窃取
　　报告认为，APT组织从中国科研、政府机构等领域窃取了大量敏感数据，对国家安全已造成严重的危害。其中名为APT-C-05的组织是一个针对中国攻击的境外APT组织，也是至今捕获到针对中国攻击持续时间最长的组织。APT组织窃取的具体数据内容有很大差异，但均涉及中国科研、政府等领域的敏感数据，其中窃取的敏感数据中以具备文件实体形态的文档数据为主，进一步会包括账号密码、截图等。窃取的敏感数据主要以文档为主，APT组织更关注WPS Office相关文档。WPS Office办公软件的用户一般分布在国内政府机构或事业单位。

报告还指出，十三五规划、一带一路、军工制造等内容是已成为APT组织关注的重点领域。在2015年11月、12月期间，研究人员已捕获到针对相关目标的攻击行动，相关攻击行动主要以“一带一路”、“21世纪海上丝绸之路”等诱饵信息攻击相关领域的目标群体。