越南网站上有关机场黑客事件的报道

【环球时报驻越南特约记者 王小雨 环球时报记者 白云怡 陈一】“越南遭受迄今最严重的黑客攻击事件”，7月29日发生在越南两个最大机场的黑客事件引发震动。黑客通过攻陷机场电子显示屏及广播系统，散发“南海是中国的固有领土”等信息，给机场候机的乘客带来视觉和听觉上的冲击，造成的混乱远超常见的攻击网页等行为。黑客自称是“1937CN TEAM”，这是一个中国民间组织。由于最近中越因南海问题发生争端，很多分析认为就是中国黑客干的。但黑客攻击的匿名性、溯源难等特点让这起攻击事件变得非常复杂，即使是留下名号也未必就是真的。1937CN组织的创始人7月31日接受《环球时报》记者采访时表示，他们的立场是“不参与，不承认”，“我们是民间组织，不想作政治的牺牲品，也不想成为公众们茶余饭后的下酒菜。”他还说，希望越南在调查清楚后再做定义。

事件未影响空中安全

据《越南快报》等媒体报道，7月29日下午4时，越南河内内排机场及胡志明市新山一机场同时受到黑客的攻击。许多乘客在办理登机手续时，突然看到机场内的电子屏幕上更换了信息，屏幕上显示着“煽动内容”，同时机场播音也播出相似内容，这些信息引发乘客们的惊慌，4分钟后，机场方面关停了全部播音和屏幕系统。

据报道，与此同时，越航网站也被篡改内容，主页内容完全被更改，网页显示各种煽动内容，并与机场大屏幕上的内容一样。网站下方还有一条连接到Pastebin.com网站，在那里人们可以下载越航40万“金莲花”成员账号的信息档案，包含姓名、出生日期、地址，甚至工作地点及电话号码等。《越南快报》称，他们对其中的10个被泄露的账号进行快速核对，结果信息都是正确的。

新山一国际机场和内排国际机场是越南最大的两个机场，所以这起黑客攻击事件引起的轰动效应不小，大多数越南媒体都进行了报道。

“越南及时控制机场假冒信息播放事故”，“越南之声”广播电台7月30日报道称， 胡志明市新山一机场发生不良信息播放事故，随后蔓延到河内内排机场。假冒、歪曲信息的播放立即受到控制，但给乘客办理手续造成不小影响。

很多越南媒体的报道比较简略，对黑客发布的信息也只是概括地说，“冒犯越南与菲律宾，篡改越南东海(即中国南海)主权问题”。但越南网络上广为流传的视频显示，一个自称“1937CN TEAM”的黑客组织通过侵入的机场广播系统，不断重复播放一段警告，称“南海是中国的固有领土”，“越南和菲律宾只是美国和日本遏制中国的爪牙”，并发出怪笑。

7月30日，越南航空局发布新闻公报称，越南河内内排国际机场和胡志明市新山一国际机场部分柜台遭黑客攻陷。机场人员必须以手工方式为旅客办理登机等手续，影响旅客登机手续的办理，造成部分航班延误。事发之后，越南航空局和国家民用航空安全委员会办公室已指导北方航空港、南方航空港及有关单位同越南公安部综合经济安全局、网络安全局配合处理。

同一天，越南交通运输部副部长阮日就此接受越通社记者的采访。阮日说，黑客攻击了机场的显示屏，没有入侵查询和订票系统，并没有影响越南空中管制的安全。机场各技术部门已关闭遭入侵的内排国际机场和新山一国际机场的显示屏，并进行故障处理。

引发越南不同反应

越南官方尚未宣布是谁发动了这次攻击，因为还“需要时间调查”。《越南快报》说，越南公安部反高科技犯罪警察局局长阮清化表示，内排和新山一等机场信息系统遭黑客入侵，是“很严重而且相当复杂的事件”，警方已介入调查。另有报道说，越南足球协会的官网当天也遭到黑客攻击，但网页显示的是阿拉伯文和英文，暂时未确定是来自哪个国家的黑客。

“这次黑客攻击事件是越南迄今为止遭受的最严重的黑客攻击事件”，越南《青年报》称，中国最出名、最强大的一个黑客组织1937CN 被指实施了此次攻击，因为该组织的标志出现在了被黑的屏幕上。过去几年来，该组织因攻击越南的众多网站而在越南出名。

“越南之声”广播电台说，越南网站并非首次受到声称是1937CN黑客组织攻击。越南的网络安全专家认为，1937CN屡次发动攻击的共同点是，先用一些手段获得网站的控制权，然后植入一些有关热点事件的“歪曲事实内容”，等到适当的时候就发放出来。国际网络安全专家认为，这种行动方式表明，它是一个自发性组织，不太可能与中国政府有关。

不过，越南《新报》认为，虽然可能就是这个组织做的，但现在不能确定一定是它发动了攻击。

由于最基本的事实还存在不确定性，越南官方媒体上批评中国的声音不多。而越南“生活方式”网站的一篇评论在网络上被大量转发。该评论称，日常生活中经常听到人们抱怨各种民众意识与责任感的缺乏，一遇飞机晚点或通知信息有误，人们就会发出不知多少呵责，甚至是高声怒骂，在很多场合中都能听到有关“丑陋的越南人”的主题。不过，7月29日发生黑客攻击时，机场外面车辆严重堵塞，内部人群密集，没有电子屏幕、电脑与播音器，全部登机手续都要手工办理。这种“被设想将十分混乱的场景”却“不可思议地演化出团结、有难同当的一幕”：人们没了日常的急躁，温和地谈话，守秩序地排队，候机室里一个座位也没了，人们坐满在地上，这种宽容与分担坚持到最后一秒!评论说，黑客的破坏行为带着制造混乱的目的，却意外地把人们的心灵拉得更近，鼓起了越南每一个人的团结之心。

