2024年,國家互聯(lián)網(wǎng)應急中心CNCERT發(fā)現(xiàn)處置一起美情報機構(gòu)對中國大型商用密碼產(chǎn)品提供商網(wǎng)絡攻擊事件���。本報告將公布此事件網(wǎng)絡攻擊詳情�,為全球相關國家�����、單位有效發(fā)現(xiàn)和防範美網(wǎng)絡攻擊行為提供借鑑�����。
一���、網(wǎng)絡攻擊流程
?���。ㄒ唬├每蛻絷P係管理系統(tǒng)漏洞進行攻擊入侵
該公司使用了某客戶關係管理系統(tǒng)����,主要用於存儲客戶關係及合同信息等。攻擊者利用該系統(tǒng)當時尚未曝光的漏洞進行入侵�,實現(xiàn)任意文件上傳。入侵成功後�,攻擊者為清除攻擊痕跡,刪除了部分日誌記錄�。
?(二)對兩個系統(tǒng)進行攻擊並植入特種木馬程序
2024年3月5日,攻擊者在客戶關係管理系統(tǒng)植入了特種木馬程序��,路徑為/crm/WxxxxApp/xxxxxx/xxx.php����。攻擊者可以通過該木馬程序,執(zhí)行任意的網(wǎng)絡攻擊命令��。為防止被監(jiān)測發(fā)現(xiàn)��,木馬程序通信數(shù)據(jù)全過程加密�����,並進行特徵字符串編碼���、加密�����、壓縮等一系列複雜處理�����。2024年5月20日��,攻擊者通過橫向移動�����,開始攻擊該公司用於產(chǎn)品及項目代碼管理的系統(tǒng)���。
二�、竊取大量商業(yè)秘密信息
?�。ㄒ唬└`取客戶及合同信息
2024年3月至9月�,攻擊者用14個境外跳板IP連接特種木馬程序並竊取客戶關係管理系統(tǒng)中的數(shù)據(jù),累計竊取數(shù)據(jù)量達950MB�����。客戶關係管理系統(tǒng)中有用戶600餘個����,存儲客戶檔案列表8000餘條����,合同訂單1萬餘條,合同客戶包括我相關政府部門等多個重要單位����。攻擊者可以查看合同的名稱、採購內(nèi)容�����、金額等詳細信息�。
(二)竊取項目信息
2024年5月至7月�,攻擊者用3個境外跳板IP攻擊該公司的代碼管理系統(tǒng),累計竊取數(shù)據(jù)量達6.2GB����。代碼管理系統(tǒng)中有用戶44個,存儲了3個密碼研發(fā)項目的代碼等重要信息�����。
三、攻擊行為特點
?���。ㄒ唬┕粑淦?/p>
通過對xxx.php特種木馬程序的逆向分析,發(fā)現(xiàn)其與美情報機構(gòu)前期使用的攻擊武器具有明確同源關係�。
(二)攻擊時間
分析發(fā)現(xiàn)��,攻擊時間主要集中在北京時間22時至次日8時��,相對於美國東部時間為10時至20時�。攻擊時間主要分布在美國時間的星期一至星期五,在美國主要節(jié)假日未出現(xiàn)攻擊行為�����。
?��。ㄈ┕糍Y源
攻擊者使用的17個攻擊IP完全不重複���,同時可秒級切換攻擊IP。攻擊IP位於荷蘭����、德國和韓國等地����,反映出其高度的反溯源意識和豐富的攻擊資源儲備�。
(四)攻擊手法
一是善於利用開源或通用工具偽裝躲避溯源�,例如在客戶關係管理系統(tǒng)中還發(fā)現(xiàn)了攻擊者臨時植入的2個常見的網(wǎng)頁木馬����。二是攻擊者善於通過刪除日誌和木馬程序,隱藏自身的攻擊行為����。
四、部分跳板IP列表
