編者的話：“南亞地區(qū)的邪惡之花”“游蕩在喜馬拉雅山脈的幽靈戰(zhàn)象”“來自美色的誘惑”……對大多數(shù)人來說，這些神秘的代碼名稱一般出現(xiàn)在燒腦刺激的黑客電影里。然而，《環(huán)球時報》記者近日從多家中國網(wǎng)絡(luò)安全企業(yè)獲悉，這些代碼的背后揭示了一張精密、復(fù)雜的真實網(wǎng)絡(luò)：來自南亞大陸——以印度為主要代表的頂尖黑客組織，它們在國家和情報機構(gòu)的強大支持下，在過去幾年里不斷攻擊中國、尼泊爾和巴基斯坦的國防、軍事單位以及國有企業(yè)。近些年，印度軍政高層和媒體不斷炒作“中國網(wǎng)攻威脅”，每次都遭到中方駁斥。事實證明，中國才是黑客攻擊的主要受害國之一。安天科技集團、360政企安全集團和奇安信三大中國網(wǎng)絡(luò)安全企業(yè)相關(guān)人士給記者提供了大量翔實的一手資料，從中可以發(fā)現(xiàn)印度對我國重要部門頻密發(fā)動網(wǎng)絡(luò)攻擊的重要信息。相關(guān)專家也提醒，針對境外網(wǎng)絡(luò)攻擊，中國要提升自身免疫力，不管是來自印度還是美國的攻擊都需要專業(yè)的團隊分析對手，并采取相應(yīng)的反制方式。

　　不僅利用“釣魚”郵件，還擅長社會工程學(xué)手段

　　作為引領(lǐng)威脅檢測與防御能力發(fā)展的網(wǎng)絡(luò)安全國家隊，安天科技集團一直在跟蹤對我國發(fā)起的“釣魚”攻擊。安天科技副總工程師李柏松告訴《環(huán)球時報》記者，今年3月以來，安天已捕獲多起針對我國和南亞次大陸國家的“釣魚”攻擊活動。這些活動涉及網(wǎng)絡(luò)節(jié)點數(shù)目眾多，主要攻擊目標為中國、巴基斯坦、尼泊爾等國家的政府、國防軍事以及國企單位。安天科技發(fā)現(xiàn)，這一批次“釣魚”攻擊的最早時間可追溯至 2019年4月份，攻擊組織來自印度。

　　《環(huán)球時報》記者也從360政企安全集團獲悉，2020年，360監(jiān)控并捕獲到的初始攻擊載荷共有上百個。來自以印度為主要代表的南亞地區(qū)的網(wǎng)絡(luò)攻擊有活躍趨勢，從2020年下半年開始一直持續(xù)至目前，并呈大幅上升趨勢。尤其在2021年上半年的攻擊活動中，針對時事熱點的跟進頻次和細分粒度（數(shù)據(jù)庫名詞，細化程度越高，粒度級就越小；相反，細化程度越低，粒度級就越大——編者注）已明顯超過去年同期，主要針對我國和其他南亞地區(qū)國家，圍繞地緣政治相關(guān)的目標，涉及教育、政府、航空航天和國防軍工等多個領(lǐng)域。

　　從技術(shù)方面講，以印度為代表的南亞地區(qū)網(wǎng)絡(luò)攻擊組織具有明顯的特征，其主要利用“釣魚”郵件，且擅長使用社會工程學(xué)手段——通過利用受害者的本能反應(yīng)、好奇心、信任等心理進行欺騙或攻擊。據(jù)介紹，這些頂級黑客組織攻擊者將自身偽裝成目標國家的政府或軍隊人員，向?qū)Ψ洁]箱投遞掛有“釣魚”附件或嵌有“釣魚”鏈接的攻擊郵件，并誘導(dǎo)目標通過鏈接訪問攻擊者通過各種方式搭建的“釣魚”網(wǎng)站，收集受害者輸入的賬號密碼以供情報搜集或橫向攻擊所用。