在越南的社交媒体上，攻击中国的声音很多，还有很多人对“生活方式”网站的观点进行嘲讽。有网民在脸谱上留言评论说，此时“民族自尊心是越南薄弱保安系统的最佳封套”，经过黑客的这场攻击，越南保安系统应该严肃地正视自己“本领”，“它实在是越南网络保安局难以抵赖的耻辱”。

1937CN的官网受到攻击

越南的这起黑客攻击事件引起国际关注，西方一些媒体开始批评中国。《华盛顿邮报》说，画面截屏和污辱言辞暗示，这可能是中国黑客留下来的。前不久，越南一名边检人员据称涂污了一名中国人的护照。美国“loyaltylobby”网站的文章称，南海问题成为了中国爱国人士的一个热点主题，但给旅行的游客制造不便真的不是赢得世人对你的主张进行支持的最好方法，这次黑客攻击事件也清楚地表明网络战争现在已经扩展到了生活的方方面面。

“不能仅仅因为有留名1937CN和一句‘南海属于中国’的英文就判断此事是中国黑客所做的。”互联网学者、复旦大学网络空间治理研究中心副主任沈逸在接受《环球时报》采访时表示，到目前为止没有任何证据能证明这是中国黑客所为，中国完全没有必要采取这样“炫耀式”的反击行为。沈逸认为，网民当然有权利表达自己的观点，但这有一定界限和法律限制，而各国间网民的“交锋”也不能取代国与国之间正规渠道的交往。

中国政府对黑客的态度是一贯的和明确的，那就是“中国政府坚决禁止并严厉打击各种形式的黑客攻击”。

那么处于漩涡之中的1937CN组织是怎么看这起事件的呢？

1937CN的创始人网名为“越南邻国宰相”，他不愿透露姓名。他7月31日接受《环球时报》记者采访时表示，对于越南机场被黑事件，1937CN的立场是“不参与，不承认”，“我们是民间组织，不想作政治的牺牲品，也不想成为公众们茶余饭后的下酒菜。但我们坚持一个中国，抵制民族分裂，我们知道我们在做什么，该做什么，能做什么。”他还说，希望越南在调查清楚后再做定义。

1937CN 成立于2008年，主要由一些网络技术人员构成。据“越南邻国宰相”称，由于当时中国对网络黑客行为是否犯罪的定义相对模糊，所以遇到中国国家或民众在外国受到伤害时，该组织常会展开网络战，以宣誓主权或表明立场。“2012年我们曾就钓鱼岛事件开展过中日网络战，2013年8月开展过中越网络战，都是在中国国家主权受到挑衅时和中国红客联盟一起发动的。”

对于外界“中国实力最强的黑客组织之一”的评价，“越南邻国宰相”表示，“这其实是越南媒体最先说的，应该是因为我们比较关心主权问题，所以经常和越南黑客过招，彼此摩擦多了，他们就认为我们在中国最强。”

“越南邻国宰相”对《环球时报》记者说，近年来该团队也进行了转型，一起深入研究探讨网络安全技术，不少成员去了网络安全公司工作。“西方国家对中国的网络攻击从未停止，尤其是大数据时代，更多的黑客行为都表现为数据交易。中国对网络安全的需求日益增长。”

7月31日下午，“越南邻国宰相”发布微博说：“(1937CN的)官网从昨日到现在处于宕机状态，遭受大规模来自越南、日本、美国、菲律宾IP的DDOS攻击。”

3月22日下午，360政企安全集团发布技术报告，首次完整披露了NSA（美国国家安全局）针对中国境内目标使用的代表性网络武器——量子（Quantum）攻击平台技术特点。

美国国家安全局总部 资料图

此前，360曾披露NSA针对全球发起长达十余年的网络攻击活动，我国是重点攻击目标之一。

技术报告显示，NSA利用量子攻击技术针对世界各国访问脸书、推特、油管、亚马逊等美国网站的所有互联网用户发起网络攻击，QQ等中国社交软件也是攻击目标之一。

360政企安全集团高级安全专家边亮介绍，量子攻击是NSA针对国家级互联网专门设计的先进网络流量劫持攻击技术，主要针对国家级网络通信进行中间劫持，以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。

量子攻击平台是NSA最强大的互联网攻击工具，也是其进行网络情报战最重要的能力平台之一，最早投入使用时间可追溯至2005年。包含多个以QUANTUM开头命名的子项目，360云端安全大脑现已发现了九种攻击能力模块。

边亮对科技日报记者说：“这9种网络攻击能力模块各有侧重，如量子注入主要用于NSA劫持世界各地互联网用户的正常网页浏览流量，量子傀儡可提供远程操控网络空间中任意僵尸网络的攻击能力，量子幻影可提供利用网络链路中间节点劫持技术，实现攻击源隐藏的攻击能力等。这些功能模块相互配合，共同构成高度工程化、自动化的网络武器系统。”

边亮强调：“量子攻击属于针对特定目标的定向攻击，极度隐蔽，很难溯源，但可发现、可防、可破。比如，具备国家级APT高级威胁发现和防御能力的360政企安全集团数字安全能力体系，就能提高‘看见’和‘应对’高级威胁的能力。”

