关键词
网络攻击
国家互联网应急中心(CNCERT)最新调查报告披露,美国情报机构对中国一家大型商用密码产品供应商发起了一场精心策划的网络攻击行动。此次攻击呈现出高度专业化特征和清晰的战略意图。
攻击实施全流程分析
初始入侵阶段(2024年3月)攻击者首先瞄准企业客户关系管理系统(CRM),利用该系统未公开的零日漏洞实施突破。特别值得注意的是,攻击者在路径/crm/WxxxxApp/xxxxxx/xxx.php位置成功植入特种木马程序。该木马采用了三重防护机制:所有通信数据经过AES-256加密处理,关键特征字符串进行动态编码转换,传输前还进行了数据压缩,显示出攻击者极强的反侦察意识。
横向渗透阶段(2024年5月)以CRM系统为跳板,攻击者实施了精密的横向移动,最终成功侵入企业核心的代码管理系统。通过建立双系统持续控制通道,攻击者获得对企业研发体系的长期访问权限。
数据窃取行为细节
在2024年3月至9月期间,攻击者通过分布在荷兰、德国和韩国等地的14个境外跳板IP,持续窃取客户关系管理系统中的敏感数据,累计达950MB。这些数据包括8000余条客户档案和10000多份合同订单,其中涉及多个政府部门的采购信息。
更为严重的是,在2024年5月至7月的集中攻击期,攻击者使用3个精心挑选的境外IP,从代码管理系统中窃取了多达6.2GB的核心研发数据,包括3个密码项目的完整源代码和算法实现。
独特的攻击特征分析
-
攻击武器溯源:经技术分析,所使用的特种木马与美国国家安全局下属TAO组织历史攻击工具存在明显的代码同源性。
-
时间规律性:攻击活动严格遵循美国东部时间工作日10时至20时(北京时间22时至次日8时)的规律,并刻意避开美国联邦法定节假日。
-
资源调配能力:攻击者展示了惊人的资源调度能力,使用的17个攻击IP全部位于不同地理区域,并能在300毫秒内完成IP切换。
-
反溯源措施:除常规的日志清除外,攻击者还植入了JSPicker、PHPJackal等常见网页木马作为掩护,实施"打一枪换一地"的动态攻击策略。
防御体系建设建议
针对此类高级持续性威胁,建议重点加强以下防护措施:首先,对商用密码研发环境实施物理隔离,建立研发网络的单向传输机制,从根本上阻断横向渗透的可能。其次,部署具有深度流量分析能力的监测系统,构建API调用的异常行为基线模型,提升对隐蔽攻击的发现能力。最后,制定核心系统的"熔断"应急预案,并建立境外可疑IP的实时阻断规则库,缩短应急响应时间。
此次事件充分暴露出美国试图通过控制全球密码体系来维护其"数字霸权"的战略意图。国际社会应加强在商用密码安全领域的合作,共同应对日益复杂的网络安全威胁。
部分跳板IP列表
END
原文始发于微信公众号(安全圈):【安全圈】中国商用密码企业遭美方蓄意网络攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论