國家互聯(lián)網(wǎng)應急中心（CNCERT）監測發(fā)現，近年來(lái)，美國情報機構將網(wǎng)絡(luò )攻擊竊密的重點(diǎn)目標瞄準我高科技軍工類(lèi)的高校、科研院所及企業(yè)，試圖竊取我軍事領(lǐng)域相關(guān)的科研數據或設計、研發(fā)、制造等環(huán)節的核心生產(chǎn)數據等敏感信息，目標更有針對性、手法更加隱蔽，嚴重威脅我國防軍工領(lǐng)域的科研生產(chǎn)安全甚至國家安全。自2022年西北工業(yè)大學(xué)遭受美國NSA網(wǎng)絡(luò )攻擊被曝光后，美情報機構頻繁猖獗對我國防軍工領(lǐng)域實(shí)施網(wǎng)絡(luò )竊密攻擊。在此，選取2起典型事件予以公布，為重要行業(yè)領(lǐng)域提供安全預警。

一、利用微軟Exchange郵件系統零日漏洞實(shí)施攻擊

2022年7月至2023年7月，美情報機構利用微軟Exchange郵件系統零日漏洞，對我一家大型重要軍工企業(yè)的郵件服務(wù)器攻擊并控制將近1年。經(jīng)調查，攻擊者控制了該企業(yè)的域控服務(wù)器，以域控服務(wù)器為跳板，控制了內網(wǎng)中50余臺重要設備，并在企業(yè)的某對外工作專(zhuān)用服務(wù)器中植入了建立websocket+SSH隧道的攻擊竊密武器，意圖實(shí)現持久控制。同時(shí)，攻擊者在該企業(yè)網(wǎng)絡(luò )中構建了多條隱蔽通道進(jìn)行數據竊取。

期間，攻擊者使用位于德國（159.69.*.*）、芬蘭（95.216.*.*）、韓國（158.247.*.*）和新加坡（139.180.*.*）等多個(gè)國家跳板IP，發(fā)起40余次網(wǎng)絡(luò )攻擊，竊取包括該企業(yè)高層在內11人的郵件，涉及我軍工類(lèi)產(chǎn)品的相關(guān)設計方案、系統核心參數等內容。攻擊者在該企業(yè)設備中植入的攻擊武器，通過(guò)混淆來(lái)逃避安全軟件的監測，通過(guò)多層流量轉發(fā)達到攻擊內網(wǎng)重要設備目的，通過(guò)通用加密方式抹去了惡意通信流量特征。

二、利用電子文件系統漏洞實(shí)施攻擊

2024年7月至11月，美情報機構對我某通信和衛星互聯(lián)網(wǎng)領(lǐng)域的軍工企業(yè)實(shí)施網(wǎng)絡(luò )攻擊。經(jīng)調查，攻擊者先是通過(guò)位于羅馬尼亞（72.5.*.*）、荷蘭（167.172.*.*）等多個(gè)國家的跳板IP，利用未授權訪(fǎng)問(wèn)漏洞及SQL注入漏洞攻擊該企業(yè)電子文件系統，向該企業(yè)電子文件服務(wù)器植入內存后門(mén)程序并進(jìn)一步上傳木馬，在木馬攜帶的惡意載荷解碼后，將惡意載荷添加至Tomcat（美國Apache基金會(huì )支持的開(kāi)源代碼Web應用服務(wù)器項目）服務(wù)的過(guò)濾器，通過(guò)檢測流量中的惡意請求，實(shí)現與后門(mén)的通信。隨后，攻擊者又利用該企業(yè)系統軟件升級服務(wù)，向該企業(yè)內網(wǎng)定向投遞竊密木馬，入侵控制了300余臺設備，并搜索“軍專(zhuān)網(wǎng)”、“核心網(wǎng)”等關(guān)鍵詞定向竊取被控主機上的敏感數據。

上述案例中，攻擊者利用關(guān)鍵詞檢索國防軍工領(lǐng)域敏感內容信息，明顯屬于國家級黑客組織關(guān)注范圍，并帶有強烈的戰略意圖。此外，攻擊者使用多個(gè)境外跳板IP實(shí)施網(wǎng)絡(luò )攻擊，采取主動(dòng)刪除日志、木馬，主動(dòng)檢測機器狀態(tài)等手段，意圖掩蓋其攻擊身份及真實(shí)的攻擊意圖，反映出很強的網(wǎng)絡(luò )攻擊能力和專(zhuān)業(yè)的隱蔽意識。

據統計，僅2024年境外國家級APT組織對我重要單位的網(wǎng)絡(luò )攻擊事件就超過(guò)600起，其中國防軍工領(lǐng)域是受攻擊的首要目標。尤其是以美國情報機構為背景的黑客組織依托成建制的網(wǎng)絡(luò )攻擊團隊、龐大的支撐工程體系與制式化的攻擊裝備庫、強大的漏洞分析挖掘能力，對我國關(guān)鍵信息基礎設施、重要信息系統、關(guān)鍵人員等進(jìn)行攻擊滲透，嚴重威脅我國家網(wǎng)絡(luò )安全。