2018年网安事件盘点（下）

会员服务 ·

2018年网安事件盘点（下）

2019 年 2 月 3 日 中科院之声

2018年已经过去，2019年已经到来，多宗热点新闻迭代更替。在此，大东和小白一起来为大家盘点2018年网络安全领域的大事件。

NO.7 瞄上“微信支付宝等”的勒索病毒

1.事件穿越

小白：东哥，2018年12月初的时候出现了一个叫“微信支付勒索病毒”的病毒，后来又出现了“支付宝病毒”，具体是什么情况呢？

大东：其实，你说的这两个病毒是同一个病毒。而且并不止 “勒索”一点点钱财那么简单。

小白：听上去好恐怖的样子。

大东：其实这就是个简单的勒索病毒，它的手法也并不高级。

小白：你看这几天的新闻报道，说国内出现了要求微信支付赎金的勒索病毒，入侵用户电脑后会加密用户文件，但不收取比特币，而是要求受害者扫描弹出的微信二维码支付110元赎金，获得解密钥匙。钱虽然不多，但是如果很多用户迫于一时麻烦缴纳了赎金，积少成多的金额也不容小觑呢。不能掉以轻心。

大东：我只是说手法不复杂，但没有说这件事不重要啊。作为国内首款要求微信支付的勒索病毒，而且赎金仅110元，很可能打的就是网民“破财免灾”的心理战术。

2.事件影响

小白：你刚才说到不止“勒索”钱财，其他还有什么呢？

大东：该勒索软件不仅可以加密系统文件，还可窃取淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号等中国主流线上服务商的登录凭证。影响逾10万台计算机。

小白：怎么感觉就是赤裸裸的针对我们啊！

大东：可以说是针对中国用户发起的供应链攻击致新勒索病毒蔓延。

小白：看来这个事件应该叫做瞄上“支付宝京东网易微博百度QQ天猫旺旺酷狗迅雷”的勒索病毒事件。

3.小白内心戏

小白：个人用户及企业内网、服务器管理员养成良好的安全习惯，提高风险防范意识，并正确使用安全软件，遵守企业各类安全流程、避免勒索病毒给我们造成严重影响或重大损失。（艾玛，好官方，但是很重要啊！）

4.大咖说

大咖：“微信支付”勒索病毒利用了开发工具污染作为攻击窗口，采用对易语言编译环境污染的供应链攻击方式进行传播。近几年网络攻击中出现一种威胁程度持续上升的关键攻击载体，越来越多的威胁行为体将目标转向供应链环节。由于供应链攻击具有隐蔽性强、攻击传播范围广等特点，其影响绝不低于高级持续性威胁的攻击。供应链攻击越来越受到攻击者的关注，且影响的领域越来越广泛。

NO.8 “史上最严”用户数据保护条例GDPR正式生效

1.事件穿越

小白：东哥，有时候我觉得，我的手机 APP 之间好像可以交流一样，我在购物 APP 上搜索了想买的东西，第二天，其他应用就出现了相同类型产品的广告，细思极恐啊。

大东：其实，这就是我们的个人数据的被利用了。但 GDPR 的出现，可能会改变这一现象呢。

小白：GDPR？和 GDP 有关系吗？

大东：GDPR是英文“General Data Protection Regulation”的缩写，通常翻译为“通用数据保护条例”，其规定了企业如何收集，使用和处理欧盟公民的个人数据。它于2018年5月25日生效，并在欧盟实施的同时，不仅适用于欧盟的组织，也适用于在欧盟拥有客户和联系人的组织。

GDPR（图片来源：百度图库）

小白：哇哦，具体都有哪些条例呢？

大东：刚刚你说到的现象在条例里是有规定的哦，在条例里被称为“限制处理权”。如果你认为企业收集的个人数据不准确，或者使用了非法的处理手段，但又不想删除数据的话，可以要求限制它对个人数据的使用。还有，用户可以向企业查询自己的个人数据是否在被处理和使用，以及使用的目的，收集的数据的类型等。这个被称作“查阅权”。具体的条例还有很多很多。

2.事件影响

小白：感觉 GDPR 的正式生效，让用户们拥有了强有力的个人数据保障呢。

大东：是的，用户有了更多的隐私、用户的个人数据更安全，同时为消费者们带来更好的购物体验。

小白：那对企业的影响也很大吧？

大东：除了明确用户在个人信息上的安全，GDPR 对企业在处理个人数据方面也做出了非常细致的规定。GDPR 可以说是迄今为止覆盖面最广的全球性数据隐私保护法规，任何处理欧洲公民个人数据的组织都必须遵守该条例。不合规的企业可能面临高达 2000 万欧元或 4% 年营业额的罚款，并以较高者为准。Facebook 就可能因数据泄露而面临16亿美元的罚款。作为相对严格的法案一定会有利有弊，等待实施一段时间后跟踪他的新进展吧！这个任务就交给你了。

