【橙訊】國家互聯網應急中心CNCERT於2024年發現處置一宗美情報機構對中國大型商用密碼產品提供商網絡攻擊事件。該事件調查報告今日（27日）發佈，公布網絡攻擊詳情，為全球相關國家、單位有效發現和防範美網絡攻擊行為提供借鑒。

先攻擊入侵系統漏洞 再植入特種木馬程序

報告稱，網絡攻擊流程分為兩步。首先是利用客戶關係管理系統漏洞進行攻擊入侵。在事件中，該公司使用了某客戶關係管理系統，主要用於存儲客戶關係及合同信息等。攻擊者利用該系統當時尚未曝光的漏洞進行入侵，實現任意文件上傳。入侵成功後，攻擊者為清除攻擊痕跡，刪除了部分日誌記錄。

其次是對兩個系統進行攻擊並植入特種木馬程序。攻擊者於2024年3月5日，在客戶關係管理系統植入了特種木馬程序，路徑為/crm/WxxxxApp/xxxxxx/xxx.php。攻擊者可以通過該木馬程序，執行任意的網絡攻擊命令。為防止被監測發現，木馬程序通信數據全過程加密，並進行特徵字符串編碼、加密、壓縮等一系列複雜處理。同年，5月20日，攻擊者通過橫向移動，開始攻擊該公司用於產品及項目代碼管理的系統。

報告披露了該事件的竊取大量商業秘密信息的詳情，分別竊取了客戶及合同信息及項目信息。所涉客戶包括中國政府相關部門等多個重要單位，內容則涉及合同的名稱、採購內容、金額等詳細信息。2024年3月至9月，攻擊者累計竊取客戶關係管理系統中的數據量達950MB。同年5月至7月，累計竊取代碼管理系統數據量達6.2GB。

攻擊武器與美情報機構所用有同源關係

報告發現，該事件中的攻擊武器與美情報機構前期使用的攻擊武器具有明確同源關係，並且攻擊時間主要集中在美東時間10時至20時，通常在星期一至星期五期間，美國主要節假日未出現攻擊行為。

另外，攻擊者使用的17個攻擊IP完全不重複，同時可秒級切換攻擊IP。攻擊IP位於荷蘭、德國和南韓等地，反映出其高度的反溯源意識和豐富的攻擊資源儲備。

報告披露，攻擊者使用的手法善於利用開源或通用工具偽裝躲避溯源，還善於通過刪除日誌和木馬程序，隱藏自身的攻擊行為。

報告公布部分跳板IP列表。

圖：互聯網