中国国家计算机网络应急技术处理协调中心(CNCERT)公开指控美国情报机构针对关键军工实体策划复杂网络攻击,此次披露基于2022年西北工业大学遭遇NSA攻击的事件。
曝光细节包含两起标志性事件,凸显通过高级持续性威胁(APT)对中国国防部门的持续针对性攻击。
第一起案例时间跨度为2022年7月至2023年7月,涉及利用Microsoft Exchange电子邮件基础设施中一个未公开的零日漏洞。
Microsoft Exchange零日漏洞利用 攻击者渗透某大型军工企业的邮件服务器,建立持续近11个月的控制权限。 初始入侵促进了内网横向移动,利用域控制器作为跳板攻陷超过50台核心设备。 为保持隐蔽,攻击者部署基于WebSocket和SSH的隧道机制,构建多层加密通道以窃取敏感数据。 行动针对高价值目标,包括11名高管的电子邮件账户,从中提取军事产品设计蓝图和系统参数规格等关键资产。 技术层面,攻击工具包采用代码混淆技术绕过终端检测与响应(EDR)系统,命令与控制(C2)流量通过德国和芬兰等国的中介跳转点路由,确保在整个入侵生命周期中无明显恶意特征可检测。
供应链入侵 第二起事件发生于2024年7月至11月,凸显供应链生态系统中的漏洞,攻击者利用电子文件管理系统中的未授权访问缺陷植入内存驻留后门,并操纵Tomcat servlet过滤器实现持久化。 利用罗马尼亚和荷兰的跳板IP地址,入侵者将恶意载荷伪装成合法系统升级包,在内网传播定向木马。 这使得能够精确控制300多台设备,基于关键词过滤机制聚焦"军事网络"和"核心网络"等术语以识别和收集战略情报。 数据窃取集中于高风险材料,包括通信协议规范和卫星互联网架构图,表明这是旨在破坏国家安全资产的国家级间谍活动。 为规避取证分析,攻击者实施日志清理例程并实时监控防御态势,动态调整以隐藏来源并保持操作隐蔽性。 这些战术反映专业情报行动的特点,优先考虑长期访问而非立即破坏。
报告称,CNCERT的披露正值全球供应链风险受到严格审查之际,特别是在中国网信办与英伟达就H20芯片系列 alleged后门要求提供证据文件的最新对话之后。 该事件强化了关键技术本地化的必要性,因为对外国供应商的依赖屡次使实体面临外部操纵和控制,正如这些案例中被利用的漏洞所示。 通过优先发展自主技术,中国旨在加强网络防御以抵御此类入侵,减少可能被对手武器化的依赖。 这些事件不仅凸显了与美国相关的APT组织的技术复杂性,也标志着网络空间中更广泛的地缘政治竞争,其中军工秘密仍是情报主导权的首要目标。 截至最新报道,调查仍在继续,呼吁国际社会追究责任以遏制此类激进网络活动。
