关键之年更需警惕网络安全挑战｜《漏洞》第8讲：花样翻新且危害巨大的黑产

《漏洞》作者：360公司创始人、360企业安全集团董事长齐向东

编者按

我们为您重磅推出的连载内容取自2018年下半年新出版的《漏洞》，这本七大院士联袂推荐的著作是齐向东根据他过去十几年的从业经历，对网络安全产业的总结和思考。他用通俗的语言和大家熟知的案例，把网络安全的基本构成、关键要素和未来趋势进行了梳理，并提出了应对当前网络安全威胁的新对策。上期对传统犯罪网络化之后的危害进行了梳理和阐述，本期将通过近年来发生的受“黑产”危害的重要事件，为您全方位展现11大类翻新了花样且危害巨大的网络犯罪行为。




第二章

黑与白：是“黑产”魔高一尺，还是“白产”道高一丈

第一节　网络黑色产业

网络犯罪花样化



暗网

暗网有多“黑暗”？我可以告诉大家，那里是网络空间的罪恶天堂。


暗网技术起源于 1996年美国海军的一个构想，在这个系统中用户连接互联网时处于匿名状态，不会在服务器上留下真实身份。因为保护访问路由器的密码像洋葱一样层层叠加，也被称为“洋葱网络”（Tor，The Onion Router）。


Tor2.0版后改为开源软件，暗网脱开军方，成为互联网上最大的网中网，它有自己的域名体系，还有自己的网站百科目录。暗网普遍用于违法交易和网络攻击，比特币是暗网货币。


暗网就好像互联网上的一个黑洞，普通的网络访问、用户和服务器之间的访问记录（日志）是可以回溯的。理论上讲，张三独立访问了A网站，就会在A网站上留下张三的IP地址，警察动用行政力量，就能找到张三的真实身份。如果使用代理服务器，它能更改隐藏访问者IP，但一旦代理服务器被攻陷，也能拿到访问者身份。



暗网的原理是引入P2P分布式机制，每一个装了Tor软件的用户电脑变成中继连接，每一次访问路径都随机经过多个中继连接，变化在任何一个中继服务器上，找不到完整的痕迹。


“丝绸之路”毒品交易网站是藏身于暗网的电商平台。一名澳大利亚记者经过数年跟踪，在一篇报道中说，在暗网电商平台上，赏金猎人价格在2万美元，而花6美元可以买一个含 HIV病毒的针筒，自己动手。如果你的目标对手罪不至死，可找特种部队吓唬他一下，花 5美元特种部队会安排几个警察教训他一下，花 20美元特种部队就会亲自出马。



2018年2月，美国司法部宣布对Infraud网络犯罪团伙的36名嫌疑人提出指控，罪名包括盗窃个人身份信息、对银行实施欺诈、电信诈骗和洗钱，等等。美国司法部称，这是迄今为止受理的最大规模网络欺诈案件。


Infraud表面上是一个匿名在线论坛，实际上买卖从全球各地窃取而来的个人社保账号、生日和密码等个人信息。截至 2017年初，这个论坛共有超过 1万名注册会员，会员售卖的“商品”无奇不有，从 79.5万个汇丰银行的登录账户，到网络支付平台贝宝（Paypal）的账户，再到数不清的信用卡卡号。就这样， Infraud成长为迄今为止最大的“暗网”之一，已导致商家、银行损失了 5.3亿美元。



如今，各国政府和执法机关都在抓紧清扫暗网上的非法行为。但暗网并不是罪恶之源，只要需求存在，仍会不停地发展。



木马攻击

“木马攻击”这个词来源于一个古希腊神话故事，攻击特洛伊城的士兵使用木马来伪装实现攻城，这一特点与木马病毒相似度极高，也自然而然地成为电脑木马程序的名字。



木马是一个专门的恶意软件类型，主要是指通过伪装等手段，掩盖自己的真正意图。从原理上来说，由于木马的通用性，在任何类型的网络犯罪当中几乎都会见到木马的身影，包括窃取信息、破坏计算机、横向渗透整个网络，甚至进行国与国之间的APT攻击等。因此木马也被称为“网络犯罪的枪和子弹”。


