陸網路空間安全協會指美情報機構頻繁網路攻擊國防軍工

陸網路空間安全協會指美情報機構頻繁攻擊陸國防軍工網路竊密。圖爲2025世界人工智慧大會「有益、安全、公平」爲主題的人工智慧向善分論壇。（新華社）

中國大陸網路空間安全協會1日發佈消息表示，美國情報機構頻繁對中國大陸國防軍工領域實施網路攻擊竊密。

大陸國家互聯網應急中心（CNCERT）監測發現，近年來，美國情報機構將網路攻擊竊密的重點目標瞄準陸高科技軍工類的大專院校、科研院所及企業，試圖竊取大陸軍事領域相關科研數據或設計、研發、製造等環節的核心生產數據等敏感資訊，目標更有針對性、手法更加隱蔽，嚴重威脅大陸國防軍工領域的科研生產安全甚至國家安全。自2022年西北工業大學遭受美國NSA網路攻擊被曝光後，美情報機構頻繁猖獗對大陸國防軍工領域實施網路竊密攻擊。CNCERT選取2起典型事件公佈，爲重要行業領域提供安全預警。

一、利用微軟Exchange郵件系統零日漏洞實施攻擊：

2022年7月至2023年7月，美情報機構利用微軟Exchange郵件系統零日漏洞，對大陸一家大型重要軍工企業的郵件伺服器攻擊並控制將近1年。經調查，攻擊者控制該企業域控伺服器，以域控伺服器爲跳板，控制內網50餘臺重要設備，並在企業某對外工作專用伺服器中植入建立websocket＋SSH隧道的攻擊竊密武器，意圖實現持久控制。同時，攻擊者在該企業網路構建多條隱蔽通道進行數據竊取。

期間，攻擊者使用位於德國（159.69.＊.＊）、芬蘭（95.216.＊.＊）、韓國（158.247.＊.＊）和新加坡（139.180.＊.＊）等多國跳板IP，發起40餘次網路攻擊，竊取包括該企業高層在內11人郵件，涉及大陸軍工類產品相關設計方案、系統核心參數等內容。攻擊者在該企業設備中植入攻擊武器，透過混淆來逃避安全軟體監測，通過多層流量轉發達到攻擊內網重要設備目的，通過通用加密方式抹去惡意通信流量特徵。

二、利用電子檔案系統漏洞實施攻擊：

2024年7月至11月，美情報機構對大陸某通信和衛星互聯網領域的軍工企業實施網路攻擊。經調查，攻擊者先是通過位於羅馬尼亞（72.5.＊.＊）、荷蘭（167.172.＊.＊）等多國跳板IP，利用未授權訪問漏洞及SQL注入漏洞攻擊該企業電子檔案系統，向該企業電子檔案伺服器植入記憶體後門程式並進一步上傳木馬，在木馬攜帶惡意載荷解碼後，將惡意載荷添加至Tomcat（美國Apache基金會支持的開原始程式碼Web應用伺服器專案）服務的篩檢程式，通過檢測流量中的惡意請求，實現與後門通信。隨後，攻擊者又利用該企業系統軟體升級服務，向該企業內網定向投遞竊密木馬，入侵控制了300餘臺設備，並搜索「軍專網」、「核心網」等關鍵字定向竊取被控主機敏感性數據。

上述案例，攻擊者利用關鍵字檢索國防軍工領域敏感內容資訊，明顯屬於國家級駭客組織關注範圍，並帶有強烈戰略意圖。此外，攻擊者使用多個境外跳板IP實施網路攻擊，採取主動刪除日誌、木馬，主動檢測機器狀態等手段，意圖掩蓋其攻擊身分及真實攻擊意圖，反映出很強網路攻擊能力和專業隱蔽意識。

據統計，僅2024年境外國家級APT組織對大陸重要單位網路攻擊事件就超過600起，其中國防軍工領域是受攻擊的首要目標。尤其是以美國情報機構爲背景的駭客組織依託成建制的網路攻擊團隊、龐大支撐工程體系與制式化攻擊裝備庫、強大漏洞分析挖掘能力，對大關鍵資訊基礎設施、重要資訊系統、關鍵人員等攻擊滲透，嚴重威脅大陸國家網路安全。