小白：遵命！

3.小白内心戏

小白：“茫茫”人潮中渺小的我，受到强大保护的感觉真好~

4.大咖说

大咖：GDPR 是强制执行的隐私条例，规定了企业在对客户的数据进行收集、存储、保护、使用和移植的新标准，并且提高了客户对自己数据的处理权限。但过于严苛的隐私保护条款和高额的罚款对企业造成了很大负担，部分企业的网站倒退回纯文字版，甚至暂时退出了欧盟市场。简单粗暴的惩罚措施对营收少但拥有大量数据的企业来说形同虚设。GDPR在实际执行中也面临不少挑战，各成员国法律制度不同，部分条文和名词定义也存在争议，立法保护数据势在必行，但需循序渐进。

NO.9 浙江大规模数据盗窃案

1.事件穿越

小白：东哥，为什么我的微信前阵子总是自己悄悄关注奇怪的公众号呢？

大东：你的账号肯定已经被黑灰产团伙盯上了。18年年中，浙江绍兴越城区警方成功侦破史上最大规模的数据窃取案，犯罪嫌疑人利用运营商的空子，非法获取超过30亿条公民信息。被操纵的账号就表现为微信、微博关注列表突然出现一堆营销账号，QQ突然被加进陌生群组，抖音莫名关注某网红。

小白：30亿！运营商！我的天呐！

大东：此案波及电信、移动、联通、铁通、广电等全国多个省市的20多家运营商，继而导致百度、腾讯、阿里、今日头条等全国96家互联网公司的用户数据被获取，几乎国内所有的核心互联网企业均被“雁过拔毛”、无一幸免。

小白：也就是说，咱用户在网上搜索什么、去了哪儿、买了啥这些信息，都已经被犯罪团伙掌握了！

大东：可以这么说，但目前案件已经侦破，暂可放心。

2018年7月3日，浙江绍兴越城警方在北京海淀区瑞智华胜公司抓捕犯罪嫌疑人，技术人员进行现场取证。（图片来源：北京青年报）

2.事件影响

小白：运营商心手里可是全国用户的真实信息呢！被盗可还得了！

大东：犯罪团伙与覆盖十余省市的运营商签订服务合同，在运营商服务器中布置恶意采集信息程序，从运营商流量池中非法获取用户数据，为逃避监管追查，还将部分数据存储于日本的服务器上。

小白：通过谋取的信息来谋利？

大东：黑灰产团伙对已经操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广，非法获利，犯罪团伙旗下一家公司一年营收就超过3000万元。好好回去看看2018年9月报道这件事的“账号出现莫名关注，史上最大规模数据窃取案丨专栏”！我有讲解这个案件的手法和原理。

小白：好嘞！

3.小白内心戏

小白：天网恢恢，疏而不漏啊！

4.大咖说

大咖：窃取客户敏感数据实际上已经形成了黑色产业链，作为关键信息基础设施的电信、移动、联通等运营商已成为包括黑产在内的威胁行为体的重要目标。此次事件一方面暴露了运营商对客户信息监管职责上的不足，另一方面则暴露了我国关键信息基础设施和关键信息系统的脆弱性。对于我国关键信息基础设施的防护来说，防御体系建设必须对标高能力对手的攻击能力，必须建立有效的敌情想定，以对手的能力来驱动防御能力的演进。

N0.10 黑客利用思科高危漏洞攻击多家机构事件

1.事件穿越

大东：3月28日，思科发布了高危漏洞预警称思科 IOS、IOS XE 和 IOS XR 软件中存在多个漏洞。其中包含2个远程代码执行漏洞 CVE-2018-0171、CVE-2018-0151。攻击者可利用漏洞进行未授权访问、提权、执行任意代码或导致拒绝服务。

小白：东哥，我什么也没问啊！你这信息量有点大啊！

大东：CVE-2018-0171 在清明小长假期间被黑客利用发动攻击，国内多家机构中招，配置文件被清空，安全设备形同虚设。此漏洞影响底层网络设备，且漏洞 PoC 已公开，很有可能构成重大威胁。

小白：诶诶诶，这么严重！

受影响的区域图（图片来源：百度图库）

2.事件影响

大东：事件起初，一个名为“JHT”的黑客组织利用思科 CVE-2018-0171 智能安装漏洞攻击了包括俄罗斯和伊朗在内的多个国家网络基础设施。被攻击的 Cisco 路由器的配置文件 startup.config 会被覆盖，路由器将重新启动。

小白：为什么这事件一直是你在说说说。

大东：技术术语有点多，怕对你难度有点大。4月5日，思科 Talos 团队发博文称，发现黑客利用该漏洞攻击关键基础设施。该团队通过搜索引擎 Shodan 发现，约有250,000个易受攻击的思科设备打开了TCP端口4786，潜在暴露的系统约16.8万个。