木马攻击已经形成了非常完整的黑色产业链，分工包括木马制作、木马代理、包马人、洗钱人等一系列角色。


其中，木马制作和木马代理经常是公司化运作，实现木马编写、避免被杀毒软件查杀的“一条龙服务”。之后，包马人负责在网页上植入木马，从中招用户的电脑中盗取各类有价值的信息，再把这些数据出售给洗钱人，由洗钱人进行变现操作，与其分成获利。


在PC网银发达的年代，攻击者通常会向浏览器注入木马，篡改网银客户端，使受害人将钱转入指定账户，或者利用受害人的账户购买游戏点卡等方式进行获利。现在，随着虚拟货币的火爆，向网站植入“挖矿木马”逐渐成为一种主流的获利方式。



2017年11月，360安全中心监测到一款新型木马在国内大规模爆发，上百家网站感染该木马。用户在浏览这些网站时，电脑会自动执行挖矿代码，中招的电脑会出现卡慢、变热、 CPU占用率飙高等情况，严重影响设备的正常使用。


受影响的网站除了一些伪色情网站、境外赌博站点外，还有大批涉及教育、民生、政务等领域的网站，其中“巨人学校论坛”“云盘视频分享站”等浏览量庞大的网站全站遭受攻击，打开网站内任意页面都可能自动运行挖矿程序。



由于“挖矿木马”隐蔽性极强，未来这类木马数量还将继续增加。不法分子可能会将“挖矿”目标转移到网页游戏和客户端游戏中，通过游戏的资源高消耗率掩盖“挖矿机”的运作。



网站挂马与篡改

“网站挂马与篡改”是网络犯罪行为中常用的一种攻击方法。攻击者会利用各种手段，包括病毒感染、零日漏洞（0day）利用、SQL注入漏洞、网络劫持、恶意广告投放等，向网站页面中加入恶意代码，修改页面内容，当网站访问者访问被加入恶意代码的页面时，计算机就会自动访问被转向的地址或者下载木马病毒。这种方法就像把木马病毒挂在了网页里，一触即发，因此被形象地称为“挂马”。



“挂马”整个攻击过程可大致分为三个环节：恶意代码开发维护、获取修改网站页面权限并植入恶意代码、持续控制“肉鸡”并挖掘价值。围绕这个三个环节，网络犯罪进行了专业分工，并形成了真正意义上的“黑色产业链”。


2006年，以MPack为代表的商业化攻击代码库开始出现，任何人只需要花500～1000美元就可以获得一套完整的商业化攻击代码。攻击者利用攻击代码库可以非常轻易地获得网站访问者计算机的控制权，并通过窃取账号密码、出售DDoS（Distributed Denial of Service，分布式拒绝服务）攻击等各种方式进行变现，“黑产”由此迅速发展成熟。



近几年，“挂马”攻击行为不断演进，甚至通过合法在线广告系统给客户端软件、移动APP、网站植入恶意代码。 2015年， FireEye监测到有攻击团伙利用顶级在线广告商OneClickAds的系统投放了包含 CVE—2015—5119 漏洞利用程序在内的“挂马”广告。


2018年4月，有国内的攻击团伙通过页面广告，向大量客户端软件资讯和新闻窗中插入带有CVE—2016—0189漏洞利用代码的挂马页面，漏洞利用代码执行后，在设备上植入后门，进而在用户设备上植入后门，后续进行勒索、挖矿、软件推广等多种恶意操作。


更严重的是，“挂马”越来越多地出现在了“高级持续威胁”这类有组织、有针对性的攻击行为中。在2014年5月、 9月，以及 2015年1月，“海莲花”组织针对多个政府机构、科研院所和涉外企业的网站进行篡改和挂马。在该组织被曝光并沉寂一段时间以后， 2017年11月又监测到“海莲花”组织对某大型能源企业发起了“挂马”的攻击行为。



可以预见的是，只要互联网的主要展现形式还是网站，“挂马”这种攻击方式一定会长久存在，并会随着互联网环境和攻防对抗的发展，不断发生新的变化。



网站“拖库”与“撞库”