据了解，为监控全球互联网目标，NSA制定了众多作战计划，相关计划涉及的具体任务通过量子攻击平台实施，且攻击实施全程已实现工程化、自动化和人工智能化。

被公开揭露的NSA高端网络黑客攻击武器名目繁杂数量众多，量子攻击系统仅是冰山一角。为掌握网络战主导权，美国正在充分利用一切先进技术和网络资源，将诸如量子攻击平台等大量顶级技术手段、高端人才、情报力量纳入作战序列，为全球网络安全带来巨大隐患。

这种无差别攻击下，没有哪个国家能独善其身，也几乎没有哪位互联网用户可幸免，从升斗小民到一国首脑。

NSA针对我国发起的种种网络攻击，涉及领域众多，国家安全、公共安全及公民个人信息安全都受到不同程度的威胁。

如何应对这种全球无差别攻击？

边亮建议，切实提升组织机构人员网络安全和保密意识，领导人的安全意识和相关决策更是网络安全防御工事的重中之重。在不可避免遭受破坏性网络攻击时，应该将资源集中在那些支持关键业务功能的系统上，甚至在必要时切断和舍弃部分受影响的业务系统。

边亮说：“网络攻击随时可能发生，要确认组织机构整个信息网络有防病毒/反恶意软件保护，并及时更新这些工具查杀规则的同时，还要提升遭受网络攻击时的响应能力，确保备份与网络隔离，确保关键数据能够迅速恢复。如果使用工业控制系统或操作技术，需要进行手动控制测试，确保一旦不能使用网络仍然可以正常运行。”

几十年前，黑客入侵刚刚兴起的时候，从事黑客活动的大多是计算机和网络狂热爱好者，他们对学习有关计算机和网络的一切充满热情。如今，民族国家黑客不断开发越来越复杂的网络间谍工具，网络罪犯则忙着对从财富500强公司到医疗机构的一切目标下手，持续变现成千上万美元。

网络攻击从未如此复杂、如此赚钱，甚或如此令人困惑。有时候，清晰界定各种不同类型的黑客活动很是困难。民族国家有时会为了共同的目标而互相联手，有时候他们甚至似乎与网络犯罪团伙合作。而且，恶意工具一旦发布，往往会被竞争对手回收再利用。

下面我们来看看几个最具创意也最危险的网络间谍和网络犯罪组织，排名不分先后：

▶ Lazarus(又名Hidden Cobra、Guardians of Peace、APT38、Whois Team、Zinc)

作为与朝鲜相关联的黑客组织，Lazarus一战成名是因为一起可能是有史以来最大型的网络劫案：孟加拉央行黑客攻击事件。这起事件发生在2016年2月，造成超过1亿美元失窃。然而，该组织的所作所为远远不止于此。

过去十年来，Lazarus一直是多起黑客攻击事件的背后黑手，从对韩国网站的DDoS攻击开始，然后继续深入到攻击韩国的金融机构和基础设施，2014年对索尼影业下手，2017年又发起了著名的WannaCry勒索软件攻击。

近些年来，Lazarus开始投身勒索软件和加密货币领域，同时紧盯安全研究人员，获取正在进行的漏洞研究的相关信息。据卡巴斯基安全研究员Dmitry Galov介绍，该组织拥有“无限的资源和非常好的社会工程技术”。

仍在持续的新冠肺炎疫情期间，Lazarus将这些社会工程技术用在了医药公司身上，包括疫苗制造商在内的相关企业，成了他们最首要的目标。微软表示，这些黑客发送鱼叉式网络钓鱼电子邮件，邮件中含有“精心编造的职位描述”，意图诱使其目标点击其中的恶意链接。

Malwarebytes Labs主管Adam Kujawa称：“该组织不同于其他黑客组织，因为尽管是国家支持的黑客组织，Lazarus的目标却不是国家政府，而是可能持有或能接触到朝鲜间谍感兴趣的信息的那些企业和个人。”

Lazarus使用各种定制恶意软件，包括后门、隧道构建程序、数据挖掘程序和破坏性恶意软件，这些恶意软件有时候是内部开发的。该组织不遗余力地持续从事黑客攻击活动。

FireEye曼迪安特威胁情报表示：“APT38之所以独特，在于其在行动中毫不惧怕大肆破坏证据或受害网络。该组织谨慎、精明，并且表现出想要长久维持受害环境访问权的意愿，以便了解网络布局、所需权限，以及系统技术，从而达成其目标。”

▶ UNC2452(又名Dark Halo、Nobelium、SilverFish、StellarParticle)

2020年，数千家企业和机构下载了带后门的SolarWinds Orion软件更新，给攻击者留下了进入其系统的入口。美国国防部、英国政府、欧洲议会，以及全球多个政府机构及企业均成为了该供应链攻击的受害者。

直到2020年12月8日曝光之前，这起网络间谍行动至少暗中行事了九个月。曝光这起行动的安全公司FireEye也是其受害者，宣称自己被此国家支持的黑客组织盗取了几款红队工具。实际情况比最初预想的还要糟糕。SolarWinds Orion软件供应链攻击不过是攻击者所用的入口渠道之一。研究人员还发现了另一起供应链攻击，这次中招的是微软云服务。而且，研究人员发现，微软和VMware产品中也有几个漏洞被利用了。

FireEye曼迪安特威胁情报高级副总裁兼首席技术官Charles Carmakal表示：“UNC2452是我们追踪的黑客组织中最先进、最有纪律、最难以捉摸的。他们的谍报技术出类拔萃。攻击技术和防御技术两方面他们都掌控自如，并且运用此类知识精炼自身入侵技巧，堂而皇之地藏身目标环境之中。UNC2452展现出了极少见的操作安全水平，能够长久驻留政府机构和企业内部而不被发现。”

