印一黑客组织对我攻击长达十年

郭媛丹

中国网络安全企业安天科技集团16日向《环球时报》记者独家披露最新发现称，来自印度的一个定向威胁攻击(APT攻击）组织针对印度境内，以及包括中国在内的周边目标，发动了长达十年的网络攻击活动。

安天将该组织命名为“暗象”，其主要针对目标为印度境内的社会活动人士、社会团体和在野政党等，同时也会窃取印度周边国家（如中国和巴基斯坦等）军事政治目标的重要情报。安天借鉴国际其他安全团队研究成果，并补充暗象组织针对我国重要单位的网络攻击活动分析成果后，通过溯源分析锁定该组织背后的运营人员可能位于东5.5时区（印度国家标准时间）。

安天科技集团副总工程师李柏松对《环球时报》记者介绍说，暗象组织的主要攻击手段是通过谷歌/雅虎邮箱，或者盗取的邮箱账号，向目标发送内容极具迷惑性的鱼叉式钓鱼邮件，诱骗目标运行其采用多种免杀技巧、包含成熟商用远控木马载荷的诱饵文件。“由于该组织通过网络攻击手段，构陷印度国内社会活动人士，手段极其暗黑，是比马•科雷冈案件中诬陷社会运动人士的执行者，再结合其组织层面的行动隐蔽，暗藏十年有逾而鲜有曝光的情况，因此被命名为‘暗象。”

2018年1月，比马•科雷冈发生种姓暴力。印度知名社会活动家罗纳•威尔森成为此案被告之一，而这正是源于暗象组织的长期布局，构陷虚假电子证据。2016年6月13日，罗纳•威尔森收到一封来自好友的电子邮件,要他下载查看附件中的文档。事实上，这是黑客窃取其好友邮箱账号后发送的木马文件。攻击者不仅能在威尔森的电脑中进行一系列窃密操作，且能通过NetWire木马远程控制其电脑系统。2018年4月17日，印度警方声称通过线人密报突袭了威尔森位于新德里的住宅，并在他使用的U盘和电脑硬盘中查获一些足以论罪的“数字证据”。

安天注意到,在该公司监测的大多数案例中，攻击者都喜好伪装成收信人的好友或社会知名人士、知名机构，而诱导内容或紧随时事热点或与对方的工作方向密切相关。李柏松说：“攻击者通过渗透入侵个人信箱和设备，不仅持续获取个人隐私和文件信息，还通过这些被攻击设备存储发送“违法信息”，来制造假案，构陷相关人员。而对于印度境外的别国军事政治目标，攻击者主要是以长期潜伏、持续窃密为主要目的。”

据介绍，该组织也将目标对准我国军事政治目标。2020年10月13日，国内某重要单位信箱收到一封可疑电子邮件，麦件人使用Gmail邮箱发送主题为“关于丢失带有敏感文件的外交包的信“的邮件，并在正文提供一条可供下载可疑文件的网盘链接。当自解压诱饵被执行后，四个木马程序开始运行，李柏松解释道：“这种ParallaxRAT远控木马，属于公开的商业远控，具备文件管理、击键记录、密码窃取等多种能力，功能运行都成熟稳定，足以支持常规的窃密操作。”

安天寿来自疑似印度的网络攻击的捕获分析始于2013年。李柏松表示：“在过去近10年的攻击中，印度的网络攻击重心逐渐从巴基斯坦转移到中国。通过暗象组织的活动，可以看到印度相关机构不仅极为频繁对周边国家实施网络攻击，同时也将网络攻击手段广泛用于国内社会治理，相关组织行动隐蔽能力较强，值得关注与警惕。”▲