美國情報機關利用黑客組織攻擊，試圖竊取中國國防軍工敏感信息。

【橙訊】據中國網絡空間安全協會今日（8月1日）發文稱，國家互聯網應急中心(CNCERT)監測發現，近年來，美國情報機構將網絡攻擊竊密的重點目標瞄準中國高科技軍工類的高校、科研院所及企業，試圖竊取中國軍事領域相關的科研數據或設計、研發、製造等環節的核心生產數據等敏感信息，目標更有針對性、手法更加隱蔽，嚴重威脅中國國防軍工領域的科研生產安全甚至國家安全。

文章稱，自2022年西北工業大學遭受美國NSA網絡攻擊被曝光後，美情報機構頻繁猖獗對中國國防軍工領域實施網絡竊密攻擊。文章選取2宗典型事件予以公布，為重要行業領域提供安全預警。

利用微軟Exchange郵件系統漏洞實施攻擊

文章顯示，美情報機構常利用微軟Exchange郵件系統零日漏洞實施攻擊。2022年7月至2023年7月，他們用此手法對一家重要軍工企業的郵件服務器攻擊並控制將近1年。經調查，攻擊者控制了該企業的域控服務器，以域控服務器為跳板，控制了內網中50餘台重要設備，並在企業的某對外工作專用服務器中植入了建立websocket+SSH隧道的攻擊竊密武器，意圖實現持久控制。同時，攻擊者在該企業網絡中構建了多條隱蔽通道進行數據竊取。

期間，攻擊者使用位於德國(159.69.*.*)、芬蘭(95.216.*.*)、南韓(158.247.*.*)和新加坡(139.180.*.*)等多個國家跳板IP，發起40餘次網絡攻擊，竊取包括該企業高層在內11人的郵件，涉及中國軍工類產品的相關設計方案、系統核心參數等內容。攻擊者在該企業設備中植入的攻擊武器，通過混淆來逃避安全軟件的監測，通過多層流量轉發達到攻擊內網重要設備目的，通過通用加密方式抹去了惡意通信流量特徵。

利用電子文件系統漏洞實施攻擊

另外，美情報機構還會利用電子文件系統漏洞實施攻擊。2024年7月至11月，他們用此手法對中國某通信和衛星互聯網領域的軍工企業實施網絡攻擊。

經調查，攻擊者先是通過位於羅馬尼亞(72.5.*.*)、荷蘭(167.172.*.*)等多個國家的跳板IP，利用未授權訪問漏洞及SQL注入漏洞攻擊該企業電子文件系統，向該企業電子文件服務器植入內存後門程序並進一步上傳木馬，在木馬攜帶的惡意載荷解碼後，將惡意載荷添加至Tomcat(美國Apache基金會支持的開源代碼Web應用服務器項目)服務的過濾器，通過檢測流量中的惡意請求，實現與後門的通信。隨後，攻擊者又利用該企業系統軟件升級服務，向該企業內網定向投遞竊密木馬，入侵控制了300餘台設備，並搜索「軍專網」、「核心網」等關鍵詞定向竊取被控主機上的敏感數據。

文章表示，在這2宗典型案例中，攻擊者利用關鍵詞檢索國防軍工領域敏感內容信息，明顯屬於國家級黑客組織關注範圍，並帶有強烈的戰略意圖。攻擊者使用多種手段意圖掩蓋其攻擊身份及真實的攻擊意圖，反映出很強的網絡攻擊能力和專業的隱蔽意識。

據統計，僅2024年境外國家級APT組織對中國重要單位的網絡攻擊事件就超過600宗，其中國防軍工領域是受攻擊的首要目標。特別是以美國情報機構為背景的黑客組織，對中國關鍵信息基礎設施、重要信息系統、關鍵人員等進行攻擊滲透，嚴重威脅中國國家網絡安全。

圖：美聯社