近期,我国一家在材料设计研究领域处于领先地位的研究机构遭受了网络攻击。这一事件引起了广泛的关注。攻击手段多样,技术复杂,公开这些攻击的详细信息对全球网络安全防御具有重要意义。
攻击起始
2024年8月19日,研究院的电子文件系统暴露出注入漏洞。该漏洞被不法分子所利用,进而导致系统遭受非法入侵。截至2024年8月21日,管理员的账户和密码已被非法获取。这些初步的攻击行为为后续更深入的入侵创造了条件。该事件揭示了我国部分单位网络安全防护存在不足,使得攻击者有机可乘。
2024年8月21日中午12时,攻击者在电子文件系统中成功植入后门和定制木马。这些恶意软件设计巧妙,仅在内存中短暂存在,以此手段躲避检测,展现出一种隐蔽的攻击方式。这一行为显示出攻击者意图隐藏其活动轨迹,并计划长期潜伏,以窃取信息。
木马与后门功能
木马程序被安置在特定路径“/xxx/xxxx?flag=syn_user_policy”,其主要任务是从受监控的个人电脑中窃取重要文件。同时,另一款后门程序通过“/xxx/xxxStats”路径,将这些文件收集并传输至境外。这种明确的职责划分,旨在窃取关键数据,并将其转移至国外。
恶意软件功能突出,针对性极强。例如,木马程序能够对主机内的敏感文件进行扫描,并盗取包含登录凭证在内的个人数据。这种行为对研究院员工的信息安全以及公司的机密资料造成了极大威胁。
大规模植入木马
2024年11月6日、8日和16日,这些时间节点对事件发展具有关键意义。在这几天内,黑客利用电子文档服务器的软件升级功能,成功在276台主机中植入了特种木马。整个过程被伪装成正常的软件升级,其手段异常隐蔽。
大量主机遭遇木马攻击,攻击者成功入侵了一个由276台主机构成的巨大网络,广泛窃取了数据。此行为使得研究院内的众多设备沦为搜集敏感信息的工具,目前形势相当严峻。
攻击者的跳板策略
频繁以我国境内IP地址为跳板,攻击者成功登录至软件升级管理服务器,进而侵入目标单位内部网络主机。在2024年11月6日至11月16日的短短十天里,他们利用三个不同的跳板IP地址,实施了三次入侵,并在个人主机上植入了恶意木马。每次入侵均针对目标单位业务特点,采用不同的特定关键词,表明攻击者对每次攻击都进行了周密计划。
值得关注的是,五个跳板IP分散在德国和罗马尼亚等地。这一分布情况凸显了其显著的防追踪意图。同时,这也反映出其背后拥有庞大的攻击资源作为支撑。
攻击手法特点
攻击者具备两种显著的攻击手法特点。首先,他们精通于利用开源或通用工具进行隐蔽操作,以此手段躲避追踪源头。例如,在涉案单位的服务器上查获的恶意软件,就是一款常见的开源通用后门工具。这类工具的使用频率相对较高,这无疑增加了我们追踪攻击源头所遇到的困难。
该组织的关键后门和木马软件仅在内存中运行,并未存入硬盘。这种设计特性显著提升了对其攻击手段的侦测与分析难度。因此,其窃密活动更难以被及时发现。
数据窃取情况
连续的攻击行为导致攻击者成功窃取了共计4.98GB的商业敏感信息和知识产权资料。该数据量相当巨大,包括了研究院的核心研发成果和商业机密。此数据泄露事件可能对研究院的发展以及国家相关产业的竞争力产生严重的负面影响。
我国某材料设计研究机构近期遭受网络攻击,导致大量数据外泄。攻击手段多样,技术精湛。面对当前网络安全形势,各单位亟需加强防护。敬请关注、分享并参与讨论。