美国国家安全局(NSA)、联邦调查局(FBI)和其他几个机构称此黑客组织受到俄罗斯的支持，并实施了制裁。这些美国机构辩称，SolarWinds供应链攻击可能是俄罗斯联邦对外情报局(SVR)的手笔。其他线索则指向Cozy Bear/APT29黑客组织。

然而，情况似乎更为混乱。卡巴斯基研究人员注意到，有几个代码片段可将此攻击与俄语区黑客团伙Turla(又名Snake、Uroburos)挂钩，该团伙主要攻击欧洲和美国的政府和外交官。Secureworks发布的另一份报告则宣称，位于中国的黑客组织Spiral在另一起黑客行动中同样针对的SolarWinds客户。

▶ Equation Group(方程式组织，又名EQGRP、Housefly、Remsec)

Equation Group是又一个技术精湛且资源丰富的黑客组织。早在21世纪初，甚至可能更早些时候，该组织就开始营业了。但直到2015年，卡巴斯基安全研究人员发布报告披露其几款尖端工具之后，该黑客组织才见诸报端，为大众所熟知。这篇报道的标题之一是这么写的：“与网络间谍之‘神’会面”。

研究人员将该黑客组织命名为Equation Group，是因为其采用了强加密和先进的混淆方法。该组织的工具极端复杂，且与NSA的特定情报获取行动(TAO)组相关。

Equation Group的目标横跨多个领域：政府、军队和外交机构;金融机构;以及从事电信、航空、能源、油气、媒体和交通运输行业的各大公司。很多受害者都位于伊朗、巴基斯坦、阿富汗、印度、叙利亚和马里。

Equation Group最强大的工具是一款可以重编程各制造商硬盘固件的模块，受害硬盘厂商包括希捷、西部数据、东芝和IBM。借助该模块，攻击者可以在受害硬盘上创建秘密存储保险箱，其中内容甚至可以扛过硬盘擦除和重格。该组织还创立了一套基于USB的命令与控制机制，能够映射物理隔离网络。在类似功能集成到震网(Stuxnet)之前，该机制就完成了。

这些先进的技术最终落到了其他民族国家黑客的手中。据赛门铁克透露，Equation Group的工具被中国网络间谍组织Buckeye(又名Gothic Panda、APT3、UPS Team)获取并另作他用，在2016年用于攻击欧洲和亚洲的公司。CheckPoint的研究人员发现，中国支持的另一个黑客组织Zirconium (APT31)克隆了Equation Group的EpMeWindows提权漏洞利用程序，创建了一款名为Jian的工具。所有这些都发生在2017年Shadow Brokers(影子经纪人)数据泄露事件之前，该起事件中Equation Group开发的多款黑客工具现身网上，包括WannaCry攻击中所用臭名昭著的EternalBlue(永恒之蓝)漏洞利用程序。

CheckPoint研究员Eyal Itkin和Itay Cohen写道：“网络武器天生是数字化且易变的。盗窃网络武器并转移到另一个大洲就好像发送一封电子邮件那么简单。”

▶ Carbanak(又名Anunak、Cobalt——与FIN7重叠)

2013年，多家金融机构被同一黑客攻击手法所黑。攻击者先发送鱼叉式网络钓鱼电子邮件来渗透这些机构，然后再使用各种工具进驻个人电脑或服务器，以便后续抽取数据或金钱。这些攻击背后的网络罪犯团伙Carbanak严谨仔细地执行攻击活动，就像高级可持续威胁(APT)一样，常常在受害者的系统中悄无声息地潜伏数月时间。

Carbanak黑客组织的总部可能位于乌克兰，其目标金融公司主要位于俄罗斯、美国、德国和中国。Carbanak的受害者之一因ATM诈骗损失了730万美元，而另一家受害者在自身网上银行平台被黑后损失了1000万美元。有时候，该黑客组织会命令ATM机在预定的时间吐钞，无需现场人为干预。

2014年时，多家安全公司调查了Carbanak黑客事件，但结论迥异。卡巴斯基高级安全研究员Ariel Jungheit称：“Carbanak似乎是使用同一款恶意软件的两个不同组织。其中一个组织主要针对金融机构(卡巴斯基重点研究了这个组织)，另一个组织则更偏重零售公司。尽管其他人对此有争议，但主要结论是，一开始是一个组织，后来分裂成了几个小组。”

2018年3月，欧洲刑警组织(Europol)宣称，经过一番“复杂深入的调查”，已逮捕了Carbanak组织的首脑。然而，直至今日，该网络犯罪团伙的很多成员仍然活跃，可能加入了其他黑客组织。FIN7网络犯罪团伙主要对零售和餐饮业感兴趣，而Cobalt专注金融机构。

FireEye曼迪安特威胁情报高级分析经理Jeremy Kennelly表示：“如果司法行动的对象是与FIN7这种资源丰富的大型犯罪组织相关联的个人，那其影响就难以判断了，因为主要责任往往可以由多名个人或多个团队承担。逮捕行动之后，FIN7的战术、技术和程序并没有出现太大的变化。

▶ Sandworm(沙虫，又名Telebots、Electrum、Voodoo Bear、Iron Viking)

俄罗斯网络间谍组织Sandworm涉嫌过去十年来的几起重大破坏性安全事件，包括2015年和2016年的乌克兰大停电、2017年以投放勒索软件为开端的NotPetya供应链攻击、2018年俄罗斯籍运动员因使用禁药而被禁赛后平昌冬奥会遭受的一系列攻击，以及与多个国家的竞选相关的黑客攻击行动，例如美国2016大选、法国2017总统竞选和2019年格鲁吉亚大选。

