5月29日消息，360旗下“天眼實(shí)驗(yàn)室”發(fā)布報(bào)告，首次披露一起針對(duì)中國(guó)的國(guó)家級(jí)黑客攻擊細(xì)節(jié)。該境外黑客組織被命名為“海蓮花（OceanLotus）”，自2012年4月起，“海蓮花”針對(duì)中國(guó)的海事機(jī)構(gòu)、海域建設(shè)部門、科研院所和航運(yùn)企業(yè)，展開了精密組織的網(wǎng)絡(luò)攻擊，很明顯是一個(gè)有國(guó)外政府支持的APT（高級(jí)持續(xù)性威脅）行動(dòng)。

報(bào)告指出，“海蓮花”使用木馬病毒攻陷、控制政府人員、外包商、行業(yè)專家等目標(biāo)人群的電腦，意圖獲取受害者電腦中的機(jī)密資料，截獲受害電腦與外界傳遞的情報(bào)，甚至操縱該電腦自動(dòng)發(fā)送相關(guān)情報(bào)，從而達(dá)到掌握中方動(dòng)向的目的。

據(jù)天眼實(shí)驗(yàn)室分析，海蓮花攻擊的主要方式有“魚叉攻擊”和“水坑攻擊”，前者最常見的做法是，將木馬程序作為電子郵件的附件，并起上一個(gè)極具誘惑力的名稱，發(fā)送給目標(biāo)電腦，誘使受害者打開附件，從而感染木馬。

例如，在去年5月22日新疆發(fā)生了致死31人的暴力恐怖性事件之后，5月28日，該黑客組織曾發(fā)送名為“新疆暴恐事件最新通報(bào)”的電子郵件及附件，引誘目標(biāo)人群“中招”。該組織曾發(fā)送過的電郵名稱還包括“公務(wù)員工資收入改革方案”等一系列社會(huì)高度關(guān)注的熱點(diǎn)。

“水坑攻擊”，即在受害者必經(jīng)之路設(shè)置了一個(gè)“水坑（陷阱）”。最常見的做法是，黑客分析攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律，尋找攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站的弱點(diǎn)，先將此網(wǎng)站“攻破”并植入攻擊代碼，一旦攻擊目標(biāo)訪問該網(wǎng)站就會(huì)“中招”。例如，黑客攻陷了某單位的內(nèi)網(wǎng)，將內(nèi)網(wǎng)上一個(gè)要求全體職工下載的表格偷偷換成了木馬程序，這樣，所有按要求下載這一表格的人都會(huì)被植入木馬程序，向黑客發(fā)送涉密資料。

“海蓮花”組織在攻擊中還配合了多種“社會(huì)工程學(xué)”的手段，以求加大攻擊效果。比如，在進(jìn)行魚叉攻擊時(shí)，黑客會(huì)主要選擇周一和周五，因?yàn)檫@兩個(gè)時(shí)間人們與外界的溝通比較密切，是在網(wǎng)絡(luò)上傳遞信息的高峰期。而水坑攻擊的時(shí)間則一般選在周一和周二的時(shí)間，因?yàn)檫@個(gè)時(shí)候一般是單位發(fā)布通知，要求職工登錄內(nèi)網(wǎng)的時(shí)候。

目前已經(jīng)捕獲的與“海蓮花”相關(guān)的第一個(gè)特種木馬程序出現(xiàn)在2012年4月，當(dāng)時(shí)，首次發(fā)現(xiàn)第一波針對(duì)海運(yùn)港口交通行業(yè)的“水坑”攻擊，海蓮花組織的滲透攻擊就此開始。不過，在此后的2年內(nèi)，“海蓮花”的攻擊并不活躍。

直到2014年2月，海蓮花開始對(duì)我國(guó)內(nèi)目標(biāo)發(fā)送定向的“魚叉”攻擊，海蓮花進(jìn)入活躍期，并在此后的14個(gè)月中對(duì)我國(guó)多個(gè)目標(biāo)發(fā)動(dòng)了不間斷的持續(xù)攻擊。2014年5月，海蓮花對(duì)國(guó)內(nèi)某權(quán)威海洋研究機(jī)構(gòu)發(fā)動(dòng)大規(guī)模魚叉攻擊，并形成了過去14個(gè)月中魚叉攻擊的最高峰。

“天眼實(shí)驗(yàn)室”表示，其已捕獲與海蓮花組織有關(guān)的4種不同形態(tài)的特種木馬程序樣本100余個(gè)，感染者遍布中國(guó)29個(gè)省級(jí)行政區(qū)和境外的36個(gè)國(guó)家。其中，中國(guó)的感染者占全球92.3%，而在境內(nèi)感染者中，北京地區(qū)最多，占22.7%，天津次之，為15.5%。為了隱蔽行蹤，海蓮花組織還先后在至少6個(gè)國(guó)家注冊(cè)了服務(wù)器域名35個(gè)，相關(guān)服務(wù)器IP地址19個(gè)，分布在全球13個(gè)以上的不同國(guó)家。