(相關(guān)資料圖)

對(duì)內(nèi)栽贓社會(huì)活動(dòng)人士、對(duì)外瞄準(zhǔn)中國(guó)……這國(guó)又一黑客組織被曝光！

16日，中國(guó)網(wǎng)絡(luò)安全企業(yè)安天科技集團(tuán)對(duì)《環(huán)球時(shí)報(bào)》獨(dú)家披露，來(lái)自印度的一個(gè)定向威脅攻擊（APT攻擊）組織針對(duì)印度境內(nèi)以及包括中國(guó)在內(nèi)的周邊目標(biāo)，發(fā)動(dòng)了長(zhǎng)達(dá)十年的網(wǎng)絡(luò)攻擊活動(dòng)。

安天將該組織命名為“暗象”，其主要針對(duì)目標(biāo)為印度境內(nèi)的社會(huì)活動(dòng)人士、社會(huì)團(tuán)體和在野政黨等，同時(shí)也會(huì)竊取印度周邊國(guó)家(如中國(guó)和巴基斯坦等)軍事政治目標(biāo)的重要情報(bào)。安天借鑒了國(guó)際其他安全團(tuán)隊(duì)研究成果，并補(bǔ)充了“暗象”組織針對(duì)我國(guó)重要單位的網(wǎng)絡(luò)攻擊活動(dòng)分析成果，最后通過(guò)溯源分析鎖定該組織背后的運(yùn)營(yíng)人員可能位于東5.5時(shí)區(qū)（印度國(guó)家標(biāo)準(zhǔn)時(shí)間）。

安天科技集團(tuán)副總工程師李柏松對(duì)《環(huán)球時(shí)報(bào)》記者介紹，“暗象”組織的主要攻擊手段是通過(guò)谷歌/雅虎郵箱或者盜取的郵箱賬號(hào)，向目標(biāo)發(fā)送內(nèi)容極具迷惑性的魚(yú)叉式釣魚(yú)郵件，誘騙目標(biāo)運(yùn)行其采用多種免殺技巧、包含成熟商用遠(yuǎn)控木馬載荷的誘餌文件，“至少自2012年以來(lái)，該組織針對(duì)印度境內(nèi)的目標(biāo)，以及包括中國(guó)在內(nèi)的印度周邊的目標(biāo)，發(fā)動(dòng)了長(zhǎng)達(dá)十年的網(wǎng)絡(luò)攻擊活動(dòng)。因?yàn)樵摴艚M織通過(guò)網(wǎng)絡(luò)攻擊手段，構(gòu)陷印度國(guó)內(nèi)社會(huì)活動(dòng)人士，手段極其暗黑，是比馬·科雷岡（BhimaKoregaon）案件中誣陷社會(huì)運(yùn)動(dòng)人士的執(zhí)行者，其行動(dòng)隱蔽，暗藏十年有余而鮮有曝光，于是將該組織命名為‘暗象’?！?/p>

資料圖

2018年1月，比馬·科雷岡(BhimaKoregaon)發(fā)生種姓暴力沖突，期間印共的城市領(lǐng)導(dǎo)層遭到印度官方嚴(yán)厲打擊。印度知名社會(huì)活動(dòng)家羅納·威爾森成為此案被告之一，而這正是源自“暗象”組織長(zhǎng)期布局，構(gòu)陷虛假電子證據(jù)。早在2016年6月13日下午3點(diǎn)07分，羅納·威爾森收到一封來(lái)自其一位好友的電子郵件，信中提醒威爾森下載查看附件中的文檔。事實(shí)上這是黑客竊取這位好友的郵箱賬號(hào)后發(fā)送的木馬文件，攻擊者不僅從威爾森的電腦中進(jìn)行一系列竊密操作，并且能夠通過(guò)NetWire木馬遠(yuǎn)程控制其電腦系統(tǒng)。

2018年4月17日早上6點(diǎn)，印度馬哈拉施特拉邦的浦那區(qū)警方聲稱得到線人密報(bào)，前往突襲了威爾森位于新德里的住宅，并在威爾森使用的U盤和電腦硬盤中查獲了一些足以論罪的“數(shù)字證據(jù)”。

在安天監(jiān)測(cè)到的大多攻擊案例中，攻擊者都喜好使用谷歌和雅虎郵箱偽裝成收信人的好友或社會(huì)知名人士、知名機(jī)構(gòu)，誘導(dǎo)內(nèi)容緊隨時(shí)事熱點(diǎn)，或以刊物訂閱的形式，或與對(duì)方的工作方向密切相關(guān)。李柏松說(shuō)：“攻擊者重點(diǎn)目標(biāo)為印度本土活動(dòng)的社會(huì)活動(dòng)家、社會(huì)團(tuán)體以及印共等黨派的活躍人士，對(duì)于特別重要的個(gè)人目標(biāo)實(shí)施長(zhǎng)達(dá)多年跨越多種系統(tǒng)平臺(tái)的監(jiān)控活動(dòng)。不僅持續(xù)獲取個(gè)人隱私和文件信息，而且通過(guò)這些被攻擊設(shè)備存儲(chǔ)發(fā)送違法信息，來(lái)制造假案，構(gòu)陷相關(guān)人員。對(duì)于印度境外的別國(guó)軍事政治目標(biāo)，攻擊者主要以長(zhǎng)期潛伏、持續(xù)竊密為主要目的?！?/p>

此外，該組織也將目標(biāo)對(duì)準(zhǔn)了我國(guó)軍事政治目標(biāo)。根據(jù)介紹，2020年10月13日，國(guó)內(nèi)某重要單位信箱收到一份可疑的電子郵件，發(fā)件人使用Gmail郵箱，郵件主題為“關(guān)于丟失帶有敏感文件的外交包的信”，并在正文中提供了一條可供下載可疑文件的網(wǎng)盤鏈接。當(dāng)自解壓誘餌被執(zhí)行后，四個(gè)木馬程序開(kāi)始運(yùn)行，李柏松解釋，“這種ParallaxRAT遠(yuǎn)控木馬屬于公開(kāi)的商業(yè)遠(yuǎn)控，具備文件管理、擊鍵記錄、遠(yuǎn)程桌面、密碼竊取、命令執(zhí)行、進(jìn)程管理、上傳和執(zhí)行等能力，功能運(yùn)行都成熟穩(wěn)定，足以支持常規(guī)的竊密操作。”

據(jù)《環(huán)球時(shí)報(bào)》了解，安天對(duì)來(lái)自疑似印度的網(wǎng)絡(luò)攻擊的捕獲分析始于2013年，先后捕獲、分析、命名并曝光了“白象”“幼象”“苦象”等攻擊組織。李柏松表示：“在過(guò)去近10年的攻擊中，印度的網(wǎng)絡(luò)攻擊重心逐漸從巴基斯坦轉(zhuǎn)移到中國(guó)。而通過(guò)對(duì)‘暗象’攻擊組織的活動(dòng)監(jiān)測(cè)，我們可以看到印度相關(guān)機(jī)構(gòu)不僅極為頻繁地對(duì)周邊國(guó)家實(shí)施網(wǎng)絡(luò)攻擊，同時(shí)也將網(wǎng)絡(luò)攻擊手段廣泛用于國(guó)內(nèi)社會(huì)管控，甚至用來(lái)構(gòu)陷其國(guó)內(nèi)社會(huì)活動(dòng)人士，行動(dòng)隱蔽能力較強(qiáng)，值得關(guān)注與警惕?！?/strong>