360數字安全集團高級威脅研究院專家：我國14大重點行業面臨境外網攻威脅

來源：環球時報

【環球時報報道 記者 馬俊】編者的話：隨着全球互聯的趨勢持續加強以及國際事務中的競爭與博弈態勢日趨加劇，具有“國家級”背景的組織在網絡空間發起的高隱蔽性、高破壞性攻擊活動更加頻繁，防備高級持續性威脅（APT）的重要性也與日俱增。11日，中國最大的網絡安全公司360數字安全集團正式發佈《2024年全球高級持續性威脅（APT）研究報告》（以下簡稱“報告”），《環球時報》記者就近來網絡安全威脅的趨勢和防禦重點等問題，採訪了360數字安全集團高級威脅研究院專家邊亮。

APT攻擊的四個趨勢

《環球時報》記者注意到，報告中明確提到，網絡空間已經成爲地區衝突中對抗的重要戰場，全球APT組織保持高活躍度。截至2024年底，全球網絡安全廠商和機構累計發佈APT報告730多篇，報告涉及APT組織124個，其中屬於首次披露的APT組織41個。360依託“看見威脅”的數字安全能力，捕獲到兩個全新APT組織，分別爲歸屬南亞地區的APT-C-70（獨角犀）和東亞地區的APT-C-65（金葉蘿）。至此，360已累計發現並披露了56個境外APT組織。

其中APT-C-65（金葉蘿）自2020年以來持續對中國境內服務器網絡進行攻擊滲透，目的是竊取敏感數據和知識產權。攻擊目標行業包括能源、製造、信息技術、國防軍工教育科研等，攻擊者先對目標Web業務系統的漏洞進行掃描及滲透，嘗試利用境內Web業務的系統漏洞；隨後部署後門木馬，並在服務器內網進行橫向移動。該組織常用開源、公開或商業軟件作爲攻擊工具，用於後門、橫向移動和持久化等惡意行爲。而APT-C-70（獨角犀）現階段主要針對中國、巴基斯坦等地緣周邊國家的外交、貿易、能源等行業領域，善於收集和編造社會時政新聞熱點作爲釣魚文檔話題，並通過附帶惡意宏文檔或帶有惡意Ink文件壓縮包的魚叉郵件的方式投遞訪問階段攻擊載荷。

邊亮在接受《環球時報》記者採訪時進一步介紹說，在數字化浪潮下，人工智能等新興技術的崛起在無形中加劇了網絡威脅的蔓延與深化，全球APT攻擊活動展現出全面鋪展、多處突發等特點。其中有四個需要注意的趨勢：一是供應鏈攻擊成爲APT組織攻擊重點趨勢。近幾年，APT組織持續提高對供應鏈的關注程度，隨着攻擊者技戰術水平的不斷提升，越來越多供應鏈軟硬件的0day漏洞被APT組織應用於攻擊活動。2024年中，360安全大模型持續監測到APT-C-00（海蓮花）、APT-C-39（CIA）等組織在對我國的攻擊活動中，都曾利用政企單位軟件供應商的軟件系統漏洞進行鍼對性攻擊。

二是國產化軟件系統成爲APT組織攻擊重點。隨着我國國產化替代推廣和網絡安全體系化建設，我國企事業單位逐漸鞏固自身網絡安全壁壘。APT組織轉而繞道國產化軟件系統作爲攻擊跳板，利用供應商軟件系統在目標網絡內的權限，繞過攻擊目標的網絡防禦完成攻擊滲透，達成其攻擊目的。由於國產化軟件系統供應鏈在我國的企事業單位中具備廣泛客戶羣，這使得APT組織一旦對供應鏈完成攻擊滲透，便會造成嚴重影響。

三是通信設備成武器，網絡攻擊形態多樣化。2024年，黎巴嫩多個地區發生的傳呼設備爆炸事件在全球範圍內引起廣泛關注。該事件充分說明了網絡攻擊形態早已不再限於以太網、物聯網、工控網絡，包括廣播網絡在內的各種可聯網方式都可以是網絡攻擊的載體。隨着網絡的延展，接入網絡的終端類型越來越多，功能也越來越多樣化，網絡攻擊形態也最終向多樣化發展。

四是針對汽車製造、新能源、通信電信領域的攻擊活動逐漸顯露，成爲APT攻擊新熱點。隨着新能源汽車行業蓬勃發展，尤其是我國新能源產業更是異軍突起，別有用心的攻擊者對我國新能源企業和汽車製造相關產業鏈的攻擊活動逐漸顯露。近幾年，APT-C-00（海蓮花）和APT-C-01（毒雲藤）等組織開始將我國新能源汽車領域相關的科研和製造企業作爲重點目標，進行長期的網絡攻擊。2024年，360還監測到北美方向的APT-C-39（CIA）組織針對我國新能源相關科技企業展開攻擊滲透。

部分高校成重點攻擊目標

據360安全大模型監測，我國受APT攻擊影響單位主要涉及14個重點行業領域，其中，政府機構、教育、科研、國防軍工和交通運輸是遭受APT攻擊活動最爲集中的5個行業。這主要是由於APT組織針對特定行業的攻擊，通常實施竊取敏感數據，甚至戰略性破壞，用以服務於攻擊者背後勢力的政治、軍事或經濟等目的。

