知道創(chuàng)宇安全大腦長(zhǎng)期以來守護(hù)中國(guó)在線業(yè)務(wù)系統(tǒng)。監(jiān)測(cè)數(shù)據(jù)表明,美國(guó)是我國(guó)境外網(wǎng)絡(luò)攻擊的最大源頭,特別是在中國(guó)重要節(jié)假日和社會(huì)活動(dòng)期間,來自美國(guó)的攻擊活動(dòng)異常活躍,而且,美國(guó)對(duì)我國(guó)重要敏感單位進(jìn)行的APT攻擊已經(jīng)常態(tài)化。從美國(guó)7月19日發(fā)布不實(shí)文章到發(fā)稿時(shí),美國(guó)仍在對(duì)中國(guó)進(jìn)行大規(guī)模攻擊滲透。
一、近六季度,美國(guó)一直是我國(guó)境外網(wǎng)絡(luò)攻擊的最大源頭
多年來,美國(guó)一直是我國(guó)關(guān)鍵信息系統(tǒng)攻擊的最大源頭。
知道創(chuàng)宇安全大腦數(shù)據(jù)統(tǒng)計(jì)顯示,2020年至今的6個(gè)季度,在境外對(duì)中國(guó)重要敏感單位關(guān)鍵業(yè)務(wù)系統(tǒng)發(fā)起攻擊的國(guó)家中,美國(guó)占比始終位于第一。在平均每10次來自美國(guó)的網(wǎng)絡(luò)請(qǐng)求中,就有一次網(wǎng)絡(luò)攻擊行為。
2020年Q1和2020年Q2,來自美國(guó)的境外攻擊占比約54%,從2020年Q2后,開始攻擊呈上升趨勢(shì),2020年Q3,攻擊占比達(dá)到了近71%,2020年Q4攻擊占稍微下降比為56%,到2021年Q1和2021年Q2繼續(xù)呈上升趨勢(shì)。尤其是在2021年3月我國(guó)重要社會(huì)活動(dòng)期間,美國(guó)的攻擊占比達(dá)到了68%。
二、在中國(guó)重點(diǎn)節(jié)假日和社會(huì)活動(dòng)期間,來自美國(guó)的攻擊活動(dòng)異常活躍
美國(guó)從未停止對(duì)我國(guó)展開網(wǎng)絡(luò)攻擊,尤其在國(guó)內(nèi)舉辦重大節(jié)假日和社會(huì)活動(dòng)期間,網(wǎng)絡(luò)攻擊更加活躍。在2021年3月我國(guó)重大會(huì)議舉辦期間以及7月我國(guó)重大社會(huì)活動(dòng)期間,來自美國(guó)的網(wǎng)絡(luò)攻擊數(shù)據(jù)也更加印證了這一趨勢(shì)。
1.2021年3月我國(guó)重大會(huì)議舉辦期間(3月1日-3月15日),來自美國(guó)的攻擊趨勢(shì)圖如下:
從上面攻擊趨勢(shì)圖可以看出,美國(guó)在我國(guó)重大會(huì)議開始前便開始對(duì)我國(guó)關(guān)基設(shè)施和重點(diǎn)單位業(yè)務(wù)系統(tǒng)發(fā)起攻擊,到重大會(huì)議開幕當(dāng)天,攻擊量更是到達(dá)峰值。經(jīng)統(tǒng)計(jì),我國(guó)重大會(huì)議舉辦期間,美國(guó)對(duì)我國(guó)關(guān)鍵信息系統(tǒng)發(fā)起攻擊58,166,867次,單日最高峰值達(dá)到5,630,084次。
2.2021年7月我國(guó)重大社會(huì)活動(dòng)期間(6月26日-7月7日),來自美國(guó)的攻擊趨勢(shì)圖如下:
在這期間,美國(guó)對(duì)我國(guó)關(guān)鍵信息系統(tǒng)累積發(fā)起攻擊164,579,211次。單日最高峰值達(dá)到28,976,025次。
