武汉遭遇网络攻击，黑手究竟源于哪儿

技术攻击是把双刃剑，而互联网也绝对不是无国界的法外之地。

01

武汉遭遇网络攻击

武汉市应急管理局今天（26日）发布消息：近期，国家计算机病毒应急处理中心和360公司向武汉市应急管理局通报，经上述机构监测发现，武汉市应急管理局所属武汉市地震监测中心部分地震速报数据前端台站采集点网络设备遭受境外组织的网络攻击。

目前，武汉市公安局江汉分局已经根据中华人民共和国《刑法》 第285条之规定，对此案立案侦查，并对提取到的后门样本进一步开展技术分析，该后门程序能非法控制并窃取地震速报前端台站采集的地震烈度数据。初步判定，此事件为境外具有政府背景的黑客组织和不法分子发起的网络攻击行为。

据央视新闻报道，中国国家计算机病毒应急处理中心和360公司也向武汉市应急管理局通报此案。武汉市应急管理局称，坚决反对任何组织或个人以任何形式对中国设备实施网络攻击，任何危害地震监测基础设施的行为都将被依法追究相关法律责任。

武汉市应急管理局称，为进一步查明事实，武汉市地震监测中心第一时间封存相关网络设备，并将遭受网络攻击的情况向辖区公安机关报案，当局将保留进一步追诉的权利。

02

黑客网络攻击频发络攻击

武汉市应急管理局今天的声明很容易让人联想到去年西北工业大学的声明。

去年6月，西北工业大学发布声明，称有来自境外的黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息。9月5日，《环球时报》从相关部门获悉，“西北工业大学遭受境外网络攻击”的“真凶”是美国国家安全局（NSA）特定入侵行动办公室（TAO）。在各部门的通力协作下，此次行动全面还原了数年间美国NSA利用网络武器发起的一系列攻击行为，打破了一直以来美国对我国的“单向透明”优势。

针对“西北工业大学遭受境外网络攻击”，中国国家计算机病毒应急处理中心和360公司联合组成技术团队（以下简称“技术团队”），对此案进行全面技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头。技术团队初步判明对西北工业大学实施网络攻击行动是NSA信息情报部（代号S）数据侦察局（代号S3）下属TAO（代号S32）部门。

TAO成立于1998年，是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成，下设10个处室。

《环球时报》记者当时了解到，此案在NSA内部攻击行动代号为“阻击XXXX”（shotXXXX）。直接参与指挥与行动的主要包括TAO负责人，远程操作中心（主要负责操作武器平台和工具进入并控制目标系统或网络）以及任务基础设施技术处（负责开发与建立网络基础设施和安全监控平台，用于构建攻击行动网络环境与匿名网络）。

除此之外，还有四个处室参与了此次行动，分别是：先进/接入网络技术处、数据网络技术处、电信网络技术处负责提供负责提供技术支撑，需求与定位处则负责确定攻击行动战略和情报评估。

根据介绍，一直以来，美国国家安全局（NSA）针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害。

而就在今年2月18日，北京奇安盘古实验室公开一份报告，揭秘了疯狂对华实施数据窃取的ATW组织。

报告显示，2021年10月以来，一名为 AgainstTheWest（下称“ATW”）的黑客组织，将中国作为主要攻击目标，疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成严重危害。

这是自2022年2月，该实验室公开揭露隶属于美国国家安全局（NSA）的超一流黑客组织“方程式”制造“电幕行动”（Bvp47），攻击中国等国家和地区的完整证据链条后，再次曝光对华实施数据窃取和网络攻击的黑客组织。

经实验室调查发现，ATW组织宣称攻击窃取涉我国党政机关、科研机构等单位的数据，实则均来源于为我重要单位提供软件开发的中小型信息技术和软件开发企业，窃取数据也多为开发过程中的测试数据。

该组织的攻击手法主要是针对开源网络系统存在的技术漏洞实施大规模扫描和攻击，进而通过“拖库”，窃取相关源代码、数据等。相关信息可用于对涉及的网络信息系统实施进一步漏洞挖掘和渗透攻击，属于典型的“供应链”攻击。

为掩护其攻击行为，ATW组织还使用了一批“跳板”和代理服务器，主要分布在英国、北马其顿、瑞典、罗马尼亚等国家。

该组织一度自我标榜为“道德黑客”，却并非向存在漏洞的企业发布预警提示信息，以提高这些企业的安全防范能力，相反，更多的是利用这些漏洞实施攻击渗透、窃取数据，并在黑客论坛恣意曝光，炫耀“战果”。

2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。多次对所窃数据进行歪曲解读、夸大其词，竭力配合美西方政府，并大力煽动、诋毁中国的数据安全治理能力。

当然，目前武汉市应急管理局受攻击事件还在调查中，攻击究竟源自哪里相信不久就会大白天下。

编辑｜张毅

审核｜吴新

爆料联系：cpcfan1874（微信）

壹零社：用图文、视频记录科技互联网新鲜事、电商生活、云计算、ICT领域、消费电子，商业故事。《中国知网》每周全文收录；中国科技报刊100强；2021年微博百万粉丝俱乐部成员；2022年抖音优质科技内容创作者