有黑客利用此次疫情趁火打劫？我们为此采访了一位专业人士

万万没想到，庚子鼠年的第一篇更新，竟然是在老家的茶几上敲完的。

记得1月中旬在和同事聊天时，对新冠病毒认知尚浅，当时不觉有甚，提前规划好短暂假期里的各项活动安排，谁知不到一个月，所有计划全部泡汤，以至于最近几乎家家闭户，自我隔离。回西安上班，暂时成为奢望。

当下，全国的医疗资源几乎都向湖北倾斜，陕西也派出了累计七支医疗队伍赶赴武汉，并与湖北十堰结成帮扶对子，一省包一市，患难见真情。

国际上，各国小伙伴也纷纷伸出了援助之手，其中来自日本的“山川异域 风月同天”尤其令人动容。

当然，有君子就少不了小人。早几日，我在抖音上刷到一则印度利用本次疫情关键词对我国网络进行攻击的消息，让人愤懑。于是第一时间业内知名网络安全公司零时科技邓总求证，邓总证实了此消息的准确性。

以下，为求尔君就此次攻击事件采访实录。

问题1：此次有不法组织借疫情进行黑客攻击是真的吗？

就在全国人民万众一心抗击疫情之时，国内安全研究机构360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例，攻击者利用肺炎疫情相关题材作为诱饵文档，部分相关诱饵文档示例如：“武汉旅行信息收集申请表.xlsm”，攻击者以邮件为投递方式，并通过相关提示诱导受害者执行系统指令代码，对抗击疫情的医疗工作领域发动APT攻击。

拓展：什么是APT攻击？

APT(Advanced Persistent Threat)是指高级持续性威胁，本质是针对性攻击，利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的"恶意商业间谍威胁"。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性，针对特定对象，长期、有计划性和组织性地窃取数据，偷窃资料。

简单说，攻击者其将关键信息数据存在表格的worksheet里，worksheet被加密，在诱导用户点击执行的系统指令代码里面使用秘钥key去解密然后获取明文信息数据。然而其用于解密数据的秘钥Key为：nhc_gover，而nhc正是中华人民共和国国家卫生健康委员会的英文缩写。

这里诱导用户点击执行的系统指令代码被执行，攻击者就能访问其控制的远程服务器并加载恶意脚本， 并使用特定黑客攻击方法远程执行这些恶意脚本文件，从而攻击特定目标。

之后，在进一步追踪溯源中，最后发现这起APT组织隶属于南亚地区的黑客组织。

问题2.如何确定是印度（南亚地区）发起的攻击？

2019 年间，南亚地区的APT组织处在一个十分活跃的状态，同时，它还呈现出强烈的地缘政治倾向、明显的网络谍报特征、有计划有预谋的全链条攻击。军工军贸、政府机关、外交机构、基础设施企业， 这等重磅级单位企业成其火力全开地攻击目标，而目目标所属国度是：中国、巴基斯坦、孟加拉国和斯 里兰卡等。

通过网络安全团队及研究组织分析溯源，南亚APT组织逐步被披露，蔓灵花（BITTER）、摩诃草 （HangOver）、响尾蛇（SideWinder）、DoNot（肚脑虫）等都是较有名的南亚APT组织。

其中一个APT组织：摩诃草，一个至今已活跃9年有余的APT组织，持续的曝光并没有停止它攻击的步伐，反而令其愈发的猖狂，可谓“野火烧不尽”。

该印度APT组织的攻击目标主要为：在中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。而且在对中国地区的攻击中，主要针对政府机构、科研教育领域进行攻击，尤其以科研教育领域为主。

摩诃草在2019年的几次攻击活动中，使用 了一款新后门程序，并直接引用该后门的pdb文件为其命名为cnc_client。

然而，此次攻击所使用的恶意后门程序与之前已披露的南亚地区APT活动总结中印度组织专属后门cnc_client相似，通过进一步对二进制代码进行对比分析，其通讯格式功能等与cnc_client后门完全一致。可以确定，攻击者来源于印度的APT组织！

问题3.您如何评价此次攻击？

作为网络攻击的“黄金御用”手段，APT红热高发区也正是全球地缘政治冲突的敏感带，而且时刻都在发生。

针对本次攻击，攻击者精心利用新冠肺炎疫情相关题材作为诱饵文档，进行鱼叉式攻击时，医疗机构、医疗工作领域无疑成为此次攻击的最大受害者。

印度APT组织如此丧尽天良的对我国医疗机构发动定向攻击的原因，我们不妨可以大胆猜测：它们为了获取最新最前沿的医疗新技术；它们为了进一步截取医疗设备数据；扰乱中国的稳定，制造更多的恐怖。

别有用心的国家级APT组织的搅局，让这场本就步履维艰的疫情之战，更加艰难。一旦其“攻击阴谋”得逞，轻则丢失数据、引发计算机故障，重则影响各地疫情防控工作的有序推进，危及个人乃至企业政府等各机构的网路安全。尤其面对这等有着国家级背景的APT组织的攻击，后果简直不堪设想。

问题4.黑客是怎么进行攻击的个人或企业如何进行防护？

此次攻击主要利用肺炎疫情相关题材作为恶意的诱饵病毒文档，利用邮件投递的方式进行钓鱼攻击，诱惑受害者执行，针对类似攻击基层机构应该加强网络安全防御，加固信息系统；普通人最 重要的是提高网络安全意识。

计算机病毒只是一个程序或者代码，之所以叫他病毒，就是因为他具有同医学病毒相似的属性。对于病毒的概念，准确说应该叫恶意代码，是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序、代码、指令。

生物病毒具有破坏性、潜伏性、传染性、隐蔽性、非授权性、不可预知性。计算机病毒同理，在入侵计算机后，也会对计算机和网络进行破坏、会隐藏系统中不会马上发作、并且具备自我复制传播或者通过其他途径进行传播的能力、无需系统管理者授权对计算机进行无感知的破坏。

下面是生物病毒与计算机病毒在特点、防范方式等方面的共同点。

不管是什么病毒什么变种，他的感染和传播途径无外乎以上几种方法，所以，不管是什么病毒，预防的方法都是一样的：

1.增强安全意识，使用强口令。避免社工攻击和口令爆破。

2.经常关注最新的漏洞，及时给系统打补丁，避免通过漏洞渗透。

3.加强对U盘等移动介质的管理，避免通过病毒U盘传播。

[1] [2]  下一页