　　360安全專家表示，來自印度等南亞國家的網(wǎng)絡(luò)攻擊涉及題材豐富多樣，緊跟時事熱點，且目標針對性極強，可以推斷其背后有專門針對目標國家相關(guān)領(lǐng)域時事新聞的情報分析，同時以此來指導(dǎo)其進行網(wǎng)絡(luò)攻擊活動。

　　《環(huán)球時報》記者了解到， 2021年境外針對中國的網(wǎng)絡(luò)攻擊目標不僅涉及教育、政府、航空航天和國防軍工多個領(lǐng)域，更是通過緊密圍繞政治、經(jīng)濟等熱點領(lǐng)域及事件，瞄準涉及相關(guān)時事熱點的重點機構(gòu)或個人。

　　“國家級APT”瞄準政府機構(gòu)、軍工企業(yè)、核能行業(yè)等

　　此類黑客團伙被稱為“國家級APT”（Advanced Persistent Threat，高級持續(xù)性威脅）組織。在國家背景的支持下，他們專注于針對特定目標進行長期和持續(xù)性的網(wǎng)絡(luò)攻擊，且一直處于十分活躍的狀態(tài)。

　　印度是一個可能被世界情報界忽視的有威脅的國家，甚至南亞的一些國家可能也沒有完全意識到它先進的網(wǎng)絡(luò)能力。正如一些網(wǎng)絡(luò)安全觀察人士經(jīng)常提到的，“下一場世界大戰(zhàn)將不是在地面、空中或水下進行，而是在虛擬的網(wǎng)絡(luò)空間進行”。多年來，中國一直是網(wǎng)絡(luò)攻擊的受害國，中國網(wǎng)安企業(yè)捕捉到的來自印度的加強攻擊也再次表明中國網(wǎng)絡(luò)安全形勢的嚴峻性和加快構(gòu)建網(wǎng)絡(luò)安全保障體系的緊迫性。

　　例如：2020年新冠肺炎疫情暴發(fā)初期，一個名為“APT-C-48（CNC）”的組織通過偽造體檢表格文檔對我國醫(yī)療相關(guān)行業(yè)發(fā)起攻擊；2021年4月，360捕獲到CNC組織針對我國重點單位發(fā)起的新一輪攻擊；2021年6月中旬，CNC組織在我國航天時事熱點前后，針對我國航空航天領(lǐng)域相關(guān)的重點單位突然發(fā)起集中攻擊。

　　《環(huán)球時報》記者從中國知名網(wǎng)絡(luò)安全公司奇安信旗下的高級威脅研究團隊紅雨滴獲悉，目前已知這些主要瞄準政府機構(gòu)、軍工企業(yè)、核能行業(yè)等領(lǐng)域的國家級頂級黑客團伙集中在“蔓靈花”（BITTER）、“摩訶草”（Patchwork）、“魔羅桫”（Confucius）和“肚腦蟲”（Donot）四大組織中。

　　首先說說“蔓靈花”，這是一個據(jù)稱有南亞背景的APT組織。該組織至少從2013年11月以來就開始活躍，但一直未被發(fā)現(xiàn)，直到2016年才被國外安全廠商Forcepoint首次披露。同年，奇安信威脅情報中心發(fā)現(xiàn)國內(nèi)也遭受相關(guān)攻擊，并將其命名為“蔓靈花”。自從被曝光后，該組織就修改了數(shù)據(jù)包結(jié)構(gòu)，不再以“BITTER”作為數(shù)據(jù)包的標識。

　　隨著其攻擊活動不斷被發(fā)現(xiàn)披露，“蔓靈花”組織的全貌越來越清晰。該組織具有強烈的政治背景，主要針對巴基斯坦、中國兩國，2018年也發(fā)現(xiàn)過其針對沙特阿拉伯的活動，攻擊瞄準政府部門、電力、軍工等相關(guān)單位，意圖竊取敏感資料。據(jù)了解，2019年該組織還加強了針對我國進出口行業(yè)的攻擊。