FireEye曼迪安特威胁情报副总裁John Hultquist称：“2019年10月对格鲁乌(GRU：俄罗斯总参谋部情报部)官员的起诉书，读起来就像是我们所见过的诸多重大网络攻击事件的清单。我们高度确信，俄罗斯军事情报机构格鲁乌的74455部队在支持Sandworm活动。”

最近几年，该组织的战术、技术和程序变成了集成勒索软件，但研究人员对此转变毫不惊讶。曼迪安特威胁情报分析总监Ben Read表示：“基于加密的勒索软件通常与大范围广撒网式网络犯罪活动相关，很容易被网络间谍组织重新利用来进行破坏性攻击。”

▶ Evil Corp(又名Indrik Spider)

Evil Corp得名于美剧《黑客军团》(Mr. Robot)，但其成员和漏洞利用程序均在剧集播出之前就活跃于网络上了。这个说俄语的黑客组织是史上最危险银行木马之一Dridex(也称为Cridex或Bugat)的创建者。该组织在2020年攻击了佳明公司和其他数十家企业。

法庭文件显示，Evil Corp采用特许经营模式，付出10万美元和收益的50%，就可以得到Dridex访问权。FBI估计，过去十年来，该黑客组织盗取了不少于1亿美元。

安全研究人员称，除了Dridex之外，Evil Corp还创建了WastedLocker勒索软件系列和Hades勒索软件。网络安全公司ESET也宣称，BitPaymer勒索软件可能是此黑客组织的杰作。Kujawa说道：“该组织的与众不同之处在于其攻击有效性，很多安全攻击都将Evil Corp的攻击行动与资源丰富、训练有素的黑客国家队相提并论。”

2019年，美国司法部以多项罪名起诉了该组织的两名重要成员，Maksim Yakubets和Igor Turashev，罪名包括串谋欺诈和电信诈骗，但该司法行动并未阻止Evil Corp继续其黑客活动。CrowdStrike Intelligence高级副总裁Adam Meyers表示：“去年，该黑客组织采用了新的工具，并重新命名了几款工具，从而规避美国财务部实施的制裁，防止受害者无法支付他们索要的赎金。尽管个别成员受到起诉，黑客行动也受到了制裁，但该组织依然蓬勃发展。”

▶ Fancy Bear(奇幻熊，又名APT28、Sofacy、Sednit、Strontium)

2000年代中期开始，这个说俄语的黑客组织就出现在我们周围了，其攻击目标包括美国、西欧和南高加索的政府和军队机构，以及能源和媒体公司。该组织的受害者可能包括德国和挪威议会、白宫、北大西洋公约组织(NATO)，以及法国电视台TV5。

Fancy Bear最著名的案例是2016年攻入美国民主党全国委员会和入侵希拉里·克林顿的竞选活动，据称影响了美国总统选举的结果。据信， Fancy Bear的马甲就是黑客组织Guccifer 2.0。据CrowdStrike介绍，另一个说俄语的黑客组织，Cozy Bear(安逸熊)，也藏身于民主党的计算机网络中，独立盗取密码。但很明显，这两头熊并未意识到彼此的存在。

Fancy Bear主要通过周一和周五发送的鱼叉式网络钓鱼邮件来引诱受害者上钩，偶尔也会注册极其类似合法网站的域名，构建虚假网站来收割登录凭证。

▶ LuckyMouse(又名Emissary Panda,、Iron Tiger、APT27)

这个黑客组织说中文，活跃了十年以上，主要针对外国大使和横跨多个不同行业的公司，如航空、国防、科技、能源、医疗保健、教育和政府。其活动范围包括北美、南美、欧洲、亚洲和中东。

卡巴斯基的Jungheit称，该组织的渗透测试技术高超，通常使用Metasploit框架等公开可用的工具。“除了作为投放手段的鱼叉式网络钓鱼，该黑客组织还在行动中使用SWC(策略性Web攻击)，以超高成功率拿下受害者。”

趋势科技的研究人员注意到，该组织可以快速更新并修改器工具，让安全研究人员难以检测。

▶ REvil(又名Sodinokibi、Pinchy Spider—与GandCrab相关)

REvil黑客组织得名于电影《生化危机》(Resident Evil)及其系列游戏，位于俄语区，运营着几个最有利可图的勒索软件即服务(RaaS)。该黑客组织首次进入大众视野是在2019年4月，臭名昭著的GandCrab被关停之后不久，其业务自那以后似乎就蒸蒸日上了。该组织的受害者包括宏碁、本田、Travelex和杰克丹尼威士忌的生产商Brown-Forman。

Jungheit称：“REvil运营者索要的赎金为2021年之最。为了分发勒索软件，REvil与在网络犯罪论坛上招募的成员组织合作，分给成员组织60%到75%的赎金。”

开发人员经常更新REvil勒索软件，从而避免检测到正在进行的攻击。Jungheit称：“该组织在网络犯罪论坛的帖子里公布所有主要更新及其合作伙伴计划中的空缺职位。”

Malwarebytes Labs的Kujawa表示，REvil不同于其他组织的地方在于，其开发人员是以业务为中心的。“去年，该组织的一名成员接受了采访，称他们通过勒索和威胁要披露数收入了1亿美元，而且还计划在未来通过DDoS攻击拓展其勒索能力。”

▶ Wizard Spider

说俄语的Wizard Spider组织在2016年首次浮出水面，但在最近几年已变得越来越复杂高端，打造了多款用于网络犯罪的工具。最初，Wizard Spider以其商业化银行恶意软件TrickBot而闻名，但之后，该组织就扩展了其工具集，纳入了Ryuk、Conti和BazarLoader。而且，Wizard Spider仍在持续完善其武器库，以便更加有利可图。