小白：额…您继续。

大东：同时，我国相关部门也陆续收到多个国内机构遭受同样的攻击的消息。被攻击的设备除瘫痪外，配置文件还会显示一个美国国旗。

小白：漏洞已经修复了吗？

大东：思科已经在 IOS 和 IOS XE软件中修补了17个高危漏洞，包括 DoS 问题，但是其中一些漏洞可用于远程代码执行和权限提升。

3.小白内心戏

小白：修复了我就放心了。

4.大咖说

大咖：从过去来看，我们更多的是关注 PC 端节点的安全防护，对于路由器、交换机、防火墙等网络设备的未经授权的访问、软件修改、硬件修改等深度风险缺少系统性的认识与应对。而当受到具有国家背景的、极高隐蔽性的高级威胁组织的网络攻击时，这种基于网络设备节点的攻击是很难被捕获和发现的，由此带来的大规模影响也就不言而喻了。习总书记在4.19网信工作座谈会上指出：“国家关键信息基础设施面临较大风险隐患，网络安全防控能力薄弱，难以有效应对国家级、有组织的高强度网络攻击”。对于关键信息基础设施和重要信息系统，需要以有效地敌情想定为前提，建立动态综合的网络安全防御体系。

NO.11 “绿斑”行动——持续多年的攻击

1.事件穿越

大东：因窃密事件、信息泄露事件频发，高级网空威胁愈演愈烈，2018年10月7日，中央电视台焦点访谈栏目针对高级网空威胁行为体的窃密攻击活动做了一集专题报道，节目介绍了安天近期披露的高级网空威胁行为体“绿斑”，并对如何做好网络安全防护工作做了详细的解读。

小白：为什么要把这个攻击组织称为“绿斑”呢？

大东：你的关注点有些特别呢，是根据与该组织所在地区有一定关联的海洋生物作为名字——“绿斑”（Green Spot）。

小白：该组织是如何进行攻击的？

大东：问得好，2007年以前，该攻击组织总体上自研能力有限，以开源或免费工具为主要攻击手段，和其他一些 APT 攻击中出现的自研木马、商用木马相比，这是一种相对低成本、更多依靠作业者技巧的攻击方式。自2010年以后，该地区组织攻击能力已经有所提升，善于改良1day和陈旧漏洞并对其进行利用，能够对公开的网络攻击程序进行定制修改，也出现了自研的网络攻击装备。2010年以后相关活动明显增多、攻击能力提升较快。

小白：可恶！

2.事件影响

大东：小白，你知道吗，“绿斑”组织的攻击以互联网暴露目标和资产为攻击入口，采用社工邮件结合漏洞进行攻击，其活跃周期可能长达十年以上！

小白：这么长时间！该组织针对哪些目标人群进行攻击呢？

大东：“绿斑”攻击组织主要针对我国政府部门和航空、军事、科研等相关的机构和人员进行网络攻击，试图窃取机密文件或数据。这是一组时间跨度非常漫长的攻击行动，目前可以确定该攻击组织的活跃时间超过7年，甚至可能达到11年以上。

小白：持续这么长时间的攻击，看来该组织的这种攻击手段确实是“有机可乘”啊。

大东：是的，APT 攻击组织使用相关漏洞的攻击窗口期，如果与可能被攻击目标的未进行对应漏洞修复的攻击窗口期重叠，就不是简单的漏洞修复问题，而是深入的排查和量损、止损问题。

3.小白内心戏

小白：看来，网络安全对抗已经称为大国博弈的重要对抗手段了。

4.大咖说

大咖：与传统情报作业相比，网络入侵对信息窃取破坏行为，无疑是一种成本更低、隐蔽性更强、更难以追踪和威胁性更大的作业方式。尽管“绿斑”组织不代表 APT 攻击的最高水准，但其威胁依然值得高度警惕。APT的核心从来不是A（高级），而是P（持续），因为P体现的是攻击方的意图和意志。面对拥有坚定的攻击意志、对高昂攻击成本的承受力、团队体系化作业的攻击组织来说，必须建立扎实的系统安全能力。以“绿斑”攻击组织常用的攻击入口邮件为例，不仅要做好身份认证、通信加密等工作，附件动态检测分析，邮件收发者所使用终端的安全加固和主动防御等工作也需要深入到位。对于政府、军队、科研等重点部门和重要人员，更需要在公私邮件使用、收发公私邮件的不同场景的环境安全方面都有明确的规定与要求。邮件只是众多的攻击入口之一，所有信息交换的入口，所有开放服务的暴露面，都有可能成为 APT 攻击者在漫长窥视和守候过程中的首发命中机会。

来源：中国科学院计算技术研究所

温馨提示：近期，微信公众号信息流改版。每个用户可以设置常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」