知道创宇安全大脑长期以来守护中国在线业务系统。监测数据表明,美国是我国境外网络攻击的最大源头,特别是在中国重要节假日和社会活动期间,来自美国的攻击活动异常活跃,而且,美国对我国重要敏感单位进行的APT攻击已经常态化。从美国7月19日发布不实文章到发稿时,美国仍在对中国进行大规模攻击渗透。
一、近六季度,美国一直是我国境外网络攻击的最大源头
多年来,美国一直是我国关键信息系统攻击的最大源头。
知道创宇安全大脑数据统计显示,2020年至今的6个季度,在境外对中国重要敏感单位关键业务系统发起攻击的国家中,美国占比始终位于第一。在平均每10次来自美国的网络请求中,就有一次网络攻击行为。
2020年Q1和2020年Q2,来自美国的境外攻击占比约54%,从2020年Q2后,开始攻击呈上升趋势,2020年Q3,攻击占比达到了近71%,2020年Q4攻击占稍微下降比为56%,到2021年Q1和2021年Q2继续呈上升趋势。尤其是在2021年3月我国重要社会活动期间,美国的攻击占比达到了68%。
二、在中国重点节假日和社会活动期间,来自美国的攻击活动异常活跃
美国从未停止对我国展开网络攻击,尤其在国内举办重大节假日和社会活动期间,网络攻击更加活跃。在2021年3月我国重大会议举办期间以及7月我国重大社会活动期间,来自美国的网络攻击数据也更加印证了这一趋势。
1.2021年3月我国重大会议举办期间(3月1日-3月15日),来自美国的攻击趋势图如下:
从上面攻击趋势图可以看出,美国在我国重大会议开始前便开始对我国关基设施和重点单位业务系统发起攻击,到重大会议开幕当天,攻击量更是到达峰值。经统计,我国重大会议举办期间,美国对我国关键信息系统发起攻击58,166,867次,单日最高峰值达到5,630,084次。
2.2021年7月我国重大社会活动期间(6月26日-7月7日),来自美国的攻击趋势图如下:
在这期间,美国对我国关键信息系统累积发起攻击164,579,211次。单日最高峰值达到28,976,025次。
从重大活动、节假日期间的攻击量上可以直观地看出,美国对中国的攻击是有目的、有针对性的。从攻击类型分布看,也更加印证了这一点。
从两次重大社会活动美国对我国的攻击数据来看,攻击类型占比中网站后门攻击的占比达到了30%。与其他攻击类型相比,网站后门的危害最大,通过在业务系统中植入后门,以达到长期控制的目的。可见,美国对中国的关键信息系统攻击活动极具威胁性。
三、美国对我国重要敏感单位进行APT攻击已经常态化
除中国的重大活动及节假日期间,美国对中国发起的网络攻击明显活跃外,美国还长期对中国的重要敏感单位进行APT攻击。
案例1:洋葱路由隐秘攻击
疑似黑客或黑客组织通过国外大学或研究机构的洋葱路由对国内业务系统进行攻击,包括超过47个重要敏感单位的信息系统及新闻网站。
IP:158.***.***.242为美国某大学所有。并且,这是一个洋葱路由,对应域名为:tor-xxx.xxx.*****.edu。
访问洋葱路由:
案例2:定向持续性恶意蠕虫分发
知道创宇安全大脑捕获到来自美国的持续性蠕虫攻击。
经过对攻击样本的Payload进行分析后发现,该Payload的主要功能是遍历SQLServer数据库中表,然后植入第三方广告。这类攻击手法,在国内非常少见。通过搜索引擎可以发现,大量业务系统或网站已经被植入广告。据统计,超过230个的网站或业务系统已经被植入相关蠕虫病毒,并持续感染中。
例如:某信息港业务系统(www.hxxxrk.cn/detail.aspx?id=33&type=gonggao)
四、从美国发布不实文章到目前,仍在对中国进行大规模攻击渗透
知道创宇安全大脑实时监测统计数据,从2021年7月19日11:00美国发布不实文章到2021年7月24日00:00,美国仍在对中国发起大量的网络攻击,对中国关键信息系统发起的攻击量达到 38,415,677次,攻击占比达到56.28%,攻击的业务系统数量达到487,324个,其中,来自美国的80682个IP对我国的261738个业务系统发起了网站后门攻击,试图控制这些业务系统,包含超过16000个涉及我国国计民生的关键信息系统。
表1 攻击IPv4 TOP 50(所有IP均来自于美国):
表2 攻击IPv6 TOP 20(所有IP均来自于美国):
作者:知道创宇 来源:中国信息安全(图片来源网络 侵删)