趁火打劫！“疫情做餌”的網(wǎng)絡(luò)攻擊來了

就在全國人民萬眾一心抗擊疫情之際，不少黑客犯罪團(tuán)伙卻公然盯上了“新冠病毒”疫情題材，以此為誘餌對我國醫(yī)療機(jī)構(gòu)和眾多遠(yuǎn)程辦公企事業(yè)單位發(fā)動(dòng)了網(wǎng)絡(luò)攻擊，讓這場本就步履維艱的疫情之戰(zhàn)，更加艱難。

“新冠病毒”重大疫情當(dāng)前，無論是國家、企業(yè)、醫(yī)療機(jī)構(gòu)還是個(gè)人，都投入到了一場史無前例的抗疫戰(zhàn)役中。

然而，就在醫(yī)護(hù)和防疫人員生死奮戰(zhàn)在前線、不休不眠與時(shí)間賽跑之際，一場新的“抗疫戰(zhàn)役”已經(jīng)在網(wǎng)絡(luò)世界悄然打響。

據(jù)奇安信病毒響應(yīng)中心、微步在線威脅情報(bào)平臺(tái)等多個(gè)國內(nèi)信息安全企業(yè)監(jiān)測平臺(tái)報(bào)告，從春節(jié)期間至今，已發(fā)現(xiàn)多起利用新型冠狀病毒肺炎疫情相關(guān)題材開展的黑客攻擊行動(dòng)。

就在近幾日，某國外APT黑客組織竟然借勢趁火打劫，偽裝我國衛(wèi)生主管單位，以疫情文件做誘餌發(fā)起釣魚攻擊！

此舉不僅令人憤慨至極，也為我國的抗疫之戰(zhàn)敲響了警鐘。

被黑客瞄準(zhǔn)的疫情防控機(jī)構(gòu)

疫情，是當(dāng)下全國人民最為關(guān)心的話題，而這種持續(xù)的高度關(guān)注，卻被不法的黑客團(tuán)伙利用發(fā)動(dòng)網(wǎng)絡(luò)攻擊，定向瞄準(zhǔn)了疫情防控機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)。

科技云報(bào)道從奇安信方面獲悉，2月2日，湖北省某慈善機(jī)構(gòu)受到大流量的DDoS攻擊，還出現(xiàn)了相關(guān)內(nèi)部資產(chǎn)被暴露等信息泄露問題。

事實(shí)上，疫情期間的網(wǎng)絡(luò)空間暗流涌動(dòng)，很多疫情防控相關(guān)單位的官方網(wǎng)站都在遭受網(wǎng)絡(luò)攻擊。據(jù)奇安信安域團(tuán)隊(duì)不完全統(tǒng)計(jì)，“疫情期間，攔截Web應(yīng)用攻擊超過150萬次、CC攻擊超過3億次”。

作為實(shí)時(shí)通報(bào)疫情發(fā)展情況的最重要渠道，官方網(wǎng)站一旦被攻破，無論是因網(wǎng)站被篡改而“發(fā)布”了不實(shí)信息，還是網(wǎng)站后臺(tái)用戶數(shù)據(jù)泄露，導(dǎo)致的后果都將難以設(shè)想。

對此，奇安信安域團(tuán)隊(duì)?wèi)?yīng)急接管了近30個(gè)疫情防控相關(guān)單位的網(wǎng)站，近200個(gè)域名免費(fèi)接入安域。

然而，令人不安的是，黑客團(tuán)伙并沒有就此收手。就在全球齊心抗疫攻堅(jiān)之際，某境外APT黑客組織竟公然瞄準(zhǔn)我國醫(yī)療機(jī)構(gòu)發(fā)動(dòng)攻擊。

據(jù)微步在線相關(guān)負(fù)責(zé)人介紹，該組織建立了一個(gè)偽裝成為我國衛(wèi)健委域名的可疑網(wǎng)站nhc-gov.com，該網(wǎng)站至少存在兩條可疑鏈接，會(huì)投遞與武漢新型肺炎相關(guān)的惡意文檔，如：“武漢旅行信息收集申請表.xlsm”、“衛(wèi)生部指令.docx”。

通過誘引受害者點(diǎn)擊網(wǎng)站，下載含有惡意代碼的文檔，或者發(fā)送電子郵件附件方式，通過相關(guān)提示誘導(dǎo)受害者執(zhí)行宏命令，實(shí)現(xiàn)持久化攻擊。