報告顯示，2024年攻擊活動影響我國的APT攻擊主要來源於南亞、東亞、東南亞及北美地區。比如南亞和東南亞背景的APT組織，其背後政治勢力在地緣政治、地區影響力、海洋發展等領域與我國存在直接利益衝突。而北美方向組織針對我國高新技術領域的網絡攻擊竊密，則是其背後政治勢力對我國進行科技封鎖策略的進一步延伸。

邊亮強調稱，在全球範圍內，政府機構一直都是APT組織重點攻擊方向。2024年，我國舉辦和參與了多個具有廣泛影響力的國際峰會。根據360安全大模型監測發現，在重大會議前後APT-C-08（蔓靈花）組織對我國外交機構、駐外使館和駐外經濟貿易合作相關單位的攻擊活躍。外交和駐外使館相關單位掌握着國家間政治、經濟、科技、軍事等方向的最新策略，攻擊者針對外交相關單位的攻擊活動是爲其背後的政治勢力竊取我國最新外交策略以及對重大國際問題的立場，以求在博弈中掌握主動。

同時教育領域成爲除政府機構以外另一重點攻擊方向。一方面，教育單位的網絡環境相對複雜，網絡安全意識和安全建設相對薄弱，另一方面，我國的部分高校都承接了不少國家重大科研課題，尤其是一批具有國防軍事背景的院校，更是直接參與我國前沿軍工科技的發展，在此背景之下，教育科研單位成爲APT組織攻擊的重點目標。這從受APT攻擊的高校分佈也能看出端倪，受攻擊影響的高校中，國防軍工背景高校佔有一定比例。

此外，在地區衝突背景下，針對國防軍工相關目標的網絡攻擊實現角色升級，主要圍繞航空工業、航天工業、船舶工業、兵器工業等相關目標展開。這些網攻不僅能刺探軍事情報、中斷敵方網絡通信，甚至可以實現控制軍事設施、癱瘓敵方指揮控制系統、僞造和傳遞錯誤指令，這種能力使網絡戰成爲現代軍事衝突中不可忽視的一部分。

AI訓練需警惕“數據投毒”

近來隨着國產大模型DeepSeek的持續火爆，其平臺也遭到大規模的網絡攻擊。此前公開報道顯示，DeepSeek平臺遭遇的攻擊類型主要是大規模、持續性的DDoS攻擊，並多次造成網頁和API服務中斷，甚至一度無法註冊。此外，還有大量呈指數級增長的引流、仿冒和釣魚站點，其在海外仿冒網站已超3000個。同時，冒充DeepSeek的惡意軟件也在迅速增多，通過僞裝成官方應用或文件，誘導用戶下載並感染系統，進而危害用戶的個人信息安全。

有安全專家表示，“我們可以看到，一方面，人工智能在提高生產力，能夠幫助解決過去難以應對的網絡安全問題；另一方面，同時它也帶來了新的安全挑戰。其中，不僅包含網絡和數據安全問題，還可能生成大量僞造、虛假或不合適的內容，從而引發網絡欺詐和社會穩定問題。對於大模型來說，數據污染和數據投毒是AI訓練過程中必須警惕的風險。”

面對這類場景，需要用專業的安全大模型來應對人工智能帶來的安全挑戰，也就是“以模製模”，利用AI大模型來檢測和防範大模型可能出現的安全風險，既解決傳統網絡安全問題，又爲攻克AI安全新挑戰提供了可行性方案。

當前網絡攻擊形勢日益複雜化和全球化，尤其是在地緣政治對抗的推波助瀾下，有組織網絡攻擊更是逐漸走向公開化。各國逐漸意識到單純依靠外交譴責已不足以有效應對這一全球性挑戰，紛紛提高網絡安全方面的重視程度和投入，並加強國際間合作，尋求外交譴責層面以外的方式應對網絡攻擊威脅。

對於中國面臨的網絡安全新挑戰，報告顯示2024年境外APT組織對我國政府機構領域攻擊活動佔比明顯增加，國產化軟件系統也成爲APT組織攻擊的新目標。面對這一挑戰，我國政企單位應持續加速網絡安全能力建設，尤其是推進國產化進程。當前，信創產業進入全面應用階段，成爲推動安全行業發展的重要動力。對於政企單位來說，應加大對自主核心技術研發的投入，提升國產化軟件系統的安全性和穩定性，推動信創產品在關鍵領域的廣泛應用，並加強信創安全生態的建設。此外，還應加強安全人才培養和引進，提升網絡安全防護的智能化和自動化水平，以應對日益複雜的網絡安全威脅。

同時，人工智能等新興技術的崛起在無形中也加劇了網絡威脅的蔓延與深化，企業要利用大數據和人工智能技術，訓練專業的安全大模型來應對人工智能帶來的安全挑戰，提高國家發現網絡攻擊、溯源和應急處置的能力。