数据泄露一直是网络安全的焦点，服务商和黑客之间在用户数据这个舞台上，一直在进行着旷日持久的攻防战。在这场攻防战中，“拖库”与“撞库”成为我们必须重视的问题。那什么是“拖库”和“撞库”呢？



“拖库”顾名思义就是黑客从有价值的网站把用户资料数据库拖走。而“撞库”则是指黑客通过收集互联网已泄露的用户和密码信息，生成对应的密码字典表，尝试批量登录其他网站后，碰撞出一系列可以登录的账户。用户在不同网站登录时使用相同的用户名和密码，相当于给黑客配了一把“万能钥匙”，一旦丢失后果无法想象。



“撞库攻击”需要一定的攻击成本，其中最重要的是撞库的源数据。这些源数据主要通过三种方式获取：一是黑市购买；二是同行交换；三是自行入侵网站并“拖库”。这三种源数据的获取方式都是由黑客入侵网站
后进行“拖库”而流出来的。



随着网站数据库泄露事件频繁发生，加上地下黑色产业日渐成熟，不法分子获取网站用户数据后，可以通过诈骗、推广等方式迅速变现，“撞库攻击”逐渐成为主流的盗号方式。



2014年年底， 12306网站由于“撞库攻击”导致大量用户数据泄露。根据铁路公安机关通报，不法分子通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登录其他网站进行“撞库”，非法获取用户身份认证信息共计 60余万组，并谋取非法利益。 2014年12月25日晚，涉嫌窃取并泄露他人电子信息的蒋某某、施某某被抓获。



黑客盗取到大量账号后，通常会对这些账号进行分类，最后再根据不同的类型分别变现。例如，游戏类的账号可以转移虚拟货币、出售游戏账号、盗取装备；金融类的账号可以用来进行金融犯罪和诈骗；其他类型的账号还可以直接出售给专门的广告投放公司，用于发送广告、垃圾短信、电商营销等。



随着网络诈骗问题日益增多，“拖库”与“撞库攻击”所衍生的问题也越来越受到重视。要防止“拖库”，主要是要做好网站自身的安全，杜绝网页漏洞、管理员弱口令，同时还可以和专业安全厂商合作，通过渗透测试的方式，全面检查网站所存在的漏洞和脆弱点。而防止“撞库攻击”，重点则是在网站登录时做好相对严格的验证流程和防御措施，如限制同一个IP的请求频率、添加无法通过机器去识别的滑块验证码等。



APT攻击

APT是“Advanced Persistent Threat”的缩写，又称“高级持续性威胁”，通常以政治或商业为动机，针对特定目标实施长久持续且隐匿的网络攻击活动。 APT攻击的实施者通常具有国家、政府或情报机构背景，或是由它们资助的攻击组织，而非普通网络黑客或网络犯罪团伙。



“APT”一词普遍认为是美国空军分析师格雷格·拉特雷（Greg Rattray）上校在2006年首次提出。 2010年6月，著名的“震网”蠕虫被发现，其目标是破坏伊朗核设施。“震网”事件完全具备 APT攻击的特点，是一起由国家和政府背景支持的 APT攻击。



近年来，APT攻击活动的动机多和地缘政治冲突、军事行动相关，主要攻击意图是长久性的情报刺探、收集和监控，其攻击目标除了政府、军队、外交相关部门外，也包括科研、海事、能源、高新技术等领域。


2018年4月， 360在全球范围内率先监控到了一例使用 0day漏洞的APT攻击，捕获到了全球首例利用浏览器零日漏洞的新型 Office文档攻击，并将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的 IE浏览器和使用了 IE内核的应用程序。用户在浏览网页或打开 Office文档时都可能中招，最终被黑客植入后门木马完全控制电脑。


360当即向微软提交了该漏洞的相关细节，微软在4月20日早上确认了这个漏洞，随后在5月8日发布了官方安全补丁，对该漏洞进行了修复，并将其命名为CVE—2018—8174。


通过对该APT攻击进行分析和追踪溯源， 360确认其与APT—C—06组织存在关联。 APT—C—06组织是一个长期活跃的境外 APT组织，其主要目标为中国和其他国家，攻击活动的主要目的是窃取敏感数据信息进行网络间谍攻击。在针对中国地区的攻击中，该组织主要针对政府、科研领域进行攻击，且非常专注于某特定领域，相关攻击行动最早可以追溯到2007年，至今仍非常活跃。