CrowdStrike Intelligence的Meyers称：“Wizard Spider的恶意软件库并未在犯罪论坛上公开打广告，表明他们可能只想与信得过的犯罪组织交易或合作。”该组织的黑客活动多种多样，其中一些非常具体，倾向于所谓“狩猎大型猎物”的高针对性、高回报勒索软件攻击活动。

Wizard Spider根据目标的价值估算索要的赎金，似乎没有哪个行业是禁区。新冠肺炎疫情期间，该组织用Ryuk和Conti恶意软件攻击了美国几十家医疗机构。世界各国的多家医院也受到了影响。

▶ 彩蛋：Winnti(又名Barium、Double Dragon、Wicked Panda、APT41、Lead、Bronze Atlas)

Winnti可能是说中文的几个小组的集合，既从事网络犯罪活动，也执行国家支持的网络攻击。其网络间谍行动针对医疗企业和科技公司，常常盗取知识产权。同时，其经济利益驱动的网络犯罪力量攻击电子游戏产业，操纵虚拟货币，并试图部署勒索软件。

Jungheit称：“难以定义该黑客组织主要是因为其从事的黑客活动与其他说中文的APT组织之间存在重叠。例如，有些工具和恶意软件是多个说中文的黑客组织之间共享的。”

Winnti使用的不同代码集和工具高达数十种，而且常常依靠鱼叉式网络钓鱼电子邮件渗透目标公司。曼迪安特威胁情报报告称：“在一次持续近一年的黑客活动中，APT41入侵了数百个系统，使用了近150种恶意软件，其中包括后门、凭证盗窃程序、键盘记录器和rootkit。APT41还有限度地部署rootkit和主引导记录(MBR)bootkit，用于在重要的受害者系统上隐藏其恶意软件和维持驻留。”

鸿蒙官方战略合作共建——HarmonyOS技术社区

“错误，503服务不可用”、“错误，未知域名……”

北京时间6月8日下午6时左右，Google、Reddit、亚马逊、CNN、Etsy、Paypal在内的欧美国家主流网站和应用程序集体瘫痪，受影响的网站首页显示上述内容。

这次中断事件影响遍及美洲、欧洲、亚洲和南非数十个国家。

全球知名的国际新闻机构，CNN、《纽约时报》、《卫报》、《金融时报》、《独立报》、《今日美国》、半岛电视台等受到影响，相关网页无法打开。

全球知名网站受到影响，相关网页无法打开

一些知名新闻机构还在手机APP上，用醒目的红色框和字体打出网站瘫痪的警示消息。

英国政府相关网站也受到影响。英国司法部长在推特上说，该国政府主要网站已不能运行，并提供一封电子邮件供查询。

其它一些大型网站虽然没有完全关闭，但仍然无法完全正常工作。比如，推特内容可以显示，但表情符号则不能被加载。

但并非所有大型网站都受到冲击，像脸书就一直能正常加载内容。微软团队(Microsoft Teams)和Slack等服务软件似乎也在照常工作。

受影响的网站统计表格图，数据来自《今日美国》等媒体。

“无名小公司”引发网络瘫痪

美国网络云服务商Fastly是此次事件的“肇事者”。

美东时间早上6点左右，总部位于旧金山的Fastly承认技术出了故障，大约一个小时后，该公司表示“问题已被发现，并已应用修复程序”。

Fastly通过内容分发网络（CDN）帮助客户使用不那么拥挤的路线来传递讯息。

跟传统服务商不同，Fastly不是将所有内容托管在一个位置的一组服务器上，而是把云基础设施托管在数十个位置，从而使传输速度更快捷。

其边缘运算平台（Edge Cloud Platform）提供内容分发网络、网络安全服务、负载均衡及视频流等服务。

Fastly宣称，其服务能让欧洲用户访问美国网站时，以200到500毫秒的速度获得内容。

速度是新闻网站的生命，于是很多机构选择Fastly作为服务机构。

英国政府的相关网页也不能打开了

2019年上市、市值不到60亿美元的Fastly，比亚马逊旗下的AWS等同行要小得多。

美国媒体《VOX》直言不讳地说，一家外界知之甚少的公司让全球主要网站集体下线。

这一事件也表明，一小部分幕后公司对互联网运营已变得多么重要。

短短一夜之间，由于媒体大规模报道，Fastly公司的大众知名度更是水涨船高。

事发的6月9日，在纽约上市的Fastly，其股价开盘前下跌近4%，处理好故障后，其股价还上涨7.7%。

Fastly公司网站主页

如何创意的宣告我们瘫痪了？

许多公司用创意性方法宣布自己被“瘫痪”了。

热门科技网站the Verge使用 Google Docs来报道新闻。而《卫报》的英国科技编辑则在Twitter上开设一个专题帖来追踪该事件。

宕机刚刚开始时，将近2.1万名Reddit用户报告了社交媒体平台的问题。超过2000名亚马逊用户报告网站出了故障。

推特用户迅速做出回应。食品公司奇巧巧克力（KITKAT）的官方账号创建了热门话题标签——#InternetShutdown（互联网瘫痪）。

奇巧巧克力还告诉他的40多万推特粉丝——“我猜是时候休息一下了。”

奇巧巧克力发推特调侃——“我猜是时候休息一下了。”

