网络安全案|“海莲”:窃取国家机密

本篇文章1360字，读完约3分钟

中国海事机构突然遭到袭击，导致安全机构处于戒备状态

2014年3月，中国一家海事机构的办公电脑出现异常:运行缓慢，CPU内存占用率极高，原因不明。

作为该单位的安全服务提供者，360天眼科实验室的负责人王烈军第一次参加了调查。

经过初步调查，王烈军发现造成电脑异常的罪魁祸首绝不是普通病毒。病毒的目的不是摧毁系统，而是通过逐层解密，将系统中的文件打包导出，窃取计算机中的机密文件。

王烈军和他的团队立即接触了整个系统网络，但发现了更可怕的东西。

最初，他们发现了另一组专门用来控制服务器的特洛伊木马。

一旦服务器被控制，服务器网络中的所有计算机都将成为傀儡，受他人摆布。王烈军和他的团队立即采取了有效的监控和防御措施。

然而，黑客们根本没有收敛，只是撕开隐藏的斗篷，肆无忌惮地发射有针对性的鱼叉和水坑攻击。

四组病毒代码轮流攻击，黑客组织了强大的资源

首先，黑客通过鱼叉攻击对目标发起了有针对性的攻击:

黑客将特洛伊木马程序伪装成与目标用户相关的电子邮件附件，如工资报告，并诱使目标用户打开附件，从而控制计算机服务器。

然后，黑客发动了大规模的水坑攻击:

黑客潜入目标组织的官方网站或目标用户经常访问的网站来替换正常文件。一旦用户访问网站并下载这些文件，计算机服务器就会被植入特殊的木马。

王烈军还发现，在网络攻击中，黑客使用了至少4种不同类型的病毒代码，19个相关服务器的IP地址，以及遍布全球13个国家的恶意服务器。

王烈军告诉观看新闻的新闻记者:从其资源的可用性来看，这个黑客组织一定是一个国家支持的网络攻击组织，专门从事针对其他国家的类似间谍活动。

2015年，田燕实验室发布了高级持久威胁报告，并命名为黑客组织海莲。

海莲袭击没有停止，国防安全已经拉响了警报

该报告显示，在中国，与该组织相关的特洛伊木马程序于2012年首次被截获。

在早期，海莲组织的网络攻击并不活跃。然而，2014年底，海莲开始使用云控制技术进行网络攻击，并采用文件伪装、随机加密和自我销毁等一系列复杂的攻击技术对抗安全软件，极大地提高了攻击的危险性和识别和杀死木马的难度。

截至2015年，海莲袭击事件已蔓延至全球36个国家。其中，中国92.3%的感染者位于中国29个省级行政区，北京和天津是中国感染人数最多的两个地区。

海葵攻击范围广、时间长、目的明确、目标精确。通过大量数据分析，田燕实验室发现海葵主要攻击中国政府、科研机构、海事机构、海域建设、航运企业等相关重要领域窃取国家机密信息。

对此，360集团董事长兼首席执行官周表示，在互联网时代，网络安全关系到国家安全。

在过去，在病毒背后，它可能只意味着恶作剧。如今，在每一次网络攻击的背后，都可能是一个由国家军队或大型犯罪组织支持的高情报黑客组织。他们尽力去思考你的缺点和问题。

复旦大学战略与网络安全研究中心主任沈懿认为，从国家网络安全战略的角度来看，对中国这样的大国来说，网络安全防御越来越重要，防御是一种战略能力，必须优先考虑。

由于我们及时的防御和适当的部署，避免了大规模的网络安全事件。然而，海葵的袭击无疑为国防安全敲响了警钟。

到目前为止，海莲组织的黑客攻击还在继续。

免责声明:本网站的一些文章是从互联网上转载的。如果涉及到第三方的合法权利，请通知本网站进行处理。

来源：央视线