当前比较知名且活跃的 APT攻击组织还有“海莲花”“摩诃草”等，本书第五章中将对其展开详细介绍。


如今，随着APT攻击组织与安全人员的日益对抗升级，APT组织利用多层次的加密混淆、多阶段载荷投放等方式，加大了分析取证难度，攻击来源的研判更加困难，APT威胁的攻防博弈将长期延续。



DDoS攻击

DDoS是Distributed Denial of Service的缩写，意为“分布式拒绝服务”。通俗地说， DDoS攻击就是使被攻击的系统“拒绝提供服务”，一般是利用这个系统的功能缺陷，或者直接消耗其系统资源，使系统无法正常提供服务。



DDoS攻击由来已久。可以说，自互联网通讯协议（TCP/IP）诞生之日起，DDoS这种攻击方式就伴随而生。


互联网上最经典的 DDoS攻击方式之一是 SYN Flood攻击（SYN为Synchronization的首 3字母缩写，意为“同步”），它利用的是 TCP/IP设计的天然缺陷。简单来说， TCP在交换数据之前有一个“三次握手”建立连接的过程，这是一种协商机制，只有握手成功才能建立成功连接。然而，目标主机缺乏有效的校验机制，不论是谁发起“握手请求”（即 SYN请求），目标主机都要作出响应。这就给攻击者提供了可乘之机，当攻击者蓄意发起大量的SYN请求时，目标主机就不得不对这些请求做出响应，导致出现内存不足和CPU满负载的情况，从而无法正常地提供服务。


和SYN Flood攻击的原理类似，DNS（域名系统）服务器也成为DDoS攻击的重灾区。 DNS被称为互联网的基石，不论是谁发起DNS请求，DNS服务器都需要响应。如果遇到蓄意的 DDoS攻击，DNS服务器因为要大量响应、查询大量的表项，最后导致无法正常提供服务。



2016年发生的“美国东海岸断网”事件就是一个典型案例。当地时间10月21日，美国域名解析服务提供商戴纳基（Dyn）的域名服务器遭受三波DDoS攻击，导致推特（Twitter）、美国有线电视新闻网（CNN）、华尔街日报、星巴克等超过1 200家网站无法访问，美国主要公共服务、社交平台、民众网络服务瘫痪。仅Dyn一家公司的直接损失就超过了1.1亿美元，事件的整体损失不可估量。



2017年12月， FBI宣布“美国东海岸断网”案件告破，并公开致谢 360在破获这起案件中所做的协助工作。 360作为东半球唯一参与事件处置的公司，依托其安全大数据资源，率先发现并持续追踪溯源了这个由摄像头等智能设备组成的名为“Mirai”的僵尸网络，为案件告破提供了重要线索。



勒索与敲诈

勒索软件和敲诈病毒是近几年盛行的新型网络犯罪。它的原理是，通过对用户的数字资产（如Office文档、图片、视频、源代码、数据库等文件）进行加密，造成使用者无法访问这些文件，或篡改系统密码锁定系统，迫使用户交付赎金。



已知的勒索软件最早可追溯到 1989年，哈佛大学毕业生约瑟夫·帕普（Joseph Popp）编写了一个名为 AIDS Trojan（也称为“PC Cyborg”）的病毒。它会隐藏硬盘上的文件，并对文件名进行加密，然后声称用户的软件许可已经过期，要求用户向“PC Cyborg”公司寄去189美元以获得修复工具。可以说，AIDS Trojan开启了勒索与敲诈攻击的先河。


2013年底，黑客首次采用比特币作为赎金支付形式，通过勒索软件CryptoLocker获取了价值2 700万美元的赎金。由于比特币具有很强的隐秘性，很难抓捕到恶意软件的作者，因此这几年出现的勒索病毒几乎都使用加密数字货币作为交付赎金。


现在，勒索软件开始呈现爆发之势，技术手段不断更新，攻击目标也逐渐从个人转向企业。黑客通过漏洞利用、弱密码攻击等手段入侵政企客户的高价值服务器，加密其核心业务数据，企业客户迫于业务运营的压力，不得不尽快支付赎金，而且数额也更大。


