国家互联网应急中心(CNCERT)监测发现,近年来,美国情报机构将网络攻击窃密的重点目标瞄准我高科技军工类的高校、科研院所及企业,试图窃取我军事领域相关的科研数据或设计、研发、制造等环节的核心生产数据等敏感信息,目标更有针对性、手法更加隐蔽,严重威胁我国防军工领域的科研生产安全甚至国家安全。自2022年西北工业大学遭受美国NSA网络攻击被曝光后,美情报机构频繁猖獗对我国防军工领域实施网络窃密攻击。在此,选取2起典型事件予以公布,为重要行业领域提供安全预警。

近期,CNCERT 和安恒信息联合监测到由“黑猫”黑灰产团伙发起的针对性攻击。该团伙将包含钓鱼软件的恶意网站推送到搜索结果前列,并诱导搜索引擎错误地将部分钓鱼网站标注为“官方”,极大地增强了其欺骗性。用户在访问这些高排名或带有“官方”标签的钓鱼页面后,极有可能会下载捆绑恶意程序的安装包。一旦运行安装,该程序会在用户不知情的情况下植入远程控制木马,导致设备被攻击者控制。CNCERT已协调搜索引擎厂商对部分钓鱼网站搜索结果进行处置。

近期,CNCERT监测发现一种名为HTTPBot的DDoS僵尸网络。该僵尸网络控制者通过钓鱼等方式诱导Windows主机用户运行伪装成记事本等程序的木马文件实现劫持Windows主机的目的,通过C&C控制服务器向被劫持主机发送控制指令,对目标服务器的HTTP业务端口开展攻击。该僵尸网络控制方式、攻击模式与BlackMoon僵尸网络利用的类似,可认为是BlackMoon僵尸网络的变种。

近期,CNCERT 和安天联合监测到“游蛇”黑产团伙(又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等)组织活动频繁,攻击者采用搜索引擎 SEO 推广手段,伪造 Chrome 浏览器下载站。伪造站与正版官网高度相似,极具迷惑性。用户一旦误信并下载恶意安装包,游蛇远控木马便会植入系统。实现对目标设备的远程操控,盗取敏感数据等操作。通过跟踪监测发现其每日上线境内肉鸡数(以 IP 数计算)最多已超过 1.7 万。

国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。2024年8月起,我国某先进材料设计研究单位遭疑似美国情报机构网络攻击。经分析,攻击者利用我境内某电子文档安全管理系统漏洞,入侵该公司部署的软件升级管理服务器,通过软件升级服务向该公司的270余台主机投递控制木马,窃取该公司大量商业秘密信息和知识产权。