本次攻擊的目標(biāo)，以醫(yī)藥、衛(wèi)生、防疫行業(yè)領(lǐng)域和有過武漢旅歷的人為重點(diǎn)，以控制被害者電腦，惡意破壞，或竊取醫(yī)療相關(guān)敏感數(shù)據(jù)信息為目的。

一旦其“攻擊陰謀”得逞，輕則丟失數(shù)據(jù)、引發(fā)計(jì)算機(jī)故障，重則影響各地疫情防控工作的有序推進(jìn)，危及個(gè)人乃至企業(yè)政府等各機(jī)構(gòu)的網(wǎng)路安全。同時(shí)也給疫情制造了更多的恐慌，擾亂中國的穩(wěn)定。

別有用心的黑客組織進(jìn)攻，讓這場本就步履維艱的疫情之戰(zhàn)，更加艱難。

安全堪憂的遠(yuǎn)程辦公

在疫情突發(fā)影響下，全國迎來了史上最大規(guī)模的一次集體性遠(yuǎn)程辦公。一時(shí)間，視頻會(huì)議、文檔協(xié)同、遠(yuǎn)程接入等各種遠(yuǎn)程辦公軟件爆紅，成為辦公人群的熱門話題。

就在人們討論“某遠(yuǎn)程辦公軟件卡頓，某視頻會(huì)議工具崩潰了，VPN連不上”等話題之際，線上辦公帶來的安全風(fēng)險(xiǎn)已悄然浮現(xiàn)。

騰訊安全專家在接受科技云報(bào)道采訪時(shí)表示，對于安全團(tuán)隊(duì)來說，疫情期間“全員上云”帶來的BYOD、數(shù)據(jù)安全、端點(diǎn)安全、身份與訪問管理、云服務(wù)連續(xù)性、個(gè)人隱私安全等，都成為新的難題和挑戰(zhàn)。

事實(shí)上，2月3日開工當(dāng)天，由于部分遠(yuǎn)程會(huì)議軟件崩潰，很多人開始在網(wǎng)絡(luò)下載新的遠(yuǎn)程辦公軟件。還有很多企業(yè)沒有要求員工在遠(yuǎn)程辦公中通過VPN連接內(nèi)網(wǎng)，很多員工為了更加效率的與同事溝通工作，大量使用個(gè)人賬號(hào)下的協(xié)同辦公工具，在移動(dòng)端通過截屏、復(fù)制粘貼、分享等方式對外分享辦公文件或數(shù)據(jù)。

在瑞數(shù)信息CTO馬蔚彥看來，“遠(yuǎn)程共享訪問中權(quán)限過度開放，以及針對疫情、遠(yuǎn)程辦公、遠(yuǎn)程教學(xué)等業(yè)務(wù)所需的大規(guī)模數(shù)據(jù)采集和分享”，都使得企業(yè)IT系統(tǒng)和數(shù)據(jù)安全的受攻面成幾何級(jí)數(shù)放大。

針對此次遠(yuǎn)程辦公中暴露出的種種信息安全問題，騰訊安全將其總結(jié)為五個(gè)方面：遠(yuǎn)程辦公的后端系統(tǒng)安全，傳輸過程中的安全，接入終端測安全，網(wǎng)絡(luò)環(huán)境安全，接入員工身份安全及行為安全。

以接入終端測安全為例，由于此次遠(yuǎn)程辦公事發(fā)突然，全國大部分的在家辦公人群，都使用了個(gè)人電腦和手機(jī)作為臨時(shí)辦公工具，不少網(wǎng)友曬出了電腦、手機(jī)、Pad等多種移動(dòng)終端共同辦公的圖片。

由于移動(dòng)終端及其數(shù)據(jù)的訪問管理、跟蹤審計(jì)難度很高，若缺乏必要管控手段，辦公人員將敏感的商業(yè)信息和個(gè)人資料存在個(gè)人移動(dòng)終端中，很可能會(huì)造成辦公數(shù)據(jù)的泄露。

同時(shí)，移動(dòng)終端使用者可能從不受監(jiān)管的第三方下載并安裝移動(dòng)應(yīng)用程序，而這些應(yīng)用程序可能預(yù)先被感染或被篡改，一旦被木馬、病毒等惡意程序感染，則存在辦公系統(tǒng)登錄賬號(hào)、密碼被竊取，敏感辦公信息被泄露的風(fēng)險(xiǎn)。

