点击右上角微信好友

朋友圈

请使用浏览器分享功能进行分享

正在阅读:美国用这种方式窃取中国企业商业机密!国家互联网应急中心发布调查报告
首页> 国际频道> 国际要闻 > 正文

美国用这种方式窃取中国企业商业机密!国家互联网应急中心发布调查报告

来源:央视新闻客户端2025-01-17 19:53

  美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告

  2024年12月18日,国家互联网应急中心CNCERT发布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html),发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某智慧能源和数字信息大型高科技企业的网络攻击详情,为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。

  一、网络攻击流程

  (一)利用邮件服务器漏洞进行入侵

  该公司邮件服务器使用微软Exchange邮件系统。攻击者利用2个微软Exchange漏洞进行攻击,首先利用某任意用户伪造漏洞针对特定账户进行攻击,然后利用某反序列化漏洞再次进行攻击,达到执行任意代码的目标。

  (二)在邮件服务器植入高度隐蔽的内存木马

  为避免被发现,攻击者在邮件服务器中植入了2个攻击武器,仅在内存中运行,不在硬盘存储。其利用了虚拟化技术,虚拟的访问路径为/owa/auth/xxx/xx.aspx和/owa/auth/xxx/yy.aspx,攻击武器主要功能包括敏感信息窃取、命令执行以及内网穿透等。内网穿透程序通过混淆来逃避安全软件检测,将攻击者流量转发给其他目标设备,达到攻击内网其他设备的目的。

  (三)对内网30余台重要设备发起攻击

  攻击者以邮件服务器为跳板,利用内网扫描和渗透手段,在内网中建立隐蔽的加密传输隧道,通过SSH、SMB等方式登录控制该公司的30余台重要设备并窃取数据。包括个人计算机、服务器和网络设备等;被控服务器包括,邮件服务器、办公系统服务器、代码管理服务器、测试服务器、开发管理服务器和文件管理服务器等。为实现持久控制,攻击者在相关服务器以及网络管理员计算机中植入了能够建立websocket+SSH隧道的攻击窃密武器,实现了对攻击者指令的隐蔽转发和数据窃取。为避免被发现,该攻击窃密程序伪装成微信相关程序WeChatxxxxxxxx.exe。攻击者还在受害服务器中植入了2个利用PIPE管道进行进程间通信的模块化恶意程序,实现了通信管道的搭建。

  二、窃取大量商业秘密信息

  (一)窃取大量敏感邮件数据

  攻击者利用邮件服务器管理员账号执行了邮件导出操作,窃密目标主要是该公司高层管理人员以及重要部门人员。攻击者执行导出命令时设置了导出邮件的时间区间,有些账号邮件全部导出,邮件很多的账号按指定时间区间导出,以减少窃密数据传输量,降低被发现风险。

  (二)窃取核心网络设备账号及配置信息

  攻击者通过攻击控制该公司3名网络管理员计算机,频繁窃取该公司核心网络设备账号及配置信息。例如,2023年5月2日,攻击者以位于德国的代理服务器(95.179.XX.XX)为跳板,入侵了该公司邮件服务器后,以邮件服务器为跳板,攻击了该公司网络管理员计算机,并窃取了“网络核心设备配置表”、“核心网络设备配置备份及巡检”、“网络拓扑”、“机房交换机(核心+汇聚)”、“运营商IP地址统计”、“关于采购互联网控制网关的请示”等敏感文件。

  (三)窃取项目管理文件

  攻击者通过对该公司的代码服务器、开发服务器等进行攻击,频繁窃取该公司相关开发项目数据。例如,2023年7月26日,攻击者以位于芬兰的代理服务器(65.21.XX.XX)为跳板,攻击控制该公司的邮件服务器后,又以此为跳板,频繁访问在该公司代码服务器中已植入的后门攻击武器,窃取数据达1.03GB。为避免被发现,该后门程序伪装成开源项目“禅道”中的文件“tip4XXXXXXXX.php”。

  (四)清除攻击痕迹并进行反取证分析

  为避免被发现,攻击者每次攻击后,都会清除计算机日志中攻击痕迹,并删除攻击窃密过程中产生的临时打包文件。攻击者还会查看系统审计日志、历史命令记录、SSH相关配置等,意图分析机器被取证情况,对抗网络安全检测。

  三、攻击行为特点

  (一)攻击时间

  分析发现,此次攻击活动主要集中在北京时间22时至次日8时,相对于美国东部时间为白天10时至20时,攻击时间主要分布在美国时间的星期一至星期五,在美国主要节假日未出现攻击行为。

