網(wǎng)絡(luò)安全威脅問(wèn)題日益嚴(yán)重，VPN專線辦公遭遇黑客攻擊

（文章來(lái)源：IT時(shí)報(bào)）

近日，360安全大腦捕獲到一起劫持深信服VPN的安全服務(wù)從而下發(fā)惡意文件的APT攻擊活動(dòng)，目前該漏洞細(xì)節(jié)已經(jīng)交給廠商并得到確認(rèn)。通過(guò)進(jìn)一步追蹤溯源發(fā)現(xiàn)，此次攻擊者為來(lái)自半島的APT組織Darkhotel（APT-C-06），今年3月開(kāi)始已失陷的VPN服務(wù)器超200臺(tái), 中國(guó)多處駐外機(jī)構(gòu)遭到攻擊，4月初攻擊態(tài)勢(shì)又再向北京、上海相關(guān)政府機(jī)構(gòu)蔓延。

根據(jù)監(jiān)測(cè)分析發(fā)現(xiàn)，攻擊者已控制了大量相關(guān)單位的VPN服務(wù)器并控制了大量相關(guān)單位的計(jì)算機(jī)終端設(shè)備。

VPN（Virtual Private Network）模式在企業(yè)在線辦公中非常常見(jiàn)，且在疫情期間更受到青睞，用戶可通過(guò) VPN 隧道穿透企業(yè)網(wǎng)絡(luò)邊界，訪問(wèn)企業(yè)內(nèi)部資源。但隨著疫情的蔓延，不少安全專家也提出了對(duì)VPN安全性的擔(dān)憂，VPN一旦被黑客組織攻陷，眾多企事業(yè)單位的內(nèi)部資產(chǎn)將暴露在公網(wǎng)之下，沒(méi)有任何安全保障，損失將不可估量。

而這一切的擔(dān)憂，比我們預(yù)想的來(lái)的都要早了一些。360安全大腦捕獲到半島APT組織Darkhotel（APT-C-06），劫持深信服VPN安全服務(wù)下發(fā)惡意文件，鎖定中國(guó)駐外機(jī)構(gòu)、政府相關(guān)單位發(fā)動(dòng)定向攻擊。截至目前，被攻擊單位有大量VPN用戶已經(jīng)中招。

Darkhotel中文名為“黑店”，它是一個(gè)有著東亞背景，長(zhǎng)期針對(duì)企業(yè)高管、政府機(jī)構(gòu)、國(guó)防工業(yè)、電子工業(yè)等重要機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)間諜攻擊活動(dòng)的APT組織。其足跡遍布中國(guó)、朝鮮、日本、緬甸、俄羅斯等國(guó)家，相關(guān)攻擊行動(dòng)最早可以追溯到2007年。這并不是Darkhotel組織首次對(duì)我國(guó)發(fā)動(dòng)攻擊。此前，360安全大腦就曾全球首家捕獲到半島APT組織Darkhotel在Win 7停服之際，利用“雙星”0day漏洞，瞄準(zhǔn)我國(guó)商貿(mào)相關(guān)的政府機(jī)構(gòu)發(fā)動(dòng)攻擊。

據(jù)了解，全球疫情爆發(fā)蔓延的當(dāng)下，除中國(guó)外的世界各國(guó)政府似乎都早已處在水深火熱之中，原因有三：一方面各國(guó)政府機(jī)構(gòu)在面對(duì)突如其來(lái)的疫情，不知采取何種手段來(lái)緩解人員流動(dòng)、經(jīng)濟(jì)發(fā)展、交通限流等措施；二是醫(yī)療物資的儲(chǔ)備及防疫物資的缺乏，正在讓疫情影響下的國(guó)家陷入癱瘓狀態(tài)；三是存量病例及死亡人數(shù)的攀升，引發(fā)了民眾的恐慌情緒。