“整个互联网都崩溃了，我们下线休息几分钟吧。”外卖集团Just Eat Takeaway.com首席执行官吉特斯•格伦（Jitse Groen）也在推特上写道。

尽管网络大众乐观对待难得一见的瘫痪事件，但是相关公司遭受的损失其实很大。

云计算公司Kentik的互联网分析主管道格•马多里(Doug Madory)指出，“Fastly是世界上最大的CDN（内容分发网络）之一，这是一个全球性中断事故。 ”

他说，Fastly公司的四分之三流量在当天美东时间晚5：49分左右消失。大约50分钟后，美东时间早上6：39分，网络才逐渐开始恢复。

支付系统Stripe和电子商务平台Shopify等表明，瘫痪后交易停止或导致资金损失，目前尚不清楚这些损失的真实数据。

媒体评估公司Kantar粗略估计，期间全球网站数字广告收入损失超过2900万美元。

庆幸的是，事发时美国是深夜，欧洲多处于中午，一定程度上减少了损失。

美国媒体CNN也受到了影响

不是黑客袭击

数年来，IT专家一直警告，西方国家没有对网络袭击做好充分准备。

今年5月7日，美国最大燃油运输管道运营商科洛尼尔管道运输公司遭黑客攻击，被迫关停供应网络。这导致美国东海岸地区45%的燃油供应受影响。

两天后，美国联邦政府宣布全国17个州和华盛顿特区进入紧急状态，允许这些地区通过公路运输燃油，以缓解燃油供应中断的问题。

今年2月，美国佛罗里达州一个饮用水处理厂遭到黑客攻击的事件曝光。黑客通过网络袭击导致饮用水中的氢氧化钠比例增加一百倍以上。不过工厂注意到不同寻常地变化，及时进行了处理。

这导致如今网络一有风吹草动，大家第一时间都会猜测是不是又来黑客袭击了?

幸好Fastly事后在公开邮件中强调，这是一个“技术问题”，“跟网络攻击无关”。

该公司早些时候还报告说，一项“服务配置”中断，该配置导致他们在全球范围内的POPs（存在点）不能工作。除此之外，Fastly没给出更多细节解释。

云服务公司Akamai高级副总裁安迪·尚帕涅（Andy Champagne）告诉路透社，云服务提供商的“服务配置”包括更新安全规则以保护信息，或指示服务器刷新其内容等。

尚帕涅还说，一个简单的拼写错误也可以传播到数千个服务器，并造成网络中断。

fastly公司事后在一份邮件中强调，不是黑客攻击导致了许多网站瘫痪。

等待下次崩溃

fastly公司排除了黑客攻击可能性，外界大大松了一口气。

然而人们对网络安全的担忧并没有因此减少。

不到一年时间之内，由于云服务商出现了故障，至少三次引发全球大规模网站瘫痪。

去年7月，Cloudflare运营的两个数据中心之间出现连接问题，导致包括美国Politico网、英雄联盟和Discord在内的许多网站短暂下线。

4个月后，亚马逊网络服务(Amazon Web Services)的数据处理失误，给芝加哥论坛报（Chicago Tribune）、安全摄像头公司Ring和Glassdoor等网站带来麻烦。

这一次的破坏规模比上述两次都大，瘫痪的网站数量更多。

在全球网络越来越依赖云服务商的情况下，这种破坏趋势还可能继续下去。

网友放出的搞笑图片

当前除fastly公司，全球知名的CDN提供商，包括Akamai Technologies, Cloudera，以及亚马逊旗下的AWS。

Mirabaud Securities全球TMT分析师尼尔•坎普林（Neil Campling）告诉BBC：“这无疑提醒我们，如此之少的网站和服务，对我们的数字生活是多么重要。”

但有人也因此反思，如此多的互联网服务掌握在少数几家服务公司手中是否明智。

在2011年，亚马逊云计算系统弹性区块存储(Elastic Block Store, EBS)崩溃，导致Reddit、Quora和Foursquare下线。事故发生后，亚马逊解释说，工程师无意中造成了技术问题，影响其系统，导致宕机。

互联网是建立在日益复杂的基础设施之上的，一旦出现问题，会引发全球性系统破坏。

换言之，就算此次事件很快得到解决，全世界还是会焦急地等待下一次崩溃的发生。

这次网络瘫痪是由fastly公司运行的一个内容传送故障引起的。

备注：本文图片全部来自网络

据外媒报道，来自区块链分析公司Elicipat的数据显示，黑客组织DarkSide在宣布解散前，其加密货币的账户中已经获得了至少价值9000万美元的比特币。

近期，DarkSide攻击了美国最大燃油管道公司Colonial Pipeline，导致其运输管道关闭了数天。最终，该公司向DarkSide支付了价值500万美元的加密货币赎金。

受此次事件影响，DarkSide宣布该团队计划解散。据悉，这是因为迫于执法机构压力，该组织失去了对其运营架构的访问权限。

虽然该黑团组织已经解散，但是区块链分析公司Elicipat在上周五表示，已经确定了该组织的加密货币账户，并且在解散前其账户中至少已经拥有价值9000万美元的比特币。

Elicipat表示，DarkSide及其附属公司从47个不同的加密货币账户中获得了至少9000万美元的比特币赎金。平均来说，每个受害者支付了价值190万美元的比特币。

而这9000万美元的赎金中，有1550万美元归DarkSide的开发商所有，7470万美元归其附属公司所有。其中大部分都被转移到加密货币交易所，并在那里兑换成法定货币。

不过，DarkSide的加密货币账户中仍有价值530万美元的加密货币没有来得及转移，并且这些加密货币有可能已经被美国执法机构查封。

值得一提的是，Colonial Pipeline只是近期受到DarkSide攻击的公司之一。东芝公司的位于法国的一个部门表示，也受到了该黑客组织的攻击，并被盗取了740GB的资料。此外，爱尔兰的医疗服务部门也遭到勒索软件攻击。