企業(yè)自然不希望發(fā)生此類網(wǎng)絡(luò)病毒感染、數(shù)據(jù)泄露等問題。指掌易相關(guān)負(fù)責(zé)人告訴科技云報(bào)道，對安全控制考慮比較周到的企業(yè)客戶，例如金融、運(yùn)營商、大型制造業(yè)企業(yè)等，都會(huì)采用移動(dòng)端安全軟件來保護(hù)企業(yè)數(shù)據(jù)的安全。

而對于遠(yuǎn)程辦公中需要員工接入內(nèi)網(wǎng)的企業(yè)而言，接入員工的身份認(rèn)證和行為安全就成為內(nèi)網(wǎng)安全的重要一環(huán)。

派拉軟件相關(guān)負(fù)責(zé)人在采訪中表示，在遠(yuǎn)程辦公中，無邊界的業(yè)務(wù)訪問越來越多，企業(yè)經(jīng)營數(shù)據(jù)、辦公流程、網(wǎng)絡(luò)資源都面臨身份識(shí)別、認(rèn)證鑒權(quán)、合規(guī)審計(jì)各方面的安全風(fēng)險(xiǎn)和隱患，需要實(shí)現(xiàn)高級(jí)別的安全可信。

在后端系統(tǒng)安全方面，服務(wù)器安全則是安全防護(hù)最后一道防線。青藤云安全專家在接受科技云報(bào)道采訪時(shí)表示，“服務(wù)器作為承載企業(yè)數(shù)據(jù)資產(chǎn)最重要的基礎(chǔ)設(shè)施，一直都是黑客最喜歡的資產(chǎn)”，建議企業(yè)采用專業(yè)主機(jī)安全防護(hù)產(chǎn)品，確保做到及時(shí)發(fā)現(xiàn)問題。

面對企業(yè)在遠(yuǎn)程辦公中遇到的種種安全問題，深信服安全專家在采訪中表示，根據(jù)不同場景和辦公人員，企業(yè)可以采用不同的安全防護(hù)方案，例如：

針對市場崗、職能崗等數(shù)據(jù)相對不敏感的場景，理想方案是通過SSL VPN搭建遠(yuǎn)程應(yīng)用安全接入平臺(tái)，支持身份認(rèn)證、傳輸加密、權(quán)限控制等端到端防護(hù)體系，保障員工遠(yuǎn)程接入內(nèi)網(wǎng)應(yīng)用的安全性。在疫情期間，建議選擇軟件方式遠(yuǎn)程完成部署和調(diào)試。

針對研發(fā)、外包、財(cái)務(wù)、呼叫中心等數(shù)據(jù)敏感的場景，輕量級(jí)方案是在公司電腦上開通RDP，然后通過VPN發(fā)布遠(yuǎn)程桌面，適用小規(guī)模臨時(shí)使用場景。更理想的方案是直接部署VDI（虛擬桌面），將辦公桌面遷到數(shù)據(jù)中心，桌面、應(yīng)用和數(shù)據(jù)都在云上，數(shù)據(jù)不落地，支持USB等統(tǒng)一管控，為員工提供一個(gè)安全可控的遠(yuǎn)程桌面辦公環(huán)境。

除了以上諸多的網(wǎng)絡(luò)安全隱患，山石網(wǎng)科專家在采訪中也表示，遠(yuǎn)程辦公還會(huì)對企業(yè)的IT運(yùn)維帶來了挑戰(zhàn)。

一方面，遠(yuǎn)程辦公增加了系統(tǒng)通過互聯(lián)網(wǎng)訪問的壓力，邊界防護(hù)需要考慮增擴(kuò)展性和性能保障；另一方面，IT人員遠(yuǎn)程管理大量設(shè)備，下發(fā)策略需要有統(tǒng)一的管控平臺(tái)，同時(shí)，IT系統(tǒng)供應(yīng)商也應(yīng)該通過不間斷的服務(wù)遠(yuǎn)程協(xié)助保障用戶的網(wǎng)絡(luò)通暢。

值得注意的是，在采訪過程中，多家信息安全企業(yè)的專家都指出了一個(gè)安全防護(hù)的關(guān)鍵點(diǎn)，“最大的安全風(fēng)險(xiǎn)，其實(shí)是沒有安全意識(shí)”。

尤其是在遠(yuǎn)程辦公期間，企業(yè)應(yīng)加強(qiáng)員工安全意識(shí)教育，比如防釣魚電子郵件、使用安全WIFI、保護(hù)個(gè)人電腦安全等。

