美英两国将微软黑客攻击归咎于中国

本周一，英国政府与微软一起声称微软Exchange Server黑客攻击是中国国家资助的黑客，即高级持续威胁 (APT) 组织Hafnium的工作。据悉，美国、北约和欧盟与英国一道谴责这次袭击。

英国外交大臣多米尼克·拉布（Dominic Raab）声称：“中国政府支持的团体发动的袭击是鲁莽但熟悉的行为模式，中国政府必须结束这种系统性的网络破坏，如果不这样做，可能会被追究责任。”

今年早些时候，微软检测到可疑活动并将其与本地Microsoft Exchange Server中的四个零日漏洞相关联。3月，微软发布了紧急补丁，以减轻对其客户的威胁。微软当时表示，检测到多个 0-day 漏洞被用来在有限和有针对性的攻击中攻击本地版本的 Microsoft Exchange Server”，并且“高度自信地将这次活动归因于国家黑客组织 Hafnium，微软声称该组织由中国资助并在中国境外开展业务。”然而，这四个零日漏洞CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065最终还是被利用了，仅在美国估计就有3万个组织受到损害。

欧洲银行管理局是这次袭击中最引人注目的受害者之一。事件发生后，在属于英国企业2000多台机器上发现了该恶意软件。英国政府在第一声称污蔑此次攻击可能是为了“大规模间谍活动”，帮助由中国 (PRC) 赞助的黑客窃取信息和知识产权。

美国白宫与英国一道发表联合声明，批评中国的行为。美国政府声称：“在某些情况下，我们知道中国政府附属的网络运营商对私营公司进行了勒索软件操作，其中包括数百万美元的赎金要求。中国不愿解决合同黑客的犯罪活动，通过损失数十亿美元的知识产权、专有信息、赎金和缓解措施，损害了政府、企业和关键基础设施运营商的利益。”

一位熟悉全球APT活动的中国安全专家指出，美国政府的指控属于“贼喊捉贼”。事实上长期以来，美国黑客组织持续对我国实施网络攻击。通过监测分析，目前已发现多个美国黑客组织以我国党政机关、事业单位、科研院所等重要敏感单位的网站和相关主机为主要目标，实施漏洞扫描攻击、暴力破解，DDoS攻击等攻击行为。

以下选择了3个较为典型的美国黑客组织进行研究，分析其攻击行为特征如下：

黑客组织A

2020年10月发现的黑客组织A控制了位于美国的1065台主机对中国2426台目标主机实施攻击，攻击对象主要为党政机关和企事业单位，如某汽车动力总成公司、某钢铁股份有限公司以及部分高校等。攻击手段主要为SSH暴力破解、SNMP暴力破解等。

黑客组织B

2020年10月发现的黑客组织B控制了位于美国的24台主机对中国993台目标主机实施攻击，攻击对象主要为高校，涉及山西、广西、广东等省份；也有部分党政机关，如某省科技委员会、某市商务局等。攻击手段主要包括SNMP暴力破解、PHP代码执行漏洞、Struts2远程命令执行漏洞等暴力破解和Web扫描攻击。

黑客组织B

2020年8月发现的黑客组织C控制了位于美国的5台主机对中国119台目标主机实施攻击，攻击对象主要为高校，涉及广东、北京等地。攻击手段主要为PHP漏洞攻击、SQL注入等Web类攻击。

监测发现，相当一部分美国黑客组织倾向于尝试利用大批量主机，通过广泛的Web和系统漏洞扫描攻击手段，配合高频暴力破解手段进行侦察和踩点攻击，锁定攻击目标。这些黑客组织通过有针对性的高频探测攻击，试图利用较小的攻击成本，找到重要敏感单位资产的薄弱环节，为后期侵入和渗透提供机会。