日前,360天眼实验室发布了《2015年中国高级持续性威胁(APT)研究报告》。报告显示,中国作为高级持续性威胁(APT)攻击的主要受害国,仅2015就已发现29个针对中国境内机构进行APT攻击的黑客组织。这些APT组织长时间潜伏,有的网络间谍活动最长持续8年之久。黑客组织从中国科研、政府机构等领域窃取了大量敏感数据,对国家安全已造成严重的危害。其中,中国的教育科研、政府机构、能源、军事等行业是遭受攻击的重灾区。
教育科研与政府机构是主要遭攻击领域。国内多个省市受到不同程度的影响,其中北京、广东是重灾区。国内受影响量排名前五的省市是:北京、广东、浙江、江苏、福建等沿海相关省市。受影响量排名最后的五个省市是:西藏、青海、宁夏、新疆、贵州。
🌟 攻击持续时间长,最长可达8年
攻击者长期持续对特定目标进行精准的打击。在这29个APT组织中,针对中国境内目标的攻击最早可以追溯到2007年,该组织主要针对中国政府、军事、科技和教育等重点单位和部门,相关攻击行动最早可追溯到2007,至今还非常活跃。也就是从2007年开始进行了持续8年的网络间谍活动。最近三个月(2015年9月以后)内仍然处于活跃状态的APT组织至少有9个。
🌟 我国相关机构防御薄弱 低成本攻击频频得手
针对中国的APT攻击主要由低成本的攻击组成,但由于相关防御薄弱导致低成本攻击频频得手。研究人员发现,针对中国的攻击中,APT组织更多选择1day或Nday等已知漏洞,这说明相关机构对曝出的漏洞并未及时修补,安全意识较差。此外,邮件攻击是APT攻击中使用最为频繁的攻击载体。针对中国的鱼叉邮件攻击主要是携带可执行程序,这也从侧面反应出中国相关机构的安全防御措施、以及人员的安全意识比较欠缺。
💫 大量敏感数据被窃取,国家安全遭受严重危害
APT组织从中国科研、政府机构等领域窃取了大量敏感数据,对国家安全已造成严重的危害。其中名为APT-C-05的组织是一个针对中国攻击的境外APT组织,也是至今捕获到针对中国攻击持续时间最长的组织。APT组织窃取的具体数据内容有很大差异,但均涉及中国科研、政府等领域的敏感数据,其中窃取的敏感数据中以具备文件实体形态的文档数据为主,进一步会包括账号密码、截图等。窃取的敏感数据主要以文档为主,APT组织更关注WPS Office相关文档。
💫攻击紧密围绕政济、科技、军工等热点领域
十三五规划、一带一路、军工制造等内容是APT组织关注的重点领域。国民经济和社会发展第十三个五年规划纲要(2016-2020年,简称“十三五”规划)是2016年-2020年中国经济社会发展的宏伟蓝图。稳步推进“一带一路”建设合作是中国“十三五”规划的重要内容。在2015年11月、12月期间,研究人员已捕获到针对相关目标的攻击行动,相关攻击行动主要以“一带一路”、“21世纪海上丝绸之路”等诱饵信息攻击相关领域的目标群体。
