有黑客利用此次疫情趁火打劫？我们为此采访了一位专业人士

• 黑客

中国加油！武汉加油！——求尔君

引

好久不见，先祝大家元宵快乐！

万万没想到，庚子鼠年的第一篇更新，竟然是在老家的茶几上敲完的。

记得1月中旬在和同事聊天时，对新冠病毒认知尚浅，当时不觉有甚，提前规划好短暂假期里的各项活动安排，谁知不到一个月，所有计划全部泡汤，以至于最近几乎家家闭户，自我隔离。回西安上班，暂时成为奢望。

当下，全国的医疗资源几乎都向湖北倾斜，陕西也派出了累计七支医疗队伍赶赴武汉，并与湖北十堰结成帮扶对子，一省包一市，患难见真情。

国际上，各国小伙伴也纷纷伸出了援助之手，其中来自日本的“山川异域 风月同天”尤其令人动容。

当然，有君子就少不了小人。早几日，我在抖音上刷到一则印度利用本次疫情关键词对我国网络进行攻击的消息，让人愤懑。于是第一时间业内知名网络安全公司零时科技邓总求证，邓总证实了此消息的准确性。

以下，为求尔君就此次攻击事件采访实录。

问题1：此次有不法组织借疫情进行黑客攻击是真的吗？

就在全国人民万众一心抗击疫情之时，国内安全研究机构360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例，攻击者利用肺炎疫情相关题材作为诱饵文档，部分相关诱饵文档示例如：“武汉旅行信息收集申请表.xlsm”，攻击者以邮件为投递方式，并通过相关提示诱导受害者执行系统指令代码，对抗击疫情的医疗工作领域发动APT攻击。

拓展：什么是APT攻击？

APT(Advanced Persistent Threat)是指高级持续性威胁，本质是针对性攻击，利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的"恶意商业间谍威胁"。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性，针对特定对象，长期、有计划性和组织性地窃取数据，偷窃资料。

简单说，攻击者其将关键信息数据存在表格的worksheet里，worksheet被加密，在诱导用户点击执行的系统指令代码里面使用秘钥key去解密然后获取明文信息数据。然而其用于解密数据的秘钥Key为：nhc_gover，而nhc正是中华人民共和国国家卫生健康委员会的英文缩写。

这里诱导用户点击执行的系统指令代码被执行，攻击者就能访问其控制的远程服务器并加载恶意脚本， 并使用特定黑客攻击方法远程执行这些恶意脚本文件，从而攻击特定目标。

之后，在进一步追踪溯源中，最后发现这起APT组织隶属于南亚地区的黑客组织。

问题2.如何确定是印度（南亚地区）发起的攻击？

2019 年间，南亚地区的APT组织处在一个十分活跃的状态，同时，它还呈现出强烈的地缘政治倾向、明显的网络谍报特征、有计划有预谋的全链条攻击。军工军贸、政府机关、外交机构、基础设施企业， 这等重磅级单位企业成其火力全开地攻击目标，而目目标所属国度是：中国、巴基斯坦、孟加拉国和斯 里兰卡等。

通过网络安全团队及研究组织分析溯源，南亚APT组织逐步被披露，蔓灵花（BITTER）、摩诃草 （HangOver）、响尾蛇（SideWinder）、DoNot（肚脑虫）等都是较有名的南亚APT组织。

其中一个APT组织：摩诃草，一个至今已活跃9年有余的APT组织，持续的曝光并没有停止它攻击的步伐，反而令其愈发的猖狂，可谓“野火烧不尽”。

该印度APT组织的攻击目标主要为：在中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。而且在对中国地区的攻击中，主要针对政府机构、科研教育领域进行攻击，尤其以科研教育领域为主。

摩诃草在2019年的几次攻击活动中，使用 了一款新后门程序，并直接引用该后门的pdb文件为其命名为cnc_client。

然而，此次攻击所使用的恶意后门程序与之前已披露的南亚地区APT活动总结中印度组织专属后门cnc_client相似，通过进一步对二进制代码进行对比分析，其通讯格式功能等与cnc_client后门完全一致。可以确定，攻击者来源于印度的APT组织！

问题3.您如何评价此次攻击？

作为网络攻击的“黄金御用”手段，APT红热高发区也正是全球地缘政治冲突的敏感带，而且时刻都在发生。

针对本次攻击，攻击者精心利用新冠肺炎疫情相关题材作为诱饵文档，进行鱼叉式攻击时，医疗机构、医疗工作领域无疑成为此次攻击的最大受害者。

印度APT组织如此丧尽天良的对我国医疗机构发动定向攻击的原因，我们不妨可以大胆猜测：它们为了获取最新最前沿的医疗新技术；它们为了进一步截取医疗设备数据；扰乱中国的稳定，制造更多的恐怖。

别有用心的国家级APT组织的搅局，让这场本就步履维艰的疫情之战，更加艰难。一旦其“攻击阴谋”得逞，轻则丢失数据、引发计算机故障，重则影响各地疫情防控工作的有序推进，危及个人乃至企业政府等各机构的网路安全。尤其面对这等有着国家级背景的APT组织的攻击，后果简直不堪设想。