而這些不得不讓我們關(guān)聯(lián)到Darkhotel（APT-C-06）組織在疫情期間攻擊我國(guó)駐外機(jī)構(gòu)及政府等相關(guān)機(jī)構(gòu)的目的。而據(jù)360安全大腦披露，攻擊者已完全控制上述相關(guān)單位的VPN服務(wù)器，并將VPN服務(wù)器上的關(guān)鍵升級(jí)程序替換為了后門(mén)程序， 由于VPN用戶一旦登錄成功，就會(huì)被完全授信。所以可以說(shuō)，攻擊者已經(jīng)控制了大量相關(guān)單位的計(jì)算機(jī)終端。

試想一下，在全球疫情蔓延的當(dāng)下，駐外機(jī)構(gòu)及企事業(yè)單位都紛紛采取“云辦公”模式，大量的員工都會(huì)通過(guò)VPN與總部建立聯(lián)系、傳輸數(shù)據(jù)，而此次VPN被攻擊，后果勢(shì)必不堪設(shè)想。根據(jù)此線索，我們?cè)傧蚯巴茰y(cè)一步今年新冠疫情全球爆發(fā)，在中國(guó)取得顯著救疫成效之后，各國(guó)又相繼淪陷，中國(guó)秉承著“人類命運(yùn)共同體”的原則，相繼向周邊國(guó)家伸出援助之手，從醫(yī)療技術(shù)、設(shè)備、經(jīng)驗(yàn)、專家等角度進(jìn)行全力支援。

從疫情角度：此次Darkhotel通過(guò)攻破VPN的手段，攻擊中國(guó)多處駐外機(jī)構(gòu)，是否意在掌握劫持我國(guó)在救疫期間的先進(jìn)醫(yī)療技術(shù)、救疫措施？是否通過(guò)駐外機(jī)構(gòu)動(dòng)態(tài)來(lái)進(jìn)一步探究世界各國(guó)的疫情真實(shí)情況及數(shù)據(jù)？又是否通過(guò)攻擊中國(guó)駐外機(jī)構(gòu)來(lái)掌握中國(guó)向世界各國(guó)輸送救疫物資的運(yùn)輸軌跡、數(shù)量、設(shè)備?

從經(jīng)濟(jì)角度：是否通過(guò)掌握政治、經(jīng)濟(jì)貿(mào)易來(lái)往數(shù)據(jù)，間接關(guān)聯(lián)到各國(guó)與中國(guó)的核心利益紐帶，疫情之后的經(jīng)濟(jì)緩解措施？從而進(jìn)一步推動(dòng)疫情之后本國(guó)經(jīng)濟(jì)崛起及各國(guó)利益關(guān)系？同樣在全球疫情之下，各大企事業(yè)單位紛紛采取云上辦公的模式，各項(xiàng)救疫措施、經(jīng)濟(jì)舉措、復(fù)工手段、企業(yè)數(shù)據(jù)紛紛通過(guò)VPN下發(fā)或回傳指令，此次Darkhotel攻擊北京、上海等相關(guān)政府單位，是否又在掌握本國(guó)疫情數(shù)據(jù)、經(jīng)濟(jì)復(fù)蘇手段呢？

VPN為何成為攻擊突破口？在相關(guān)漏洞分析中發(fā)現(xiàn)，其中一臺(tái)深信服被攻擊的VPN服務(wù)器版本為M6.3 R1，該版本發(fā)行于2014年，由于版本過(guò)于老舊，存在大量安全漏洞。同時(shí)該相關(guān)單位的運(yùn)維開(kāi)發(fā)人員的安全意識(shí)不強(qiáng)，為了工作便利，將所維護(hù)的客戶的敏感信息保存在工作頁(yè)上。

正是因?yàn)殛P(guān)鍵基礎(chǔ)設(shè)施的安全漏洞和相關(guān)人員的薄弱安全意識(shí)，才導(dǎo)致了VPN服務(wù)器被黑客攻破。
? ? ?（責(zé)任編輯：fqj）