海蓮花特種木馬感染量歷史分布。

　　　　海蓮花特種木馬感染者地域分布。

　　澎湃新聞獨家獲悉，中國網絡安全公司360旗下的“天眼”實驗室將發布報告，首次披露一起針對中國的國家級黑客攻擊細節。該境外黑客組織被命名為“海蓮花（OceanLotus）”，自2012年4月起，“海蓮花”針對中國的海事機構、海域建設部門、科研院所和航運企業，展開了精密組織的網絡攻擊，很明顯是一個有國外政府支持的APT（高級持續性威脅）行動。

　　以“新疆暴恐”誘人中招

　　“海蓮花”使用木馬病毒攻陷、控制政府人員、外包商、行業專家等目標人群的電腦，意圖獲取受害者電腦中的機密資料，截獲受害電腦與外界傳遞的情報，甚至操縱該電腦自動發送相關情報，從而達到掌握中方動向的目的。

　　據“天眼”實驗室分析，海蓮花攻擊的主要方式有“魚叉攻擊”和“水坑攻擊”。

　　“魚叉攻擊”最常見的做法是，將木馬程序作為電子郵件的附件，并起上一個極具誘惑力的名稱，發送給目標電腦，誘使受害者打開附件，從而感染木馬。如，在去年5月22日新疆發生了致死31人的暴力恐怖性事件之后，5月28日，該黑客組織曾發送名為“新疆暴恐事件最新通報”的電子郵件及附件，引誘目標人群“中招”。該組織曾發送過的電郵名稱還包括“公務員工資收入改革方案”等一系列社會高度關注的熱點，令人防不勝防。

　　“水坑攻擊”，顧名思義，是在受害者必經之路設置了一個“水坑（陷阱）”。最常見的做法是，黑客分析攻擊目標的上網活動規律，尋找攻擊目標經常訪問的網站的弱點，先將此網站“攻破”并植入攻擊代碼，一旦攻擊目標訪問該網站就會“中招”。曾經發生過這樣的案例，黑客攻陷了某單位的內網，將內網上一個要求全體職工下載的表格偷偷換成了木馬程序，這樣，所有按要求下載這一表格的人都會被植入木馬程序，向黑客發送涉密資料。

　　京津兩地感染人數最多

　　“海蓮花”組織在攻擊中還配合了多種“社會工程學”的手段，以求加大攻擊效果。比如，在進行“魚叉攻擊”時，黑客會主要選擇周一和周五，因為這兩個時間人們與外界的溝通比較密切，是在網絡上傳遞信息的高峰期。而“水坑攻擊”的時間則一般選在周一和周二的時間，因為這個時候一般是單位發布通知、要求職工登錄內網的時候。

　　目前已經捕獲的與“海蓮花”相關的第一個特種木馬程序出現在2012年4月，當時，首次發現第一波針對海運港口交通行業的“水坑”攻擊，海蓮花組織的滲透攻擊就此開始。不過，在此后的2年內，“海蓮花”的攻擊并不活躍。直到2014年2月，海蓮花開始對中國國內目標發送定向的“魚叉”攻擊，海蓮花進入活躍期，并在此后的14個月中對我國多個目標發動了不間斷的持續攻擊。2014年5月，海蓮花對國內某權威海洋研究機構發動大規模魚叉攻擊，并形成了過去14個月中魚叉攻擊的最高峰。

　　“天眼”實驗室表示，其已捕獲與海蓮花組織有關的4種不同形態的特種木馬程序樣本100余個，感染者遍布中國29個省級行政區和境外的36個國家。其中，中國的感染者占全球92.3%，而在境內感染者中，北京地區最多，占22.7%，天津次之，為15.5%。為了隱蔽行蹤，海蓮花組織還先后在至少6個國家注冊了服務器域名35個，相關服務器IP地址19個，分布在全球13個以上的不同國家。

　　大數據技術揭開“海蓮花”面紗

　　“天眼”實驗室向記者介紹，事實上，“海蓮花”的攻擊早已被他們捕捉到，但之前只是零散的發現，直到去年起，360成立“天眼”實驗室，利用大數據技術進行未知威脅檢測，才首次發現了這些散見威脅之間的聯系，一個國家級黑客攻擊行為的輪廓才逐漸清晰。

　　雖然發現了海蓮花的攻擊軌跡，但如何確定這不是一起普通的商業黑客行為，而是由某個敵對國家支持的呢？面對記者的這一疑問，“天眼”實驗室表示，首先，這種有組織、有計劃的長期攻擊行為需要很高的投入，不是一般商業公司能夠負擔的；其次，“海蓮花”覬覦的資料對商業機構沒有什么價值。“綜合來看，海蓮花組織的攻擊周期之長（持續3年以上）、攻擊目標之明確、攻擊技術之復雜、社工手段之精準，都說明該組織絕非一般的民間黑客組織，而是具有國外政府支持的、高度組織化、專業化的國家級黑客組織。”

　　網絡間諜行為將越來越多

　　近年來，各國圍繞著“網絡空間”的攻防戰愈演愈烈，所謂的APT攻擊（高級持續性威脅）這一常用的網絡攻擊手段，從業內人的術語開始為普通人所知。世界知名網絡安全公司Fireeye(火眼）在數年前發布了世界上第一個APT攻擊報告APT One，此后開始持續發布類似網絡威脅。其他知名網絡安全廠商如卡巴斯基等，也有自己的APT安全報告。

　　2014年7月美國媒體曾報道稱，中國黑客曾在當年3月侵入美國政府電腦系統，中國外交部發言人就此回應強調，中方堅決反對網絡黑客攻擊行動，在這方面，中方說到做到。“美國一些媒體和網絡安全公司經常抹黑中國，制造所謂中國網絡威脅，他們根本拿不出充分的證據。”

　　軍事專家宋忠平對澎湃新聞說，中國是網絡攻擊的最大受害國，這是不爭的事實，科研院所、高校等單位是“重災區”。中國也很重視網絡安全，注意在政府部門等關鍵場所的局域網的保護，不過，最要加強管理的還是人，必須加強對涉密人員的教育，讓他們知道，作為個別人，他們掌握的部分信息可能并不重要，但卻是重大機密的一部分，如果被人獲取、整合，就可能造成重大損失。

　　宋忠平表示，美國2010年已經建立了網絡戰司令部，在今天的信息社會，誰能控制“信息流”，誰就能掌握戰爭的先機，甚至能左右戰爭的進程。隨著我們日常生活“信息化”程度的加深，越來越多的信息實現數據化，能夠在網絡上傳輸，這也為網絡間諜行為提供了機會。此次的網絡攻擊從2014年開始進入活躍期，就是與中國對網絡依賴度加深有關，以往的間諜行為主要通過人工實現，現在由于很多信息可以通過網絡獲取，網絡間諜行為越來越多，這將是一個趨勢。