從重大活動(dòng)、節(jié)假日期間的攻擊量上可以直觀地看出,美國(guó)對(duì)中國(guó)的攻擊是有目的、有針對(duì)性的。從攻擊類型分布看,也更加印證了這一點(diǎn)。
從兩次重大社會(huì)活動(dòng)美國(guó)對(duì)我國(guó)的攻擊數(shù)據(jù)來看,攻擊類型占比中網(wǎng)站后門攻擊的占比達(dá)到了30%。與其他攻擊類型相比,網(wǎng)站后門的危害最大,通過在業(yè)務(wù)系統(tǒng)中植入后門,以達(dá)到長(zhǎng)期控制的目的。可見,美國(guó)對(duì)中國(guó)的關(guān)鍵信息系統(tǒng)攻擊活動(dòng)極具威脅性。
三、美國(guó)對(duì)我國(guó)重要敏感單位進(jìn)行APT攻擊已經(jīng)常態(tài)化
除中國(guó)的重大活動(dòng)及節(jié)假日期間,美國(guó)對(duì)中國(guó)發(fā)起的網(wǎng)絡(luò)攻擊明顯活躍外,美國(guó)還長(zhǎng)期對(duì)中國(guó)的重要敏感單位進(jìn)行APT攻擊。
案例1:洋蔥路由隱秘攻擊
疑似黑客或黑客組織通過國(guó)外大學(xué)或研究機(jī)構(gòu)的洋蔥路由對(duì)國(guó)內(nèi)業(yè)務(wù)系統(tǒng)進(jìn)行攻擊,包括超過47個(gè)重要敏感單位的信息系統(tǒng)及新聞網(wǎng)站。
IP:158.***.***.242為美國(guó)某大學(xué)所有。并且,這是一個(gè)洋蔥路由,對(duì)應(yīng)域名為:tor-xxx.xxx.*****.edu。
訪問洋蔥路由:
案例2:定向持續(xù)性惡意蠕蟲分發(fā)
知道創(chuàng)宇安全大腦捕獲到來自美國(guó)的持續(xù)性蠕蟲攻擊。
經(jīng)過對(duì)攻擊樣本的Payload進(jìn)行分析后發(fā)現(xiàn),該P(yáng)ayload的主要功能是遍歷SQLServer數(shù)據(jù)庫中表,然后植入第三方廣告。這類攻擊手法,在國(guó)內(nèi)非常少見。通過搜索引擎可以發(fā)現(xiàn),大量業(yè)務(wù)系統(tǒng)或網(wǎng)站已經(jīng)被植入廣告。據(jù)統(tǒng)計(jì),超過230個(gè)的網(wǎng)站或業(yè)務(wù)系統(tǒng)已經(jīng)被植入相關(guān)蠕蟲病毒,并持續(xù)感染中。
例如:某信息港業(yè)務(wù)系統(tǒng)(www.hxxxrk.cn/detail.aspx?id=33&type=gonggao)
四、從美國(guó)發(fā)布不實(shí)文章到目前,仍在對(duì)中國(guó)進(jìn)行大規(guī)模攻擊滲透
知道創(chuàng)宇安全大腦實(shí)時(shí)監(jiān)測(cè)統(tǒng)計(jì)數(shù)據(jù),從2021年7月19日11:00美國(guó)發(fā)布不實(shí)文章到2021年7月24日00:00,美國(guó)仍在對(duì)中國(guó)發(fā)起大量的網(wǎng)絡(luò)攻擊,對(duì)中國(guó)關(guān)鍵信息系統(tǒng)發(fā)起的攻擊量達(dá)到 38,415,677次,攻擊占比達(dá)到56.28%,攻擊的業(yè)務(wù)系統(tǒng)數(shù)量達(dá)到487,324個(gè),其中,來自美國(guó)的80682個(gè)IP對(duì)我國(guó)的261738個(gè)業(yè)務(wù)系統(tǒng)發(fā)起了網(wǎng)站后門攻擊,試圖控制這些業(yè)務(wù)系統(tǒng),包含超過16000個(gè)涉及我國(guó)國(guó)計(jì)民生的關(guān)鍵信息系統(tǒng)。
