小云黑客(云小二科技有限公司)

“海莲花”使用的域名和服务器分布在境外多国

中国网络安全公司360旗下的“天眼”实验室将发布报告，首次披露一起针对中国的国家级黑客攻击细节。该境外黑客组织被命名为“海莲花（OceanLotus）”，自2012年4月起，“海莲花”针对中国的海事机构、海域建设部门、科研院所和航运企业，展开了精密组织的网络攻击，很明显是一个有国外政府支持的APT（高级持续性威胁）行动。

常见做法

鱼叉攻击和水坑攻击

“海莲花”使用木马病毒攻陷、控制政府人员、外包商、行业专家等目标人群的电脑，意图获取受害者电脑中的机密资料，截获受害电脑与外界传递的情报，甚至操纵该电脑自动发送相关情报，从而达到掌握中方动向的目的。

据“天眼”实验室分析，海莲花攻击的主要方式有“鱼叉攻击”和“水坑攻击”。

“鱼叉攻击”最常见的做法是，将木马程序作为电子邮件的附件，并起上一个极具诱惑力的名称，发送给目标电脑，诱使受害者打开附件，从而感染木马。如，在去年5月22日新疆发生了致死31人的暴力恐怖性事件之后，5月28日，该黑客组织曾发送名为“新疆暴恐事件最新通报”的电子邮件及附件，引诱目标人群“中招”。该组织曾发送过的电邮名称还包括“公务员工资收入改革方案”等一系列社会高度关注的热点。

“水坑攻击”，顾名思义，是在受害者必经之路设置了一个“水坑（陷阱）”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。曾经发生过这样的案例，黑客攻陷了某单位的内网，将内网上一个要求全体职工下载的表格偷偷换成了木马程序，这样，所有按要求下载这一表格的人都会被植入木马程序，向黑客发送涉密资料。

分布数据

京津两地感染人数最多

展开全文

“海莲花”组织在攻击中还配合了多种“社会工程学”的手段，以求加大攻击效果。比如，在进行“鱼叉攻击”时，黑客会主要选择周一和周五，因为这两个时间人们与外界的沟通比较密切，是在网络上传递信息的高峰期。而“水坑攻击”的时间则一般选在周一和周二的时间，因为这个时候一般是单位发布通知、要求职工登录内网的时候。

目前已经捕获的与“海莲花”相关的第一个特种木马程序出现在2012年4月。不过，在此后的2年内，“海莲花”的攻击并不活跃。直到2014年2月，海莲花开始对中国国内目标发送定向的“鱼叉”攻击，海莲花进入活跃期。

“天眼”实验室表示，其已捕获与海莲花组织有关的4种不同形态的特种木马程序样本100余个，感染者遍布中国29个省级行政区和境外的36个国家。其中，中国的感染者占全球92.3%，而在境内感染者中，北京地区最多，占22.7%，天津次之，为15.5%。为了隐蔽行踪，海莲花组织还先后在至少6个国家注册了服务器域名35个，相关服务器IP地址19个，分布在全球13个以上的不同国家。

新闻观察

大数据揭“海莲花”面纱

是国家级黑客组织

事实上，“海莲花”的攻击早已被捕捉到，但之前只是零散的发现，直到去年起，360成立“天眼”实验室，利用大数据技术进行未知威胁检测，才首次发现了这些散见威胁之间的联系，一个国家级黑客攻击行为的轮廓才逐渐清晰。

虽然发现了海莲花的攻击轨迹，但如何确定这不是一起普通的商业黑客行为，而是由某个敌对国家支持的呢？“天眼”实验室表示，首先，这种有组织、有计划的长期攻击行为需要很高的投入，不是一般商业公司能够负担的；其次，“海莲花”觊觎的资料对商业机构没有什么价值。“综合来看，海莲花组织的攻击周期之长（持续3年以上）、攻击目标之明确、攻击技术之复杂、社工手段之精准，都说明该组织绝非一般的民间黑客组织，而是具有国外政府支持的、高度组织化、专业化的国家级黑客组织。

需要警惕

网络间谍行为将越来越多

军事专家宋忠平说，中国是网络攻击的最大受害国，这是不争的事实，科研院所、高校等单位是“重灾区”。中国也很重视网络安全，注意在政府部门等关键场所的局域网的保护，不过，最要加强管理的还是人，必须加强对涉密人员的教育，让他们知道，作为个别人，他们掌握的部分信息可能并不重要，但却是重大机密的一部分，如果被人获取、整合，就可能造成重大损失。

宋忠平表示，美国2010年已经建立了网络战司令部。随着我们日常生活“信息化”程度的加深，越来越多的信息实现数据化，能够在网络上传输，这也为网络间谍行为提供了机会。此次的网络攻击从2014年开始进入活跃期，就是与中国对网络依赖度加深有关，以往的间谍行为主要通过人工实现，现在由于很多信息可以通过网络获取，网络间谍行为会越来越多。

（责任编辑：HN666）