- THE END -

转载请注明出处：快科技

据参考消息报道，当地时间16日，美国总统拜登与俄罗斯总统普京在瑞士日内瓦拉格朗热别墅举行会晤。见面时，二人相互握手问候。

黑客声称从EA的网络中窃取了大量数据，包括：FrostBite 游戏引擎源码和调试工具，FIFA 21配对服务器代码，FIFA 22 API密钥和SDK和调试工具，调试工具、SDK和API密钥，专有EA游戏框架，XBOX和SONY私有SDK和API密钥，XB PS和EApfx和crt带密钥。

据了解，黑客正以2800万美元的标价出售这批数据，并声称有充分利用所有EA服务的能力。

多位安全专家对此次事件预测，数据泄漏可能会给EA带来长期问题，黑客可能未来利用他们窃取的数据提供多种选择。通过访问EA的知识产权内容，黑客可以做很多事情来从经济上获利，而不仅仅是在暗网上出售这么简单，例如发现应用程序中的漏洞或直接盗版软件。

安全和风险分析公司Gurucul表示，游戏源代码是高度专有和敏感的知识产权，是公司服务或产品的核心，如果发生泄漏可能会导致一个企业垮台。

商务密邮：游戏源代码被盗对于游戏巨头公司来是非常具有破坏性的，而且一个公司的源代码属于高度敏感数据，是企业服务或产品的核心。这些泄露的数据对于竞争对手来说也是很有价值的，所以不排除雇佣黑客的行为。此外，这些核心数据还可能给黑客攻击用户创造了条件。

代码安全问题不仅需要类似EA这样的游戏企业重视，在网络安全日益成为国家重点关注话题的环境下，源代码安全意味着系统和网络安全，同时也能减少因系统漏洞造成的网络攻击。

随着全球信息化的发展，数据安全是每个企业人员保护自身安全和客户安全的重要责任。客户信息、财务数据、商务合同、核心源代码等敏感信息，都是黑客想尽方法都要得到的数据。

影响数据安全的方面因素有很多，不仅有来自外部的攻击，也有内部员工无意或恶意的泄露行为。所以，每个企业必须拥有及时发现和阻止数据泄露的防护技术能力。

企业机构该如何保护数据？

1、对敏感且涉密数据进行加密授权保护

企业机构应加密传输和储存敏感数据，对数据加密可有效防控数据泄露，密文数据对黑客来说不具有利用价值。此外，对数据应有授权访问保护，无关人员无法打开浏览内容，更无法拷贝数据。

2、部署数据防泄漏系统（DLP）

政企等涉密机构，可部署数据防泄漏系统，可有效避免内部人员无意或恶意的数据外泄。数据防泄漏系统会对内容进行识别，通过识别可扩展到对数据泄露的防控，可定位敏感数据位置、监控敏感数据的使用情况以及采取阻断和审批加密的策略，防护敏感数据外泄。

3、数据管控

数据管控策略可有效避免“内鬼”将机密外泄。常见的管控技术有：访问权限管控、水印溯源管控、离职管控、加密管控等。

同时，针对业务、财务、技术、研发、运维人员定期进行安全意识培训，以及培养良好的数据使用习惯，通过数据分类分级技术建立权限准入机制，采取数据加密和数据防泄漏技术，避免内部数据外泄。

据美国《国会山报》4月13日报道，美国得克萨斯州一家法院已经批准美国联邦调查局(FBI)直接介入微软公司Exchange邮件服务器的网络安全运营，修复数百台美国服务器上的漏洞，并再次提及所谓“中国黑客利用了这一漏洞”。而对于此事，中国外交部早已回应。

中国外交部发言人汪文斌

在今年的“天府杯”上，当今许多顶级软件程序都被利用了前所未有的新漏洞进行了黑客攻击，这是中国最大，最负盛名的黑客竞赛。

组织者今天说：“今年的比赛已经提出了许多成熟而艰巨的目标。” 成功的漏洞利用针对：

在iPhone 11 Pro上运行的iOS 14

三星Galaxy S20

Windows 10 v2004（2020年4月版）

苹果浏览器

火狐浏览器

Adobe PDF阅读器

Docker（社区版）

VMWare EXSi（管理程序）

QEMU（仿真器和虚拟器）

TP-Link和ASUS路由器固件

15个中国黑客团队参加了今年的版本。参赛者进行了三次尝试，每次尝试五分钟，可以利用原始漏洞攻击到选定的目标。

对于每一次成功的攻击，研究人员都会获得金钱上的奖励，奖励取决于他们选择的目标和漏洞类型。

根据竞赛法规，所有漏洞均已报告给软件提供商，其依据是自2000年代后期开始在西方开展的更为成熟的Pwn2Own黑客竞赛的规则。

周末展示的所有错误的补丁将在未来几天和几周内提供，通常在每次TianfuCup和Pwn2Own比赛之后进行。

就像去年一样，获胜团队来自中国科技巨头奇虎360。该团队名为“360企业安全与政府和（ESG）漏洞研究院”，获奖者几乎占了总奖金的三分之二，今年颁发的总奖金$ 1,210,000中有$ 744,500。

排名第二和第三的是AntFinancial Lightyear安全实验室和安全研究员Pang。

中新网北京9月11日电 (记者 张素)美国微软公司称监测到来自中国黑客的网络攻击，并称这些攻击针对美国总统竞选团队。中国外交部发言人赵立坚11日在例行记者会上回应称，美国微软公司不应该无中生有，不应该硬拿中国生事。