早在2016年9月召开的首届国际反病毒大会上，我就强烈呼吁要警惕勒索病毒泛滥成灾，这个预警不幸成为了事实。



仅2018年前三个月，就发生了多起勒索软件攻击事件： 3月22日，美国亚特兰大市遭遇了一场大规模勒索软件攻击，政府机构的一些关键系统不幸中招，迫使官员只能使用传统的纸笔记录方案； 2月20日，美国海恩斯维尔市市政府遭遇了一起勒索软件攻击，导致多项城市在线生活服务被迫中断，需要支付水费的居民必须亲自去营业厅进行现场缴费。


还有2017年5月，全球爆发的著名的“永恒之蓝”勒索蠕虫，席卷了150多个国家和地区。仅一个月后， NotPetya勒索病毒变种在乌克兰等地肆虐，让人们对于勒索软件的关注达到了空前的高度。



对于当前的勒索软件形势，事前的防范远比事后的补救来得重要，用户需要养成良好的安全意识，设置高强度系统密码，及时安装系统补丁，将核心业务数据备份，同时安装安全防御软件并保持实时更新，将勒索软件的攻击风险降到最低。



私服外挂

私服一度是网络安全领域的热门词语，指的是未经版权拥有者授权，非法获得服务器端安装程序之后设立的网络服务器，本质上属于网络盗版，与在互联网上共享未经授权的版权作品的本质差别不大。随着时间的流逝，越来越多的私服开始转入地下，我们可以从私服的兴起之路来回顾一下这种新型的网络犯罪手段。


在网络游戏中，拥有特殊需求的玩家大有人在，为满足这部分人的需求，私服“应运而生”。其主要目的是通过以包月或者点卡等方式，向游戏玩家收费，满足玩家的特殊需求。由于利润可观，私服实际造成的危害比其他网络盗版行为更为严重。



2001年网络游戏兴起，来自韩国的MMORPG（Massive Multiplayer Online Rote-Playing Game，大型多人在线角色扮演游戏）游戏《传奇》火遍中国，但由于其苛刻的等级升级制度，玩家往往要耗费大量精力及财力，才能获得较好的装备及较高的等级。这种情况下，一些私服运营者开始扮演GM（Game Master，游戏管理员）角色，比如提升游戏初始等级、减少升级所需经验等，同时向愿意付费的玩家出售装备。


私服的兴起催生了多条产业链。首先是DDoS产业链，为了抑制对手扩张，私服的运营者会提供费用招揽黑客，以 DDoS的方式致使其他私服不可用；其次是雇佣黑客针对网络游戏开发公司进行渗透，例如，某老板贿赂巨人网络游戏公司的开发者，从其手中购买网络游戏源码以供架设私服；最后是因私服大量兴起而伴随而生的“外挂”产业链。


严格来说，“外挂”在私服兴起之前就已经存在了。“外挂”的早期雏形是针对单机游戏的游戏修改器。随着网络游戏兴起，流行的外挂技术包括封包修改法、Hook网络游戏客户端关键函数等。同时，“外挂”产业链也逐渐变大，包括外挂开发者、销售、客服等各个角色，外挂产业中还借用了一些与游戏运营相同的理念，如外挂的会员制度、包月制度等。


如今，几乎流行的网络游戏中都存在外挂，包括最近火遍全球的“吃鸡”游戏《绝地求生》。随着某平台主播使用外挂事件的爆出， FPS（Firstperson shooting game，第一人称射击类游戏）的外挂泛滥问题也逐渐浮出水面。这些外挂的主要功能包括射击无后坐力、透视、穿墙爆头、千里狙击等。在国内某外挂销售网站上，我了解到类似功能的外挂售价高达100元/天，更有甚者号称其外挂功能强大并开出了8000元 /月的高价。由此可见，整个外挂产业链的利润十分可观。