  (二)攻击资源

  2023年5月至2023年10月,攻击者发起了30余次网络攻击,攻击者使用的境外跳板IP基本不重复,反映出其高度的反溯源意识和丰富的攻击资源储备。

  (三)攻击武器

  攻击者植入的2个用于PIPE管道进程通信的模块化恶意程序位于“c:windowssystem32”下,使用了.net框架,编译时间均被抹除,大小为数十KB,以TLS加密为主。邮件服务器内存中植入的攻击武器主要功能包括敏感信息窃取、命令执行以及内网穿透等。在相关服务器以及网络管理员计算机中植入的攻击窃密武器,使用https协议,可以建立websocket+SSH隧道,会回连攻击者控制的某域名。

  四、部分跳板IP列表

  美网络攻击我国某先进材料设计研究院事件调查报告

  2024年12月18日,国家互联网应急中心CNCERT发布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html),发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某先进材料设计研究院的网络攻击详情,为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。

  一、网络攻击流程

  (一)利用漏洞进行攻击入侵

  2024年8月19日,攻击者利用该单位电子文件系统注入漏洞入侵该系统,并窃取了该系统管理员账号/密码信息。2024年8月21日,攻击者利用窃取的管理员账号/密码登录被攻击系统的管理后台。

  (二)软件升级管理服务器被植入后门和木马程序

  2024年8月21日12时,攻击者在该电子文件系统中部署了后门程序和接收被窃数据的定制化木马程序。为逃避检测,这些恶意程序仅存在于内存中,不在硬盘上存储。木马程序用于接收从涉事单位被控个人计算机上窃取的敏感文件,访问路径为/xxx/xxxx?flag=syn_user_policy。后门程序用于将窃取的敏感文件聚合后传输到境外,访问路径是/xxx/xxxStats。

  (三)大范围个人主机电脑被植入木马

  2024年11月6日、2024年11月8日和2024年11月16日,攻击者利用电子文档服务器的某软件升级功能将特种木马程序植入到该单位276台主机中。木马程序的主要功能一是扫描被植入主机的敏感文件进行窃取。二是窃取受攻击者的登录账密等其他个人信息。木马程序即用即删。

  二、窃取大量商业秘密信息

  (一)全盘扫描受害单位主机

  攻击者多次用中国境内IP跳板登录到软件升级管理服务器,并利用该服务器入侵受害单位内网主机,并对该单位内网主机硬盘反复进行全盘扫描,发现潜在攻击目标,掌握该单位工作内容。

  (二)目的明确地针对性窃取

  2024年11月6日至11月16日,攻击者利用3个不同的跳板IP三次入侵该软件升级管理服务器,向个人主机植入木马,这些木马已内置与受害单位工作内容高度相关的特定关键词,搜索到包含特定关键词的文件后即将相应文件窃取并传输至境外。这三次窃密活动使用的关键词均不相同,显示出攻击者每次攻击前均作了精心准备,具有很强的针对性。三次窃密行为共窃取重要商业信息、知识产权文件共4.98GB。

  三、攻击行为特点

  (一)攻击时间

  分析发现,此次攻击时间主要集中在北京时间22时至次日8时,相对于美国东部时间为白天时间10时至20时,攻击时间主要分布在美国时间的星期一至星期五,在美国主要节假日未出现攻击行为。

  (二)攻击资源

  攻击者使用的5个跳板IP完全不重复,位于德国和罗马尼亚等地,反映出其高度的反溯源意识和丰富的攻击资源储备。

  (三)攻击武器

  一是善于利用开源或通用工具伪装躲避溯源,此次在涉事单位服务器中发现的后门程序为开源通用后门工具。攻击者为了避免被溯源,大量使用开源或通用攻击工具。

  二是重要后门和木马程序仅在内存中运行,不在硬盘中存储,大大提升了其攻击行为被我分析发现的难度。

  (四)攻击手法

  攻击者攻击该单位电子文件系统服务器后,篡改了该系统的客户端分发程序,通过软件客户端升级功能,向276台个人主机投递木马程序,快速、精准攻击重要用户,大肆进行信息搜集和窃取。以上攻击手法充分显示出该攻击组织的强大攻击能力。

  四、部分跳板IP列表

 

