360披露針對中國的南亞黑客組織

　　日前，360威脅情報中心追日團隊發(fā)布《摩訶草組織》報告，深度披露針對中國、持續(xù)活躍的南亞APT組織——摩訶草組織。這是繼2015年5月披露海蓮花組織以后，360再度披露針對中國進行攻擊的境外APT組織。據(jù)悉，摩訶草組織主要針對中國、巴基斯坦等亞洲地區(qū)國家進行網(wǎng)絡(luò)間諜活動，以竊取敏感信息為主，自2012以來已發(fā)起四次大規(guī)模攻擊。

　　報告指出，摩訶草組織的APT攻擊具有不計成本、持續(xù)攻擊的特點，加上我國相關(guān)政府與科研機構(gòu)的檢測欠缺和響應(yīng)乏力，導(dǎo)致摩訶草組織在曝光披露后依然活躍。

　　竊取中國敏感科研與軍事信息

　　報告指出，摩訶草組織的主要攻擊中國科研教育和政府機構(gòu)，目的是竊取敏感數(shù)據(jù)情報。這也代表了以中國為攻擊目標的APT組織所具有的特性：關(guān)注科研教育、政府機構(gòu)，以竊取數(shù)據(jù)為目的。

　　在分析摩訶草組織過程中，360追日團隊發(fā)現(xiàn)在針對中國的攻擊，從2015年第三方和第四次攻擊行動中，針對中國的目標行業(yè)除了科研教育外，針對軍事領(lǐng)域的相關(guān)攻擊不斷增加，尤其是關(guān)于南海爭端等。也就是APT組織會緊密圍繞政治、經(jīng)濟、科技、軍工等熱點領(lǐng)域及事件發(fā)動相關(guān)攻擊。類似“****”、“軍民融合”等是除了摩訶草組織以外，也是如海蓮花組織、APT-C-05、APT-C-12、APT-C-17等這些組織重點關(guān)注的領(lǐng)域。

　　主要針對的行業(yè)分布

　　從受影響的省市來看，國內(nèi)受影響量排名前三的省市是：北京、廣東、福建，其中北京地區(qū)是主要攻擊目標，在西藏、寧夏和貴州這三個省市自治區(qū)暫未發(fā)現(xiàn)受影響的用戶。

　　國內(nèi)用戶受影響情況(2015年7月-2016年6月)

　　追日團隊在報告中詳細列舉了摩訶草組織發(fā)起攻擊的手段，主要是利用網(wǎng)絡(luò)時代的各類上網(wǎng)手段，如魚叉郵件、釣魚網(wǎng)站、通訊工具(主要是QQ)以及社交網(wǎng)絡(luò)來攻擊電腦，入侵系統(tǒng)。這其中，以魚叉郵件、釣魚網(wǎng)站范圍最廣、數(shù)量組多;而利用通訊工具、社交網(wǎng)站來傳播木馬，具有主動聯(lián)系使用者且一旦建立聯(lián)系就可以持續(xù)攻擊的特點，因此危害更大。

　　攻擊從未停止且不計成本 背后隱現(xiàn)國家背景支持

　　摩訶草組織針對中國等國家的攻擊，自2009年至今已經(jīng)持續(xù)7年之久。從2013年Norman安全公司將摩訶草組織(即HangOver)曝光后，該組織并未因此停止相關(guān)攻擊活動，尤其從2015年至2016年期間，相關(guān)攻擊活動愈演愈烈。追日團隊研究人員表示，對摩訶草組織這四次攻擊行動的分析，我們發(fā)現(xiàn)其攻擊意圖中主要的攻擊目標和目的也都未發(fā)生改變，這也體現(xiàn)出幕后組織意志的堅定性和達到目標的決心。

　　“摩訶草組織不會因為一次攻擊失敗就放棄目標，而是蟄伏起來，重新制定戰(zhàn)術(shù)、分配資源，等待新一輪的攻擊，直到達到目的。”