随着电竞行业的完善，网络游戏除了休闲的功能外，也逐渐体现出某些竞技性，某些游戏在发行时就提供了创建服务器等功能。因此，私服产业逐渐衰败，但外挂仍旧是困扰电竞产业最大的威胁，一些国家甚至为反外挂推出了专门定制的法律。预计在未来的游戏产业中，关于游戏安全及外挂的技术对抗，仍旧会此消彼长。



域名劫持攻击

域名劫持攻击离我们有多远？我可以告诉大家，其实我们每天上网都会遇到。


域名系统（DNS，Domain Name System）是互联网最为关键的基础设施，它是一个分布式数据库，能与IP地址相互映射，从而使用户不用死记硬背那些复杂的、能被机器直接读取的 IP地址，就能方便地访问互联网。域名一旦被劫持，将会引导用户进入攻击者伪造的网站或导致网站无法访问，造成无法估量的后果。


域名劫持攻击一般有多种形式。一种是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口，强制用户访问某些网站，或者在用户访问A站时将其替换成 B站。目前因为有安全软件和安全浏览器的存在，这种威胁基本已经消除。


更高级的攻击是通过冒充原域名拥有者，修改网络解决方案公司的注册域名记录，将域名转让到另一团体，让原域名指向另一个服务器，使正常的域名访问被指向攻击者所想引导的内容。



2018年4月，流行的以太网钱包MyEtherWallet遭遇DNS劫持攻击，黑客将用户定向到恶意版本的网站并盗用了他们的私钥。据媒体报道，攻击持续了几个小时，黑客从中获得了大约价值15万美元的加密货币。


不仅是网站，黑客还利用 DNS劫持攻击智能手机。 2018年4月，卡巴斯基实验室研究人员报告了一种最新的安卓恶意软件。该恶意软件通过DNS劫持技术进行传播，主要针对亚洲地区的智能手机进行攻击。其目的是窃取包括凭证在内的用户信息，从而让攻击者可以完全控制被感染的安卓设备。研究人员在超过150个用户网络中检测到了这种恶意软件，主要受害者位于韩国、孟加拉国和日本，而且受害者可能更多。



DNS安全是网络安全的第一道大门，如果DNS的安全没有得到有效的防护，也未制定应急措施，即使网站主机安全防护措施级别再高，攻击者也可以轻而易举地通过攻击 DNS服务器使网站无法提供服务。



攻击工业控制系统

2010年的伊朗“震网”病毒事件，给全球工业控制系统敲响了警钟。这次事件让人们认识到，互联网在拓展工业控制系统发展空间的同时，也带来了工业控制系统的网络安全问题。



工业控制系统通常指由计算机设备和工业生产控制部件组成的系统。 20世纪 70年代至 90年代，许多系统与业务网络完全隔离，因此，针对工业系统的网络攻击被认为是“可管理的”。随着信息技术（IT）和运营技术（OT）逐渐融合，原本在隔离网络中几乎完全被忽视的工业控制系统网络成为黑客、病毒、木马攻击的主要目标之一。


工业控制系统中大量使用的各种 Windows及开源的 Linux操作系统，通常数年甚至是十余年未打补丁和升级，存在大量漏洞，任何针对这些漏洞的攻击都将造成难以估量的损失。除了操作系统的漏洞外，大量工控系统的设备、协议及应用程序在设计之初没有考虑安全问题，更没有采用认证和加密机制等网络安全对抗措施，因此近年来针对工控系统的网络安全事件频发。



2017年12月，黑 客 利 用 恶 意 软 件 Triton攻 击 了 施 耐 德 电 气 公 司（Schneider Electric）Triconex安 全 仪 表 系 统（Triconex Safety Instrumented System， SIS），意图关停系统并尝试修改系统到危险失效状态。攻击者已经不满足于攻击常规工控系统（如分布式控制系统（DCS）、可编辑逻辑控制器（PLC）等），造成停车或停产，而是开始攻击工业领域最核心的安全保护系统，尝试造成爆炸、有害物质泄露等更严重的危害，该威胁被 RSAC2018评为最危险的五大攻击之一。



2018年1月至5月，根据国家信息安全漏洞共享平台（CNVD）统计，工业控制系统漏洞总数已达到 190个，主要分布在能源、制造、商业设施、水务、市政等重点领域，且高危漏洞比重增多，攻击破坏力不断增强，对关键信息基础设施的安全防护存在重大威胁。



