國家安全部披露多起境外APT竊密案例 2021-04-13

來(lái)源：法制日報——法制網(wǎng)

利用特種木馬，對我國航空系統數十臺計算機設備實(shí)施高強度網(wǎng)絡(luò )攻擊，竊取大量數據資料；專(zhuān)門(mén)搭建釣魚(yú)攻擊平臺陣地，發(fā)送釣魚(yú)攻擊郵件導致我國軍工領(lǐng)域數百份敏感文件被竊取……在第五個(gè)“全民國家安全教育日”之際，國家安全部披露多起有關(guān)APT（Adavanced Persistent Threat，是指針對明確目標的持續的、復雜的網(wǎng)絡(luò )攻擊）竊密的案例。

　　《法制日報》記者從國家安全部新聞辦了解到，近年來(lái)境外各類(lèi)政府背景APT黑客組織不斷加強對我國網(wǎng)絡(luò )攻擊，竊取大量重要敏感信息，極力攻擊試圖控制我國核心設備和關(guān)鍵設施，勢頭猛烈，威脅巨大，嚴重危害我國網(wǎng)絡(luò )空間國家安全和利益。

　　習近平總書(shū)記深刻指出：沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全。

　　國家安全部有關(guān)負責人表示，國家安全機關(guān)深入學(xué)習貫徹習近平總書(shū)記關(guān)于維護網(wǎng)絡(luò )安全的重要指示，在總體國家安全觀(guān)引領(lǐng)下，立足本職，嚴厲打擊境外組織的網(wǎng)絡(luò )攻擊竊密和滲透破壞活動(dòng)，堅決維護我國網(wǎng)絡(luò )空間安全。

　　攻擊技術(shù)先進(jìn)規模龐大

　　國家安全部有關(guān)負責人告訴記者，當前，APT竊密行為包括三大特點(diǎn)，即攻擊領(lǐng)域廣泛，規模龐大；攻擊目標多樣，全網(wǎng)覆蓋；攻擊技術(shù)先進(jìn)，手法復雜。

　　 2019年7月，某境外APT組織仿冒我國某軍工領(lǐng)域重點(diǎn)單位郵件登錄界面，專(zhuān)門(mén)搭建釣魚(yú)攻擊平臺陣地，冒用“系統管理員”身份向該單位多名人員發(fā)送釣魚(yú)攻擊郵件。該單位職工王某點(diǎn)擊了釣魚(yú)攻擊郵件，輸入了個(gè)人郵箱賬號和登錄密碼，導致其電子郵箱被秘密控制。之后，該APT組織定期遠程登錄王某電子郵箱收取王某郵箱內文件資料，并利用該郵箱向王某的同事、下級單位人員發(fā)送數百封木馬釣魚(yú)郵件，導致十余人下載點(diǎn)擊了木馬程序，相關(guān)人員工作計算機被控制。

　　這位負責人說(shuō)，近年來(lái)，境外APT組織不僅加大了對我國黨政機關(guān)、國防軍工、科研院所等核心要害單位的攻擊活動(dòng)，而且延伸到了關(guān)鍵信息基礎設施、能源、金融、軍民融合等各個(gè)領(lǐng)域。攻擊來(lái)源眾多、頻次和烈度日益增強。

　　“2019年，國家安全機關(guān)發(fā)現并處置的網(wǎng)絡(luò )攻擊竊密活動(dòng)中，涉及境外APT組織數量多達近百個(gè)。其中一組織全年針對我國‘兩會(huì )’、‘一帶一路’高峰論壇以及新中國成立70周年等重大活動(dòng)的定向攻擊，竟多達4000多次?！痹撠撠熑苏f(shuō)。

　　與此同時(shí)，境外APT攻擊目標涵蓋了連接互聯(lián)網(wǎng)的各類(lèi)設備乃至整個(gè)網(wǎng)絡(luò )空間，從各種服務(wù)器、聯(lián)網(wǎng)計算機，到電子郵箱、移動(dòng)介質(zhì)，再到各種網(wǎng)絡(luò )設備、移動(dòng)智能終端、工業(yè)控制系統和物聯(lián)設備，總體上形成從單機到網(wǎng)絡(luò )、從硬件到軟件、從外網(wǎng)到內網(wǎng)的全網(wǎng)覆蓋。

　　這位負責人舉例說(shuō)，2019年5月，國家安全機關(guān)對我國某能源公司開(kāi)展技術(shù)安全檢查時(shí)發(fā)現，該公司的網(wǎng)頁(yè)服務(wù)器、域控服務(wù)器、文件共享服務(wù)器等多臺網(wǎng)絡(luò )設備均被境外APT組織攻擊控制，該組織還利用公司內外網(wǎng)缺乏邊界防護設備的管理漏洞，向內網(wǎng)進(jìn)行滲透，控制了數十臺計算機。

　　 APT攻擊技術(shù)先進(jìn)，手法復雜。該負責人告訴記者，境外APT組織廣泛運用人工智能、大數據等先進(jìn)技術(shù)，同時(shí)采取漏洞攻擊、誘騙攻擊、“中間人”攻擊等多種技術(shù)方式和手法，讓人不易防范。

