原標(biāo)題：境外黑客組織“海蓮花”攻擊中國(guó)被曝光

　　新華網(wǎng)北京５月２９日電　中國(guó)網(wǎng)絡(luò)安全公司３６０旗下“天眼實(shí)驗(yàn)室”２９日發(fā)布報(bào)告,，披露一起針對(duì)中國(guó)的國(guó)家級(jí)黑客攻擊細(xì)節(jié),。

　　報(bào)告說(shuō)，境外黑客組織名為“海蓮花（ＯｃｅａｎＬｏｔｕｓ）”,，自２０１２年４月起針對(duì)中國(guó)海事機(jī)構(gòu),、海域建設(shè)部門(mén)、科研院所和航運(yùn)企業(yè)展開(kāi)精密組織的網(wǎng)絡(luò)攻擊,。報(bào)告判斷,，這很明顯是一個(gè)有國(guó)外政府支持的ＡＰＴ（高級(jí)持續(xù)性威脅）行動(dòng)。

　　報(bào)告說(shuō),，“海蓮花”使用木馬病毒攻陷,、控制政府人員、外包商,、行業(yè)專家等目標(biāo)人群的電腦,，意圖獲取受害者電腦中的機(jī)密資料,，截獲受害電腦與外界傳遞的情報(bào)，甚至操縱該電腦自動(dòng)發(fā)送相關(guān)情報(bào),，從而達(dá)到掌握中方動(dòng)向的目的,。

　　據(jù)天眼實(shí)驗(yàn)室分析，海蓮花攻擊的主要方式有“魚(yú)叉攻擊”和“水坑攻擊”,。前者最常見(jiàn)的做法是,，將木馬程序作為電子郵件的附件，并起上一個(gè)極具誘惑力的名稱,，發(fā)送給目標(biāo)電腦,，誘使受害者打開(kāi)附件，從而感染木馬,。如去年５月２２日新疆發(fā)生暴恐事件后,，５月２８日，該黑客組織曾發(fā)送名為“新疆暴恐事件最新通報(bào)”的電子郵件及附件,，引誘目標(biāo)人群“中招”,。該組織曾發(fā)送過(guò)的電郵名稱還包括“公務(wù)員工資收入改革方案”等一系列社會(huì)高度關(guān)注的熱點(diǎn)，令人防不勝防,。

　　“水坑攻擊”是指在受害者必經(jīng)之路設(shè)置了一個(gè)“水坑（陷阱）”,。常見(jiàn)的做法是，黑客分析攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律,，尋找攻擊目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站的弱點(diǎn),，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪問(wèn)該網(wǎng)站就會(huì)“中招”,。例如,，黑客曾攻陷某單位的內(nèi)網(wǎng)，將內(nèi)網(wǎng)上一個(gè)要求全體職工下載的表格偷換成木馬程序,，所有按要求下載這一表格的人都會(huì)被植入木馬程序,，向黑客發(fā)送涉密資料。

　　“海蓮花”組織在攻擊中還配合了多種“社會(huì)工程學(xué)”的手段,，以求加大攻擊效果,。比如，在進(jìn)行“魚(yú)叉攻擊”時(shí),，黑客會(huì)主要選擇周一和周五,，因?yàn)檫@兩個(gè)時(shí)間人們與外界溝通比較密切，是在網(wǎng)絡(luò)上傳遞信息的高峰期,。而“水坑攻擊”的時(shí)間則一般選在周一和周二,，因?yàn)閱挝灰话阍谶@個(gè)時(shí)候發(fā)布通知，要求職工登錄內(nèi)網(wǎng),。

　　“天眼實(shí)驗(yàn)室”表示,，其已捕獲與海蓮花組織有關(guān)的４種不同形態(tài)的特種木馬程序樣本１００余個(gè),，感染者遍布中國(guó)２９個(gè)省級(jí)行政區(qū)和境外３６個(gè)國(guó)家。其中,，中國(guó)的感染者占全球９２．３％,，而在境內(nèi)感染者中，北京地區(qū)最多,，占２２．７％,，天津次之，為１５．５％,。為隱蔽行蹤,，“海蓮花”組織還先后在至少６個(gè)國(guó)家注冊(cè)服務(wù)器域名３５個(gè)，相關(guān)服務(wù)器ＩＰ地址１９個(gè),，分布在全球１３個(gè)以上國(guó)家,。

　　“天眼實(shí)驗(yàn)室”向記者介紹，“海蓮花”的攻擊早已被他們捕捉到,，但之前只是零散發(fā)現(xiàn),，直到去年起，３６０成立“天眼實(shí)驗(yàn)室”,，在國(guó)內(nèi)首先利用大數(shù)據(jù)技術(shù)進(jìn)行未知威脅檢測(cè)，才首次發(fā)現(xiàn)這些散見(jiàn)威脅之間的聯(lián)系,。

　　如何確定這不是一起普通的商業(yè)黑客行為,，而是由某個(gè)敵對(duì)國(guó)家支持的？“天眼實(shí)驗(yàn)室”表示,，首先,，這種有組織、有計(jì)劃的長(zhǎng)期攻擊行為需要很高的投入,，不是一般商業(yè)公司能夠負(fù)擔(dān)的,；其次，“海蓮花”覬覦的資料對(duì)商業(yè)機(jī)構(gòu)沒(méi)有什么價(jià)值,。“綜合來(lái)看,，海蓮花組織的攻擊周期之長(zhǎng)（持續(xù)３年以上）、攻擊目標(biāo)之明確,、攻擊技術(shù)之復(fù)雜,、社工手段之精準(zhǔn)，都說(shuō)明該組織絕非一般的民間黑客組織,，而是具有國(guó)外政府支持的,、高度組織化、專業(yè)化的國(guó)家級(jí)黑客組織,。”

　　軍事專家宋忠平說(shuō),，中國(guó)是網(wǎng)絡(luò)攻擊的最大受害國(guó),，科研院所、高校等單位是“重災(zāi)區(qū)”,。

　　他說(shuō),，必須加強(qiáng)對(duì)涉密人員的教育，讓他們知道,，作為個(gè)別人,，他們掌握的部分信息可能并不重要，但卻是重大機(jī)密的一部分,，如果被人獲取,、整合，就可能造成重大損失,。