疫情下的網(wǎng)絡(luò)安全支援

在這場疫情防控戰(zhàn)中，全國人民眾志成城馳援疫區(qū)，一些企業(yè)熱心地提供了有限期的免費(fèi)服務(wù)和應(yīng)用，如：免費(fèi)的正版電子書閱讀、優(yōu)惠報(bào)名的線上學(xué)習(xí)和考試等。滿滿的感動(dòng)之余，網(wǎng)絡(luò)攻擊的殘酷現(xiàn)實(shí)卻不容忽視。

瑞數(shù)信息CTO馬蔚彥特別指出，這些免費(fèi)服務(wù)和應(yīng)用也會(huì)被大量自動(dòng)化攻擊工具和爬蟲所利用，給企業(yè)安全和IT運(yùn)維帶來巨大的困擾。

馬蔚彥建議，快速上線的網(wǎng)站和應(yīng)用要做好基礎(chǔ)的訪問控制，以及防入侵、防漏洞、防癱瘓、防泄密、防篡改等基礎(chǔ)安全工作，同時(shí)加強(qiáng)安全監(jiān)控和快速響應(yīng)。

無論是黑客組織針對醫(yī)療機(jī)構(gòu)的定向攻擊，還是黑客利用遠(yuǎn)程辦公、疫情馳援等事件發(fā)起的網(wǎng)絡(luò)攻擊，突發(fā)的疫情都增加了各種網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)風(fēng)險(xiǎn)。

針對這一現(xiàn)象，國內(nèi)大量的信息安全企業(yè)都在自發(fā)的貢獻(xiàn)自己的專業(yè)力量。

例如，疫情特殊時(shí)期，為了防止口罩等有限物資被黃牛、黑灰產(chǎn)惡意占用，導(dǎo)致需要物資的人群未得到有效援助，阿里云安全團(tuán)隊(duì)為口罩等物資預(yù)約、搖號(hào)領(lǐng)取等疫情防控公益場景，提供免費(fèi)防黑灰產(chǎn)作惡等風(fēng)險(xiǎn)識(shí)別服務(wù)。

針對疫情中涌現(xiàn)出的大量的健康申報(bào)需求，派拉軟件為企業(yè)免費(fèi)提供員工健康申報(bào)系統(tǒng)，以保護(hù)人員的信息安全。目前，已在一汽-大眾、吉林大學(xué)等企業(yè)和機(jī)構(gòu)中運(yùn)行。

微步在線則在疫情期間免費(fèi)推出云化OneDNS服務(wù)，為企業(yè)遠(yuǎn)程辦公場景和新設(shè)醫(yī)療機(jī)構(gòu)提供對網(wǎng)絡(luò)威脅的防護(hù)能力。

為了減輕企業(yè)遠(yuǎn)程辦公的業(yè)務(wù)運(yùn)行及安全運(yùn)維負(fù)擔(dān)，騰訊安全自2月5日起正式啟動(dòng)「網(wǎng)絡(luò)安全護(hù)航計(jì)劃」，在疫情期間將為企業(yè)免費(fèi)提供遠(yuǎn)程辦公安全服務(wù)。同時(shí)，在疫情期間，騰訊安全協(xié)助全國多個(gè)省市政府做好疫情服務(wù)小程序的安全防護(hù)工作。

奇安信則發(fā)起了網(wǎng)絡(luò)安全行業(yè)迄今為止最大規(guī)模的一次捐贈(zèng)行動(dòng)。自1月25日緊急成立新型冠狀病毒感染的肺炎疫情防控支援團(tuán)后，奇安信向全國19個(gè)省、市、自治區(qū)，100多家醫(yī)院和疾控等疫情防控一線單位捐贈(zèng)專業(yè)設(shè)備和安全服務(wù)，達(dá)成的意向捐贈(zèng)金額累計(jì)已經(jīng)達(dá)到5000萬元。

事實(shí)上，全力馳援疫情的信息安全企業(yè)不勝枚舉，由于本文篇幅有限，無法一一列舉。截止本文發(fā)布之際，仍有大量的信息安全人員奮戰(zhàn)在防疫狙擊戰(zhàn)的第一線，為這場看不見的網(wǎng)絡(luò)防疫戰(zhàn)役而戰(zhàn)斗。

愿我們齊心協(xié)力，早日打贏這場防疫戰(zhàn)役！

微信公眾賬號(hào)：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。