　　 2019年9月，某境外APT組織利用特種木馬，通過(guò)控制多個(gè)境外跳板設備對我國航空系統數十臺計算機設備實(shí)施高強度網(wǎng)絡(luò )攻擊活動(dòng)。攻擊者精心偽裝竊密行為，所用特種木馬平時(shí)處于靜默潛伏狀態(tài)，接收到遠程控制指令再激活運行，整個(gè)過(guò)程十分隱蔽。

　　 6大措施強化防范抵御

　　如何防范抵御APT攻擊？

　　“我們應當堅持總體國家安全觀(guān)，樹(shù)立正確的網(wǎng)絡(luò )安全意識，多層次多維度地防范抵御網(wǎng)絡(luò )安全的風(fēng)險與挑戰?！眹野踩珯C關(guān)網(wǎng)絡(luò )安全專(zhuān)家就此回應，并對核心要害單位和重要涉密人員如何防范抵御APT攻擊提出6個(gè)方面的建議：

　　要壓實(shí)各部門(mén)網(wǎng)絡(luò )安全防范主體責任，確保各環(huán)節網(wǎng)絡(luò )安全保密工作職責清晰、責任到人、可究可查。從已發(fā)現查處的部分案件看，一些環(huán)節的保密職責不清，是漏洞風(fēng)險存在、案件發(fā)生的重要原因之一。因此，在網(wǎng)絡(luò )安全責任劃分時(shí)，應針對具體的網(wǎng)絡(luò )應用情形、業(yè)務(wù)應用模式和崗位特點(diǎn)，專(zhuān)門(mén)制定網(wǎng)絡(luò )安全保密工作要求，并切實(shí)細化分解。

　　要加強常態(tài)化網(wǎng)絡(luò )安全教育和技能培訓，提升網(wǎng)絡(luò )安全敵情意識和防范技能。工作人員的疏忽大意和違規操作，是絕大多數網(wǎng)絡(luò )安全事件和失泄密案件發(fā)生的主要原因。提高工作人員的網(wǎng)絡(luò )安全防范意識和技能，徹底杜絕不安全操作行為，是做好網(wǎng)絡(luò )安全管理的根本。必須嚴格做到“涉密不上網(wǎng)，上網(wǎng)不涉密”，不在非涉密計算機和移動(dòng)存儲介質(zhì)中存儲涉密資料，不通過(guò)互聯(lián)網(wǎng)郵箱存儲傳遞涉密文件資料，不在固定電話(huà)和手機中談?wù)撋婷軆热?，涉密計算機和移動(dòng)存儲介質(zhì)嚴禁連接互聯(lián)網(wǎng)。

　　要加強對計算機、電子郵箱的安全防護。除了在辦公計算機、手機上安裝殺毒、防護軟件等措施，還要不定期的對連網(wǎng)設備進(jìn)行安全檢測，發(fā)現計算機、手機等是否感染病毒木馬程序，存在可疑的網(wǎng)絡(luò )請求或連接，郵箱是否存在異常的登錄情況。在出差特別是出國時(shí)，最好攜帶新的、不存儲任何文件的新計算機、新手機，注冊新的電子郵箱，在經(jīng)過(guò)技術(shù)檢測前不輕易使用別人以禮品形式贈送的電子設備。

　　要加強網(wǎng)絡(luò )技術(shù)防范能力建設，確保技術(shù)防范措施到位并發(fā)揮實(shí)效。根據網(wǎng)絡(luò )應用情形和保密級別要求，設置相適應的足夠強度的技術(shù)防范措施；網(wǎng)管員對各技術(shù)防護手段設備的運行情況和監測記錄要定期查看，既確保設備一直正常有效運轉，又能及時(shí)發(fā)現各種違規、可疑或危險的技術(shù)操作行為。

　　要切實(shí)強化網(wǎng)絡(luò )安全保密規章制度的執行監管。通過(guò)強化監管，提醒和約束涉密人員遵守保密制度，推動(dòng)各項保密要求和保密責任落實(shí)到位。同時(shí)，抓早抓小，及早發(fā)現處置異常情況和安全隱患，盡可能減少信息安全保密的空白點(diǎn)和薄弱點(diǎn)，有效管控風(fēng)險。

　　要加強同國家安全機關(guān)等專(zhuān)業(yè)部門(mén)的協(xié)作配合。國家安全機關(guān)是網(wǎng)絡(luò )反間諜對敵斗爭的專(zhuān)業(yè)部門(mén)，有責任、有義務(wù)指導協(xié)助各單位做好網(wǎng)絡(luò )安全防范工作。國家安全機關(guān)將積極協(xié)助各涉密單位開(kāi)展反間諜技術(shù)竊密檢測，發(fā)現計算機網(wǎng)絡(luò )被境外間諜情報機關(guān)攻擊竊密情況及運行管理中存在的漏洞和薄弱環(huán)節，及時(shí)消除危害隱患。同時(shí)，指導各單位落實(shí)網(wǎng)絡(luò )安全防范措施，提高技術(shù)防范能力，防范敵人網(wǎng)絡(luò )攻擊竊密活動(dòng)。