随着工业控制系统受攻击的风险日益严重，工业互联网安全受到政府高度重视，相关法律法规也相继推出。 2017年12月 29日，工信部正式印发《工业控制系统信息安全行动计划（2018—2020年）》，提出到 2020年基本建立全系统工控安全管理工作体系，工业控制系统的安全已经成为国家安全的重要组成部分。



攻击关键信息基础设施

在万物互联的今天，利用技术上的漏洞，攻击水电、通信、交通、金融、医疗、卫生、军事等关键信息基础设施，并使其陷入瘫痪，这种威胁变得十分现实。


关键信息基础设施所涉及的范围比较广泛，并兼具着多种不同身份与职能，这也使得其暴露面增多。一旦关键信息基础设施运行、管理的网络设施和信息系统遭到破坏，丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益。


关键信息基础设施被攻击的危害在 2017年的“永恒之蓝”勒索蠕虫事件中体现得尤为明显。“永恒之蓝”在国内波及医疗、能源（加油站）、公
安（出入境、户籍管理）、制造业（产线停摆）、教育等众多行业，直接对社会公共利益造成了较大的影响。而在国外，很多病人甚至因此错过了手术时间。



2018年第一季度，发生了多起关键信息基础设施网络安全事件： 4月5日，黑客利用思科设备的漏洞攻击了伊朗，造成数十台大型路由器瘫痪。4月 6日，“JHT”黑客组织又攻击了俄罗斯和伊朗的大规模网络基础设施。攻击不仅导致网络中断，还将路由器的一个文件篡改为警告消息：“不要干扰我们的选举……—JHT”，并留下了一面用字符组成的美国国旗； 4月9日，德国纳图（Natus）医疗设备被曝出多个漏洞，这些漏洞可导致远程代码攻击和拒绝服务攻击，影响脑电图设备。


2018年3月，美国联邦调查局和国土安全局表示，俄罗斯网络黑客正在攻击美国关键基础设施，包含了能源网、核设施、航空系统以及水处理厂等。这是美国方面首次公开确认遭到基础设施网络攻击。



随着关键信息基础设施攻击事件日益频繁，我国加大了对关键信息基础设施的保护程度。


2017年7月，国家互联网信息办公室发布了《关键信息基础设施安全保护条例（征求意见稿）》，划定了关键信息基础设施的保护范围，规定了安全保护的基本制度，关键信息基础设施防护进入全面提速期。


当梳理完网络“黑产”的类型后，我们会发现，在这条黑色产业链中，有的人负责提供技术，有人负责搭建平台运营，有的负责扩大组织规模。如果按照“上游、中游、下游”进行分类：上游是提供技术的黑客，中游为黑色产业犯罪团伙，下游则是支持黑色产业犯罪团伙的各种周边组织。


目前，对网络犯罪的打击主要是从下游犯罪出发，对上游和中游的打击还存在力度不足等诸多困难。现在，国际社会已经加强了在网络犯罪打击方面的合作。例如联合国毒品与犯罪问题办公室一直在就网络犯罪做出战略响应，为全球70多个国家提供技术支持和能力建设，与全球政治领导、司法官员、执法部门及专家学者合作，共同推动打击网络犯罪、在线儿童色情、毒品贩卖、人口贩卖、武器交易以及恐怖主义等领域的国际合作。



2017年9月，在360主办的中国互联网安全大会（ISC）上，联合国毒品与犯罪问题办公室网络犯罪全球项目主管尼尔·沃尔什（Neil Walsh）做了一场精彩的主题演讲。他说，作为联合国框架下刑事事务的负责部门，他们已经把帮助各成员国打击网络犯罪纳入工作日程之内，并在全球范围内开展技术支持和能力建设，提供反网络犯罪政策法律支持，推动有关网络犯罪的国际新合作、新动议。



我国也先后跟美国、俄罗斯、英国等全球多个国家在合作打击网络犯罪领域达成了共识，积极推进网络安全国际执法合作，通过广泛的国际合作，积极营造全方位、宽领域、多层次、讲实效的打击网络犯罪国际执法合作格局。

来源 360企业安全