　　除了持續(xù)性，摩訶草組織的攻擊不計成本也是其最大的特點。在資源使用方面，摩訶草組織基本是對目標所存在的所有受影響攻擊面都會涉及考慮到，采用各種方式，從各個角度進行攻擊。幾乎是一種為達到目的，不擇手段，不計成本的攻擊方式。 報告數(shù)據(jù)顯示，摩訶草相關(guān)攻擊行動中使用了大量漏洞，其中至少包括一次0day漏洞使用，相關(guān)惡意代碼非常繁雜——惡意代碼HASH數(shù)量有995個，C&C數(shù)量為731個，相關(guān)惡意代碼會持續(xù)的迭代更新。載荷投遞的方式，主要是以魚叉郵件進行惡意代碼的傳播，另外會涉及少量水坑攻擊，尤其是該組織選擇了基于即時通訊工具這種高成本的攻擊。

　　追日團隊研究人員表示，摩訶草組織的攻擊顯然不是個人或普通組織能發(fā)起的，幕后應(yīng)該有大財團甚至是國家支撐。雖然暫時沒有直接的證據(jù)證實摩訶草組織是一個由國家支持的APT組織，但攻擊過程中所使用的大量資源，都表明這不是個人或一般組織能承受的攻擊成本，除非幕后有一個強大的財團支持，另外，該組織相關(guān)攻擊所表達出明確的意圖和堅定的意志，這也不是個體所能達到的，結(jié)合這些客觀現(xiàn)象，我們認為摩訶草更有可能是由一個國家背景長期支持的APT組織。

　　攻擊被曝光依然活躍 國內(nèi)能力型安全廠商嚴重缺位

　　摩訶草組織從2009年至今已持續(xù)活躍了7年，摩訶草組織最早由Norman安全公司于2013年曝光，隨后又有其他安全廠商持續(xù)追蹤并披露該組織的最新活動，但該組織并未由于相關(guān)曝光而停止對相關(guān)目標的攻擊，相反從2015年開始更加活躍。

　　為何摩訶草組織在曝光披露后依然活躍，繼續(xù)開展網(wǎng)絡(luò)間諜活動，竊取我國敏感信息?追日團隊在報告中指出，針對中國的攻擊中，往往低成本的攻擊就能達到攻擊者的預(yù)期，而導(dǎo)致低成本入侵頻頻得手的主要原因是由于被攻擊目標防御薄弱。但更主要的原因是我國針對APT攻擊的檢測欠缺和響應(yīng)乏力。

　　追日團隊對摩訶草的監(jiān)控發(fā)現(xiàn)，一些披露過的攻擊在此后依舊活躍，有些木馬甚至是查殺過的。這是因為在受攻擊后，對相關(guān)漏洞沒有跟進修補，或者發(fā)現(xiàn)問題時也沒有及時改進，導(dǎo)致APT攻擊愈演愈烈。

　　更重要的原因是國內(nèi)能力型廠商依然缺位。報告指出，國內(nèi)號稱能夠檢測APT的產(chǎn)品很多，但真正能發(fā)現(xiàn)、分析、溯源和防護高級威脅的安全產(chǎn)品依然很少，在國內(nèi)只有很少幾家安全廠商能實現(xiàn)自主發(fā)現(xiàn)APT攻擊，一般機構(gòu)都是在國外安全廠商披露后進行跟進分析。

　　據(jù)悉，這種狀況和國內(nèi)缺乏能力型安全廠商生存的空間有很大的關(guān)系。360企業(yè)安全集團總裁吳云坤表示，如果在現(xiàn)在的防護體系中，能夠引入更多能力型廠商，更多能從監(jiān)控發(fā)現(xiàn)到檢測防御每個環(huán)節(jié)打通完善，形成良性的閉合循環(huán)，各類安全廠商與被攻擊目標之間形成協(xié)同聯(lián)動，即使我們無法提前知曉摩訶草組織何時卷土重來，但我們依然可以將后續(xù)的相關(guān)攻擊拒之門外，讓摩訶草的第五次攻擊行動化為泡影。