
旋转设备
PG电子官方网站 | 博客见解
2025-08-04
【导语】国家互联网应急中心(CNCERT)最新披露,自2022年西北工业大学遭美国NSA网络攻击曝光后,美情报机构频繁针对我国国防军工领域实施网络窃密攻击。重点目标为我国高科技军工类高校、科研院所及企业,手法隐蔽且针对性强。近期两起典型事件显示,美情报机构利用微软Exchange邮件系统零日漏洞和电子文件系统漏洞,对我国重要军工企业的邮件服(fú)务(wu)器(qì)和(hé)电(diàn)子(zi)文件(jiàn)服(fú)务(wu)器(qì)发(fā)起(qǐ)攻(gōng)击(jī),窃(qiè)取(qǔ)包(bāo)括(kuò)设(shè)计(jì)方(fāng)案(àn)、系(xì)统(tǒng)核(hé)心(xīn)参(cān)数(shù)等(děng)敏(mǐn)感(gǎn)信(xìn)息(xi)。据(jù)CNCERT统(tǒng)计(jì),2024年(nián)境(jìng)外(wài)国(guó)家(jiā)级(jí)APT组(zǔ)织(zhī)对(duì)我(wǒ)国(guó)重(zhòng)要(yào)单(dān)位(wèi)的(de)网(wǎng)络(luò)攻击事件超600起,其中国防军工领域成为首要目标,严重威胁我国网络安全。

国家互联网应急中心(CNCERT)今日披露,自 2022 年西北工业大学遭受美国 NSA网络攻击被曝光后,美情报机构频繁猖獗对我国防军工领域实施网络窃密攻击。
重点瞄准我国高科技军工类的高校、科研院所及企业,试图窃取军事领域的科研数据或设计、研发、制造等环节的核心生产数据等敏感信息,目标更有针对性、手法更加隐蔽。
本次披露的 2 起典型事件如下:
一、利用微软Exchange 邮件系统零日漏洞实施攻击:
2022 年 7 月至 2023 年 7 月,美情报机构利用微软 Exchange 邮件系统零日漏洞,对我一家大(dà)型(xíng)重(zhòng)要(yào)军工企业的邮件服务器攻击并控制将近 1 年。
经调查,攻击者控制了该企业的域控服务器,以域控服务器为跳板,控制了内网中 50 余台重要设备,并在企业的某对外工作专用服务器中植入了建立 websocket+SSH 隧道的攻击窃密武器,意图实现持久控制。同时,攻击者在该企业网络中构建了多条隐蔽通道进行数据窃取。
期间,攻击者使用位于德国(159.69.*.*)、芬兰(95.216.*.*)、韩国(158.247.*.*)和新加坡(139.180.*.*)等多个国家跳板IP,发起 40 余次网络攻击,窃取包括该企业高层在内 11 人的邮件,涉及我军工类产品的相关设计方案、系统核心参数等内容。
攻击者在该企业设备中植(zhí)入(rù)的(de)攻(gōng)击(jī)武(wǔ)器(qì),通(tōng)过(guò)混(hùn)淆(xiáo)来(lái)逃(táo)避(bì)安(ān)全软(ruǎn)件(jiàn)的(de)监(jiān)测(cè),通(tōng)过(guò)多(duō)层(céng)流(liú)量(liàng)转(zhuǎn)发(fā)达(dá)到(dào)攻(gōng)击(jī)内(nèi)网(wǎng)重(zhòng)要(yào)设(shè)备(bèi)目(mù)的(de),通(tōng)过(guò)通(tōng)用(yòng)加(jiā)密(mì)方(fāng)式(shì)抹(mǒ)去(qù)了(le)恶(è)意(yì)通(tōng)信(xìn)流量特征。
二、利用电子文件系统漏洞实施攻击:
2024 年 7 月至 11 月,美情报机构对我国某通信和卫星互联网领域的军工企业实施网络攻击。经调查,攻击者先是通过位(wèi)于(yú)罗(luō)马(mǎ)尼(ní)亚(72.5.*.*)、荷兰(167.172.*.*)等多个国家的跳板 IP,利用未授权访问漏洞及 SQL 注入漏洞攻击该企业电子文件系统,向该企业电子文件服务器植入内存后门程序并进一步上传木马,在木马携带的恶意载荷解码后,将恶意载荷添加至 Tomcat(美国 Apache 基金会支持的开源代码 Web 应用服务器项目)服务的过滤器,通过检测流量中的恶意请求,实现与后门的通信。
随后,攻击者又利用该企业系统软件升级服务,向该企业内网定向投递窃密木马,入侵控制了 300 余台设备,并搜索“军专网”、“核心网”等关键词定向窃取被控主机(jī)上(shàng)的(de)敏(mǐn)感(gǎn)数(shù)据(jù)。
在(zài)上(shàng)述(shù)案(àn)例(lì)中(zhōng),攻(gōng)击(jī)者(zhě)利(lì)用(yòng)关键词检(jiǎn)索(suǒ)国(guó)防(fáng)军(jūn)工(gōng)领(lǐng)域敏(mǐn)感(gǎn)内(nèi)容(róng)信(xìn)息(xi),明(míng)显(xiǎn)属(shǔ)于(yú)国(guó)家(jiā)级(jí)黑(hēi)客(kè)组(zǔ)织(zhī)关注(zhù)范(fàn)围(wéi),并(bìng)带(dài)有(yǒu)强(qiáng)烈(liè)的(de)战(zhàn)略(è)意(yì)图(tú)。
另(lìng)外(wài),攻击者还意图掩盖其攻击身份和真实的攻击意图,例如:使用多个境外跳板 IP 实施网络攻击,采取主动删除日志、木马,主动检测机器状态等手段。意图掩盖其身份和攻击意图,反映出很强的网络攻击能力和专业的隐蔽知识。
据国家互联网应急中心统计,2024 年境外国家级APT(IT之家注:高级持续性威胁)组织对我国重要单位的网络攻击事件就超过 600 起,其中国防军工领域是受攻击的首要目标。对我国关键信息基础设施、重要信息系统、关键人员等进行攻击渗透,严重威胁我国的网络安全。