AD
法治周末实习生 唐梦君
“我们觉得遗憾的是,‘白象行动’作为非常活跃的APT攻击行动,在过去数年中,仿佛始终在国际大部分主流安全厂商的视野之外。”7月10日,网络安全产品研发企业安天科技的安全研究与应急处理中心发布了一份名为《白象的舞步——来自南亚次大陆的网络攻击》的报告。
安天是国家级网络安全应急服务支撑单位,以著名的网络安全研究机构安天实验室为依托。此次发布的报告,披露了两组针对我国多领域特定目标实施的APT(高级持续性威胁)攻击事件,均来源于“西南方向”南亚次大陆的某个国家,报告将这两组攻击统称为“白象行动”。
安天科技副总工程师李柏松告诉法治周末记者,普通网络攻击主要出于经济目的,一般不会针对性地选择受攻击目标;然而,“白象行动”通过给教育、军事和科研机构人员发送精心构造的邮件、漏洞利用文档,诱使收件人下载带有漏洞的文件,以达到窃取敏感信息和重要文档的目的,基本可以判定这是出于特殊目的而进行的网络攻击。
为了区分近四年的“白象行动”,安天将2012年至2013年高度活跃的一波攻击称为“白象一代”:其组织规模人数大约在10人至16人,利用只针对特定目标进行攻击的“鱼叉式网络钓鱼攻击”,向巴基斯坦大面积的目标和我国的少数目标,直接发送携带病毒附件的电子邮件。
报告称,“白象一代”攻击者的技术水平非常低下,其发送的附件是可执行程序,只要被攻击目标具有一定的安全意识,攻击就很难取得成效;但即便如此,还是有少数我国高校受到攻击,成为该行动的受害者。
相对于没有使用漏洞的“白象一代”,2015年底出现的“白象二代”,无论技术能力还是攻击手段都有很大提高。李柏松介绍,“白象二代”攻击者发送的邮件,附件中包含漏洞利用文档,这种情况下,不具备一定安全防护能力的普通网络用户,是无法识别出这种安全威胁的。
报告显示,“白象二代”的组织规模已形成有较高攻击能力的小分队,主要目标扩大至巴基斯坦和中国的大面积目标,包括教育、军事、科研、媒体等领域,通过伪造相关军事、政治信息,将带有格式漏洞文档链接的邮件发送到攻击目标电子邮箱之中。报告认为,“白象二代”可能会造成严重后果。
根据报告公开的信息显示,6月1日,中国某高校教师收到一封关于南海问题的邮件,在邮件的最后,有诱导该教师查看“完整版报告”的链接;2月23日,国内某科研机构收到了一封邮件,正文是标有TOP SECERT(绝密档案)的文档扫描图片,同样包含一个诱导收件人点击的“绝密报告”的链接。
李柏松介绍,一旦被攻击目标运行了攻击者发送的恶意程序或打开了恶意邮件,就成为“白象行动”的受害者,被攻击主机存放的所有文档、数据,都可以被攻击者通过网络获取,而且,受害者输入的全部内容(包括系统账户、密码)都会被攻击者记录下来,并回传给攻击者。
“如果程序漏洞被触发,科研成果就有被非法分子获取的风险,他们就有可能会进行模仿;如果关键基础设施被对方入侵,甚至可能造成类似于停电、停水甚至更大的灾难。”李柏松如是说。
毋庸置疑,网络入侵、网络攻击等非法活动能严重影响电信、能源以及国防军事等重要领域的安全,那么,这样的攻击该如何抵御?7月5日,作为网络空间基础性法律的《中华人民共和国网络安全法(草案二次审议稿)》正式向社会公布。
北京市炜衡律师事务所上海分所律师邹晓晨认为,网络安全法对于国内的网络攻击将有很好的规制效果。
但是,相比境内的网络攻击,来自境外的网络攻击情况更为复杂。邹晓晨解释,网络攻击基本分为两类:一类是侵财类行为,如盗取账号、密码等来实施经济诈骗,多高发于国内;另一类是盗取重要信息行为,如窃取商业、科技、军事领域的重要信息,这类攻击主要来自于境外,安天所察觉的“白象行动”就属于第二类。
因此,邹晓晨认为,对于像“白象行动”这样的第二类网络攻击,并不能完全依靠网络安全法——如果通过法律途径解决,不仅域外调查取证面临很大困难,并且涉及到管辖权、刑事司法协助等多个环节,最主要的是很可能牵扯到相关政治问题。
“网络安全法要规制的是个体化的网络犯罪行为,覆盖不了所有网络安全问题,而类似的情报刺探活动不能简单归结为网络犯罪,难以完全通过法律途径解决。”复旦大学国际关系与公共事务学院副教授沈逸持有相似观点。
“普通网络攻击实施成本较低,但是侦破网络攻击犯罪的人力成本和时间成本却很高,所以应对网络攻击,增强自我防范意识,比事后补救来得更为实际。”邹晓晨认为。
对于境外网络攻击的防范,沈逸则认为,国际间的网络攻击行为,更需要国家之间通过共同探讨,以达成各方都能接受的网络空间行为准则。