[ 责编:王宏泽 ]
阅读剩余全文(

相关阅读

您此时的心情

光明云投
新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 山东青岛:科技赋能 万象"耕"新

  • 海南:食用菌科技小院助农增收

独家策划

推荐阅读
据《自然》杂志近日报道,美国新兴技术观察站(ETO)一项分析报告发现,中国目前正在进行的大部分芯片设计和制造研究方面的基础研究,有望为未来的计算硬件奠定基础。
2025-03-14 09:46
车市竞争从价格战转向智驾战。近期上市的几款新车上搭载或升级智驾功能,包括15万元级的深蓝L07,长安汽车董事长朱华荣表示:“今年8月将智驾覆盖到10万元级车型。“比亚迪多款车型搭载了基于地平线征程6M的天神之眼C高阶智驾系统。
2025-03-14 09:39
此项研究中,团队将金属熔化,并利用团队前期制备的高质量单层二硫化钼压砧进行挤压,实现了多种二维金属的普适制备。
2025-03-14 09:38
近日,来自浙江中医药大学第一附属医院的陈喆研究员团队,联合浙江大学化学系白宏震、汤谷平教授及海洋学院王楠副教授团队,在材料科学领域的国际顶级期刊Advanced Materials上发表最新研究成果。
2025-03-14 09:38
北京大学生命科学学院、北大—清华生命科学联合中心白洋团队13日凌晨在国际学术期刊《细胞》发表成果,构建首个作物根际细菌基因组数据库以及作物根际病毒基因组数据库,
2025-03-14 04:10
我出生在安徽寿县农村,幼时目睹父老乡亲缺医少药的困境,长大后便下定决心做一名医生,治病救人。
2025-03-14 04:25
2025年3月13日是第20个世界肾脏日,本届主题是“您的肾脏还好吗?早检查,保健康”,旨在呼吁全社会关注肾脏健康,提高对慢性肾脏病的早期认识,强调了早期发现和干预对肾脏健康的重要性。
2025-03-13 09:15
从中国农业科学院棉花研究所获悉,该所王占彪研究员团队定量解析了童装、针织衫、工作服、T恤和作训服等棉质纺织品“从种子到成衣”全阶段的碳排放情况,即碳足迹,并提出对应的具体“减碳”策略,为我国棉花纺织服装产业的可持续发展提供了重要思路和线索,也为全球棉花纺织产业减排策略的制定提供了科学依据。相关研究成果近日发表在环境科学类国际期刊《资源、保护与回收》上。
2025-03-13 04:40
刚开学,我和学生聊天,询问他们假期有啥进步。有学生说深入钻研了英语六级通关秘籍,自信本学期六级必定取得高分;有学生讲潜心研究了高压绝缘,C刊论文胜券在握;
2025-03-13 05:15
这个春天,越来越多“Z世代”新农人走进田间地头,带来春耕新气象。如今,他接到了3000多亩农田的服务“订单”,周边农户都乐意把农田托付给这个老练的“新农人”来打理。
2025-03-13 09:01
在总结11个术前免穿刺手术案例的基础上,邢念增在国际上首创“前列腺癌免穿刺理念”。
2025-03-13 09:01
人工智能的快速发展和广泛应用,能够推动数实深度融合,释放需求潜力,提升产出效率,推动全要素生产率持续提高。
2025-03-13 09:00
2025年世界移动通信大会(MWC2025)虽已落幕,但引发的思考和争论仍在持续。
2025-03-12 10:11
龙泉又多了一张新名片——汽车空调热管理产业,全市不到30万的人口中,就有近2万人从事汽车空调行业。
2025-03-12 10:01
发展新质生产力,抢占科技创新与产业创新制高点已成为各国在新一轮科技革命和产业变革中抢占先机的“首选项”。
2025-03-12 09:59
新一轮科技革命和产业变革带来的机遇之下,找准产业发展需求的“钉子”,砸实科技成果转化的“锤子”,是实施创新驱动发展战略的关键。
2025-03-12 09:58
代表委员之声——创新引领推动未来产业
2025-03-12 09:53
CGT25型燃气轮机额定输出功率25兆瓦,具有功率密度大、结构紧凑、地域适应性强、双燃料适配及在线切换等特点。
2025-03-11 09:05
科普事业的发展,是一场与时代共进的征程。把科普这一“翼”做强做优,在全社会形成崇尚科学、追求创新的良好风尚,就能更好助力科技创新的腾飞。
2025-03-11 09:04
从伦理治理的角度看,研发者应在数据收集、模型训练和算法设计阶段,引入多样性、多元化的视角,避免单一文化或群体偏见主导AI。
2025-03-11 09:04
加载更多