问题4.黑客是怎么进行攻击的个人或企业如何进行防护？

此次攻击主要利用肺炎疫情相关题材作为恶意的诱饵病毒文档，利用邮件投递的方式进行钓鱼攻击，诱惑受害者执行，针对类似攻击基层机构应该加强网络安全防御，加固信息系统；普通人最 重要的是提高网络安全意识。

计算机病毒只是一个程序或者代码，之所以叫他病毒，就是因为他具有同医学病毒相似的属性。对于病毒的概念，准确说应该叫恶意代码，是指能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序、代码、指令。

生物病毒具有破坏性、潜伏性、传染性、隐蔽性、非授权性、不可预知性。计算机病毒同理，在入侵计算机后，也会对计算机和网络进行破坏、会隐藏系统中不会马上发作、并且具备自我复制传播或者通过其他途径进行传播的能力、无需系统管理者授权对计算机进行无感知的破坏。

下面是生物病毒与计算机病毒在特点、防范方式等方面的共同点。

不管是什么病毒什么变种，他的感染和传播途径无外乎以上几种方法，所以，不管是什么病毒，预防的方法都是一样的：

1.增强安全意识，使用强口令。避免社工攻击和口令爆破。

2.经常关注最新的漏洞，及时给系统打补丁，避免通过漏洞渗透。

3.加强对U盘等移动介质的管理，避免通过病毒U盘传播。

4.对于下载的文件、邮件附件等下载后先扫描再打开。

5.加强对于互联网的管理，防止通过网页、电子邮件、实时通讯工具、网络下载等方式感染和传播病毒。

6.部署网络防火墙和主机防火墙。关闭常用的危险端口。

7.加强对应用程序的安装和启动的管理，禁止未经授权的程序启动和运行。

8.加强对于共享文件夹的权限管理。

9.部署外网和内网的网络入侵检测系统以及主机入侵检测系统，及时关注网络日志和系统日志，发现 异常行为第一时间处理。

10.安装专业靠谱的有主动防御功能的杀毒软件，并及时更新病毒库。《中华人民共和国计算机信息系统安全保护条例》第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能 自我复制的一组计算机指令或者程序代码 。

问题5：疫情持续期间，只有印度对中国进行攻击吗？

除了南亚的APT攻击之外，在此次疫情期间，还有很多其他的网络攻击存在。

这是现阶段普遍存在的三种攻击情况：

1.以疫情关键字为诱导的病毒钓鱼攻击

2.以疫情为诱饵的信息泄露导致的诈骗攻击

3.以疫情捐赠为由的携善款跑路的诈骗攻击

据邓永凯介绍：零时安全团队在网络上发现，近期，部分武汉归乡人员的登记信息表在各个微信群中流传，表格中有姓 名、家庭住址、电话、身份证号码、返回车次，甚至高考成绩等敏感信息。

部分武汉归乡人员由于信息泄露，电话和微信受到陌生人的辱骂以及威胁：

不仅如此由于各社区，街道办每日要对密切接触者以及武汉归乡人员的身体状况进行收集，不法份子利用被泄露的信息对个人进行定向的社会工程，钓鱼以及推销。

零时科技安全团队在这里提出几条防范措施：

陌生电话未表明身份便要求提供个人信息时，应验明对方身份后提供 不主动泄露个人及他人信息，不转发个人及他人信息 提高防范意识，保持冷静，保持最大程度的克制。

在这场疫情当中，“新型冠状病毒”是我们唯一的、共同的敌人。保护好自己、保护好战友，凝聚抗疫合力，才能团结一切力量战胜病毒。该被严防死守的，是肆无忌惮传播的病毒而不是武汉人。

问题6：对于此次攻击，官方或民间组织有组织反击吗？效果如何？

问题7：疫情对互联网安全行业带来了哪些影响与改变，您个人有什么担忧或者期待？

1.一旦被感染，全社会都放假，只有医务工作者拼死奋斗在一线。一旦单位网络被感染，所有人都停 止工作，只有信息中心和运维人员在一线奋斗。

2.平时对医务工作者没有应有的尊重和敬畏，杀医辱医事件层出不穷，出事了就成了救世主。平时对信息中心和安全运维人员不重视，总认为是一个花钱的部门，出了事才意识到安全的重要性。

本次疫情中出现很多针对医疗相关机构以及受疫情影响的群众进行定向攻击。可以了解到相关行业的安全建设情况，根据当前现状进行查漏补缺，加强信息安全建设，对于受到影响的群众，应该增强 自身安全意识，总体对网络安全的发展是有促进作用的，俗话说得好，未知攻焉知防。

消极的影响当然也是有的，很多准备在2020年准备开展的项目全部搁置或者取消，更有胜者，因为资金不能及时到位导致团队裁员或者解散的，希望此次疫情早日结束。

采访内容有删改，非常感谢零时科技创始人邓永凯先生的大力支持！

附：零时科技区块链安全建议30条（互联网通用版）