　　值得一提的是“蔓靈花”組織最常用的兩大攻擊手段：其中之一是“魚叉攻擊”（即黑客利用木馬程序作為電子郵件的附件，發(fā)送到目標電腦上，誘導(dǎo)受害者去打開附件來感染木馬），因“魚叉郵件”使用的攻擊誘餌大都根據(jù)不同攻擊對象進行定制，因而具有較強的迷惑性，而且該組織通過“魚叉郵件”投遞的誘餌類型多樣。另一種主要攻擊手段是“水坑攻擊”（即黑客攻擊者攻陷合法網(wǎng)站），在合法網(wǎng)站上托管其攻擊荷載，或者搭建偽裝為合法網(wǎng)站的惡意網(wǎng)站，誘使受害者下載。“蔓靈花”除通過“水坑網(wǎng)站”直接向目標投遞惡意軟件外，還結(jié)合社會工程學(xué)手段制作“釣魚”頁面竊取攻擊目標的郵箱賬號。紅雨滴的安全專家告訴《環(huán)球時報》記者：“有意思的是，在多份報告中均顯示，‘蔓靈花’組織跟疑似南亞某國的多個攻擊組織，包括‘摩訶草’‘魔羅桫’‘肚腦蟲’等存在著千絲萬縷的聯(lián)系。”

　　其次是“魔羅桫”，該組織的攻擊活動最早可以追溯到2013年，被首次公開披露的時間則是2016年。相關(guān)專家認為，“魔羅桫”組織疑似來自印度地區(qū)，長期以中國、巴基斯坦、尼泊爾等國家及周邊地區(qū)為主要攻擊區(qū)域，并瞄準政府機構(gòu)、軍工企業(yè)、核能行業(yè)、商貿(mào)會議、通信運營等領(lǐng)域發(fā)起攻擊。

　　再次是“摩訶草”，該組織主要針對中國、巴基斯坦等亞洲地區(qū)國家進行網(wǎng)絡(luò)間諜活動，主要攻擊領(lǐng)域為政府、軍事、科研、教育等。2020年2月，“摩訶草”便發(fā)起以“新冠疫情”為主題針對國內(nèi)的攻擊活動。該組織利用“武漢旅行信息收集申請表．xlsm”“衛(wèi)生部指令．docx”等誘餌對我國進行攻擊活動。2021年8月，“摩訶草”借助美女圖片為誘餌發(fā)起 “來自美色的誘惑”的惡意程序攻擊。

　　“摩訶草”不僅是第一個被披露利用疫情進行攻擊的APT組織，近年來還常使用攜帶有CVE-2017-0261漏洞的文檔開展攻擊活動。2021年1月，奇安信紅雨滴團隊捕獲該組織利用該漏洞針對國內(nèi)的誘餌文檔，名為“Chinese_Pakistani_fighter_planes_play_war_games.docx”。該樣本是一個以巴基斯坦空軍演習(xí)為主題的office文檔，內(nèi)部嵌入了利用CVE-2017-0261漏洞的EPS腳本，當用戶打開該文檔文件，office內(nèi)部的EPS解釋器就會執(zhí)行EPS腳本觸發(fā)漏洞執(zhí)行惡意shellcode載荷。

　　最后是“肚腦蟲”，該組織由360和奇安信威脅情報中心聯(lián)合發(fā)現(xiàn)，并在全球率先披露。2017年“肚腦蟲”攻擊活動首次被曝光，但它的攻擊活動可追溯到2016年。“肚腦蟲”組織一直處于活躍狀態(tài)，主要針對巴基斯坦、克什米爾地區(qū)、斯里蘭卡、泰國等南亞、東南亞國家和地區(qū)發(fā)起攻擊，對政府、軍隊以及商務(wù)領(lǐng)域重要人士進行網(wǎng)絡(luò)間諜活動。

