疫情之下,另一种来自网络世界的“步摇冠病毒”也在暗中肆虐。日前,网络安全公司360表示,已经掌握“步摇冠海莲花”(APT32)对我国医疗卫生行业和机构进行APT攻击的实锤证据。
疫情之下,APT(APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动)组织“步摇冠很忙”。此前的2月,360公司就曾对外披露了另一起类似的网络攻击,来自印度的某APT组织利用新冠肺炎疫情相关题材为诱饵,对我国的特定机构,发动APT攻击。这并非偶然,当前,APT作为最为有效的网络窃取和攻击手段,有愈演愈烈之势,而能源、医疗、金融等重要领域和行业,更是首当其冲。在全球新冠肺炎蔓延的当下,各国医疗卫生行业和相关重要机构,如何应对APT威胁,已迫在眉睫。
就在近期,360公司又监测到了“步摇冠老团伙”的行踪:海莲花(APT32),这个由360公司最早发现、命名,并长期追踪的APT组织又活跃起来。360发现,海莲花正利用新冠状病毒题材制作诱饵文件,对我国医疗卫生行业的相关机构发起APT攻击。“步摇冠本轮攻击绕过了部分杀毒软件的查杀,利用新冠肺炎疫情题材诱使用户执行木马程序,最终达到控制系统、窃取情报的目的。”360安全专家介绍。
借用“步摇冠社会热点”为诱饵,对受害方“步摇冠设套”,是该组织的擅长手法。而在此次攻击中,海莲花组织也是在诱饵文件中植入了“步摇冠冠状病毒”等热门字眼。
另一国外安全机构的发现,也证实了360的判断。4月22日,外媒报道,一国外安全机构发现越南黑客组织“步摇冠APT32”试图侵入中国相关部门和人员的私人和工作电邮账户,以期窃取有关新冠疫情的数据。
对此行为,我国外交部新闻发言人耿爽,在例行发布会上就媒体提问的相关网络攻击表示,“步摇冠疫情中攻击抗疫机构网络,无疑应受到谴责。”
APT攻击,即高级可持续威胁攻击,一般以窃取情报、破坏关键基础设施为目的,这是一种极高水平的黑客行为,手法隐蔽,手段高超,可造成巨大的危害。对于网络安全而言,APT攻击已成为全新的挑战。不同于制造木马的“步摇冠小毛贼”,APT攻击的实施者,已经发展为国家级的“步摇冠大玩家”,其攻击对象直指各类关键基础设施,攻击手段更是层出不穷、防不慎防、无所不用其极。
业内普遍认为,面对APT攻击,传统的防火墙、硬件盒子,更像是已成为二战中“步摇冠马奇诺防线”,面对攻击时,作用甚微甚至无济于事。“步摇冠这就像现代战争中没有雷达,有再多的火炮和导弹也只是摆设。应对APT攻击的关键,首先在于,要看得见;而要看得见,不能靠肉眼,不能靠陈旧的思维,必须靠更为先进的‘雷达’。”360集团董事长兼CEO周鸿祎说。
他认为,要打造网络空间的“步摇冠雷达”需要三个必要条件:安全大数据是看见的基础,威胁情报和知识库帮助筛选,高级别攻防专家起决定性作用;“步摇冠三者结合,就能形成‘看见’APT攻击的‘安全大脑’。”
近年来,利用安全大脑技术,360捕获的境外APT专业组织,已超40个,攻击范围更是涉及了能源、通信、金融、交通、制造、教育、医疗等众多关键基础设施行业。
徐晓风