我的位置 新闻动态  >  国内资讯

继北京健康宝后,澳门健康码又遭境外势力攻击

来源:FreeBuf 时间:2022-09-22 阅读次数:
据《澳门日报》报道,去年 5 月初,澳门健康码连续遭受境外网络攻击,严重影响珠澳出入境秩序。司警局局长薛仲明曾在公开采访中强调,澳门每天都遭到大大小小的网络攻击,去年平均每分钟约受到 3.4 次攻击。

澳门特别行政区保安司司长黄少泽谈及调查结果时表示,对澳门健康码的持续性攻击多达 300 多万次,来自欧美地区。特区政府认为这并非普通的网络攻击,明显是想影响澳门整体社会运作,严重者可对国家安全造成致命打击。

为应对日益复杂的网络安全环境,2019 年年底,澳门特区政府出台《网络安全法》,依法对澳门关键基础设施的信息系统开展防范性的安全管理,通过维护澳门网络安全,助力筑牢国家总体安全屏障维护国安不仅是特区的宪制责任,也是包括澳门居民在内的全中国人民的法定责任, 关键基础设施与民生息息相关,以信息系统而言,一旦遭到网络攻击,所造成的后果恐难以估量。
澳门健康码并非首个被境外势力攻击的公益性设施,疫情期间,我国多个城市的健康码平台遭到网络攻击,危机公众隐私安全。

北京健康宝遭遇境外攻击

澳门健康码遭受攻击事件并非境外势力针对我国开展的首次网络攻击活动,今年上半年,北京健康宝遭遇境外网络攻击的消息一经爆出,迅速登上微博、头条热榜,引起社会广泛热议。
在北京市第 318  场新冠病毒肺炎疫情防控工作新闻发布上,北京市委宣传部对外新闻处副处长隗斌表示,4月28日 ,北京健康宝在使用高峰时段遭到了大规模网络攻击。
经过安全专家详细分析发现网络攻击源头来自境外,网络犯罪分子试图瘫痪健康宝的正常运营,好在北京健康宝保障团队进行了及时有效的应对,北京健康宝相关服务并未受到影响。
适逢疫情防控关键节点,北京健康宝攻击事件引起了国内高度重视。事件发生不久后,北京某安全团队发布了一份详细的安全报告,详细披露了北京健康宝遭遇网络攻击的相关技术细节。报告中指出北京健康宝事件是一起典型的分布式拒绝服务(DDoS)攻击,背后主谋是一个名为“Rippr”的团伙,在攻击期间,该组织使用了已经披露过的恶意代码家族 Fbot 的作为攻击武器。
值得一提的是,类似的网络攻击并不是第一次出现,在北京冬奥会、残奥会期间,北京健康宝就已经受到过类似的网络攻击。
北京健康宝被攻击事件之所以引起了社会广泛讨论,主要在于新冠疫情大爆发以来,统筹防控成为许多地方政府头疼的问题,健康码“横空出世”迅速成为各地方政府精准防控的法宝,大大增加了疫情溯源效率,但这也意味着,健康宝上存储公民的家庭地址、身份证件、手机号等大量个人信息,一旦泄露,难免会带来许多后续社会问题。
再加上境外攻击者如此执着在奥运会期间,针对北京健康宝发起网络攻击,不得不让人怀疑背后主使者带有强烈的政治意图。

印度也要凑热闹

健康宝、健康码并不是仅有的受害者,2020 年 2 月,国内抗击新冠疫情的关键节点,某网络安全机构发现了一起针对医疗领域的 APT 攻击活动。
经过仔细研判,安全专家发现这是一起由印度黑客组织“Patchwork”发起的一起网络攻击。Patchwork 组织经过精心策划,采用鱼叉式钓鱼攻击方式,利用肺炎疫情等相关话题作为诱饵文档,通过邮件进行投递,进而通过提示诱导受害者执行宏命令。
类似 “Patchwork” 这类 APT 黑客组织,除了发送用于传播恶意软件的诱饵文档之外,还会利用其电子邮件中的跟踪链接,以识别都有哪些收件人打开了电子邮件。
无可争议,新冠疫情带来了全球性的办公模式、社交方式的转变,高度依赖互联网的社会交流模式扩大了网络攻击面,给网络攻击者提供了许多“可乘之机。此外,部分具有国家背景的黑客组织利用疫情作为掩护,进行带有政治目的网络攻击。有证据表明,新冠疫情期间,网络钓鱼攻击和勒索攻击都成倍数激增。

西工大遭受境外势力攻击

境外势力不仅利用疫情为掩护攻击国内的医疗机构,也对我国的机密单位暴露出了巨大“野心”,西北工业大学遭受美国 NSA 攻击就是最好的例证。
西北工大学事件还要从 6 月 22 日讲起,当日该校发布声明称遭受境外网络攻击,部分学校师生收到了包含木马程序的钓鱼邮件,攻击者企图窃取相关师生邮件数据和公民个人信息,随后西安警方对该事件立案侦查。
事情爆出后,引起了国家的高度重视,国家计算机病毒应急处理中心联合国内某安全厂商组成技术团队,从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,最后判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,下文简称 TAO)。
美国国家安全局对西北工业大学开展的网络攻击活动可谓“费尽心机”,先后使用了 41 种专用网络攻击武器装备,仅后门工具“狡诈异端犯”就有 14 款不同版本,此次攻击活动中所使用的武器类别可分为四大类,包括漏洞攻击突破类武器、持久化控制类武器、嗅探窃密类武器、隐蔽消痕类武器。
NSA 企图利用众多“武器装备”窃取西北工业大学关键网设备配置、网管数据、运维数据等核心技术数据。
调查结果还显示,TAO 在针对西北工业大学的网络攻击行动中先后使用了 54 台跳板机和代理服务器,这些服务器主要分布在日本、韩国、瑞典、波兰、乌克兰等 17 个国家。值得注意的是,用以掩盖真实 IP 的跳板机应该都是精心挑选的,所有 IP 均属于非“五眼联盟”国家。
近些年,境外势力对我国“虎视眈眈”,明里暗里对我国进行网络渗透,美国是其中最活跃的“黑手”。从国家计算机网络应急技术处理协调中心(CNCERT)发布的《2020 年我国互联网网络安全态势综述》可以看出,中国所遭受的境外网络攻击活动中,大部分幕后主使都是美国。
NCERT 数据显示,2020 年约 1.9 万台位于美国的木马或僵尸网络控制服务器控制了中国境内约 446 万台主机,这两个数字较上一年分别增长了 10.2% 和 4.1%。

写在最后

无论是北京健康宝、澳门健康码,还是西北工业大学遭受网络攻击,侧面证明了境外势力对国内的网络攻击从未停止。近年来,相关数据表明境外势力对国内发动网络攻击的频率成几何式增长,攻击的行业也逐渐扩展到教育、医疗、军事、经济、国防等领域。
如何才能应对数字化时代下组织化、规模化的网络攻击?仅仅依靠简单的安全硬软件,就幻想着一劳永逸,这种想法早已落伍。现阶段,希望网络环境尽可能保持安全状态,必须政府、企业、公民相互协作,构成“三位一体式”防御体系。
网络安全体系建设并非一朝一夕,乘着网络安全建设信息化发展带来的东风,只要我们重视网络安全技术人才培养,加大投入研发网络前沿技术,建设网络安全强国不会仅仅成为一句“口号”。
 
 

原文来源:FreeBuf

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

8条评论