　　“沒有網(wǎng)絡(luò)安全就沒有國家安全”

　　隨著中國互聯(lián)網(wǎng)行業(yè)的快速發(fā)展，網(wǎng)絡(luò)安全風(fēng)險迅速增加。多年來，中國、俄羅斯等國一直是網(wǎng)絡(luò)攻擊的主要受害者。網(wǎng)絡(luò)已成為美國及其“盟友”在信息戰(zhàn)中壓制其他國家的新武器。中國國家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示，2020年位于境外的約5.2萬個計算機惡意程序控制服務(wù)器，控制了中國境內(nèi)約531萬臺主機，就控制中國境內(nèi)主機數(shù)量來看，控制規(guī)模排名前三位的控制服務(wù)器均來自北約成員國。

　　此外，相關(guān)報道顯示，美國中央情報局的網(wǎng)絡(luò)攻擊組織APT-C-39，曾對中國航空航天科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等關(guān)鍵領(lǐng)域進行了長達11年的網(wǎng)絡(luò)滲透攻擊。

　　“這告訴中國人一個很簡單的道理：在網(wǎng)絡(luò)攻擊中，有一種東西叫作國家級的網(wǎng)絡(luò)攻擊。”復(fù)旦大學(xué)網(wǎng)絡(luò)空間國際治理研究基地主任沈逸對《環(huán)球時報》記者說，“我們在網(wǎng)絡(luò)空間開展活動，所發(fā)布、擁有的信息又是具有國家安全意義和影響的，天然就會成為國家情報機構(gòu)進行網(wǎng)絡(luò)搜集的目標。”他認為，網(wǎng)絡(luò)安全是國家安全的重要組成部分，要從國家安全領(lǐng)域理解網(wǎng)絡(luò)安全，樹立安全意識。

　　沈逸表示：“我們一開始認為我們是一個落后國家，或者說發(fā)展中國家，在網(wǎng)上好像我們的信息不值錢，沒什么值得你偷的。但我們現(xiàn)在已經(jīng)是經(jīng)濟體量全球排第二的國家，有些周邊國家把你視為對手，會發(fā)動國家級的網(wǎng)絡(luò)攻擊。印度對我們的攻擊是長期持續(xù)存在的，是網(wǎng)絡(luò)空間、國際局勢和體系復(fù)雜性的具體表現(xiàn)。”在沈逸看來，盡管中國一直試圖搞好和印度的關(guān)系，但印度一直受西方式的地緣政治思想和理念影響，在網(wǎng)絡(luò)安全上和美方開展了大量合作。

　　為應(yīng)對來自網(wǎng)絡(luò)空間的挑戰(zhàn)，中國政府推出一系列法律措施，以建立一個網(wǎng)絡(luò)安全治理系統(tǒng)。自2017年以來，中國幾乎從零開始建立起一套完善的網(wǎng)絡(luò)安全法律保障機制。沈逸還建議，中國應(yīng)從提升網(wǎng)絡(luò)安全防御能力和威懾能力兩方面來進行網(wǎng)絡(luò)安全建設(shè)。中國的網(wǎng)絡(luò)空間要有在開放環(huán)境、數(shù)據(jù)跨境流動、基本零信任條件下的有效防御能力。同時，要建立信息的通報機制，如美國經(jīng)常寫報告，把矛頭指向中國，以此制約中國的網(wǎng)絡(luò)空間國際治理，而中國也要采取相應(yīng)的反制方式。

　　中國網(wǎng)絡(luò)空間戰(zhàn)略研究所所長秦安告訴《環(huán)球時報》記者，現(xiàn)在網(wǎng)絡(luò)空間軍事化的大趨勢已形成，一些國家開始加強對外網(wǎng)絡(luò)攻擊。秦安認為，對中國來說，要提升自己的免疫力，“洪水、污水都是水，不管是來自印度還是美國的攻擊都需要專業(yè)的團隊分析對手，專門應(yīng)對”。