印一黑客組織對我攻擊長達十年

郭媛丹

中國網絡安全企業安天科技集團16日向《環球時報》記者獨家披露最新發現稱，來自印度的一個定向威脅攻擊(APT攻擊）組織針對印度境內，以及包括中國在內的周邊目標，發動了長達十年的網絡攻擊活動。

安天將該組織命名為“暗象”，其主要針對目標為印度境內的社會活動人士、社會團體和在野政黨等，同時也會竊取印度周邊國家（如中國和巴基斯坦等）軍事政治目標的重要情報。安天借鑒國際其他安全團隊研究成果，并補充暗象組織針對我國重要單位的網絡攻擊活動分析成果后，通過溯源分析鎖定該組織背后的運營人員可能位于東5.5時區（印度國家標準時間）。

安天科技集團副總工程師李柏松對《環球時報》記者介紹說，暗象組織的主要攻擊手段是通過谷歌/雅虎郵箱，或者盜取的郵箱賬號，向目標發送內容極具迷惑性的魚叉式釣魚郵件，誘騙目標運行其采用多種免殺技巧、包含成熟商用遠控木馬載荷的誘餌文件。“由于該組織通過網絡攻擊手段，構陷印度國內社會活動人士，手段極其暗黑，是比馬?科雷岡案件中誣陷社會運動人士的執行者，再結合其組織層面的行動隱蔽，暗藏十年有逾而鮮有曝光的情況，因此被命名為‘暗象。”

2018年1月，比馬?科雷岡發生種姓暴力。印度知名社會活動家羅納?威爾森成為此案被告之一，而這正是源于暗象組織的長期布局，構陷虛假電子證據。2016年6月13日，羅納?威爾森收到一封來自好友的電子郵件,要他下載查看附件中的文檔。事實上，這是黑客竊取其好友郵箱賬號后發送的木馬文件。攻擊者不僅能在威爾森的電腦中進行一系列竊密操作，且能通過NetWire木馬遠程控制其電腦系統。2018年4月17日，印度警方聲稱通過線人密報突襲了威爾森位于新德里的住宅，并在他使用的U盤和電腦硬盤中查獲一些足以論罪的“數字證據”。

安天注意到,在該公司監測的大多數案例中，攻擊者都喜好偽裝成收信人的好友或社會知名人士、知名機構，而誘導內容或緊隨時事熱點或與對方的工作方向密切相關。李柏松說：“攻擊者通過滲透入侵個人信箱和設備，不僅持續獲取個人隱私和文件信息，還通過這些被攻擊設備存儲發送“違法信息”，來制造假案，構陷相關人員。而對于印度境外的別國軍事政治目標，攻擊者主要是以長期潛伏、持續竊密為主要目的。”

據介紹，該組織也將目標對準我國軍事政治目標。2020年10月13日，國內某重要單位信箱收到一封可疑電子郵件，麥件人使用Gmail郵箱發送主題為“關于丟失帶有敏感文件的外交包的信“的郵件，并在正文提供一條可供下載可疑文件的網盤鏈接。當自解壓誘餌被執行后，四個木馬程序開始運行，李柏松解釋道：“這種ParallaxRAT遠控木馬，屬于公開的商業遠控，具備文件管理、擊鍵記錄、密碼竊取等多種能力，功能運行都成熟穩定，足以支持常規的竊密操作。”

安天壽來自疑似印度的網絡攻擊的捕獲分析始于2013年。李柏松表示：“在過去近10年的攻擊中，印度的網絡攻擊重心逐漸從巴基斯坦轉移到中國。通過暗象組織的活動，可以看到印度相關機構不僅極為頻繁對周邊國家實施網絡攻擊，同時也將網絡攻擊手段廣泛用于國內社會治理，相關組織行動隱蔽能力較強，值得關注與警惕。”▲