組織行為
2012年4月起,有境外黑客組織對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計畫、有針對性的長時間不間斷攻擊。
現已捕獲OceanLotus特種木馬樣本100餘個,感染者遍布國內
2014年2月以後,OceanLotus進入攻擊活躍期,並於2014年5月發動了最大規模的一輪魚叉攻擊,大量受害者因打開帶毒的郵件附屬檔案而 感染特種木馬。而在2014年5月、9月,以及2015年1月,該組織又對多個政府機構、科研院所和涉外企業的網站進行篡改和掛馬,發動了多輪次、有針對 性的水坑攻擊。
OceanLotus先後使用了4種不同形態的特種木馬。初期的OceanLotus特種木馬技術並不複雜,比較容易發現和查殺。但到了2014 年以後,OceanLotus特種木馬開始採用包括檔案偽裝、隨機加密和自我銷毀等一系列複雜的攻擊技術與安全軟體進行對抗,查殺和捕捉的難度大大增加。 而到了2014年11月以後,OceanLotus特種木馬開始使用雲控技術,攻擊的危險性、不確定性與木馬識別查殺的難度都大大增強。
以個境外黑客組織OceanLotus(海蓮花)被360天眼實驗室捕獲,該黑客組織發動針對中國的APT攻擊長達三年,主要攻擊的目標是中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域。
據360天眼實驗室發布的報告顯示,“海蓮花”發動的APT攻擊,地域遍布國內29個省,以及境外的36個國家。主要使用的是“魚叉攻擊”、“水坑攻擊”兩種方式。在其潛伏3年時間裡,至少使用了4種不同程式形態、不同編碼風格和不同攻擊原理的木馬程式,惡意伺服器遍布全球13個國家,註冊的已知域名多達35個。
攻擊手段
該組織主要通過魚叉攻擊和水坑攻擊等方法,配合多種社會工程學手段進行滲透,向境內特定目標人群傳播特種木馬程式,秘密控制部分政府人員、外包商和行業專家的電腦系統,竊取系統中相關領域的機密資料。 為了隱蔽行蹤,該組織還至少先後在6個國家註冊了C2(也稱C&C,是Command and Control的縮寫)伺服器域名35個,相關伺服器IP位址19個,伺服器分布在全球13個以上的不同國家。
社會評價
OceanLotus組織的攻擊周期之長(持續3年以上)、攻擊目標之明確、攻擊技術之複雜、社工手段之精準,都說明該組織絕非一般的民間黑客組織,而很有可能是具有國外政府支持背景的、高度組織化的、專業化的境外國家級黑客組織。