2024年12月18日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布公告，發(fā)現(xiàn)處置兩起美對(duì)我大型科技企業(yè)機(jī)構(gòu)網(wǎng)絡(luò)攻擊事件。本報(bào)告將公布對(duì)其中我國(guó)某智慧能源和數(shù)字信息大型高科技企業(yè)的網(wǎng)絡(luò)攻擊詳情，為全球相關(guān)國(guó)家、單位有效發(fā)現(xiàn)和防范美網(wǎng)絡(luò)攻擊行為提供借鑒。

在1月17日例行記者會(huì)上，外交部發(fā)言人郭嘉昆表示中方對(duì)此嚴(yán)重關(guān)切，敦促美方立即停止相關(guān)惡意活動(dòng)。中方將采取必要措施維護(hù)自身網(wǎng)絡(luò)安全和利益。

網(wǎng)絡(luò)攻擊流程：利用服務(wù)器漏洞進(jìn)行入侵、在服務(wù)器植入高度隱蔽的內(nèi)存木馬、對(duì)內(nèi)網(wǎng)重要設(shè)備發(fā)起攻擊，竊取大量商業(yè)秘密信息。包括敏感郵件數(shù)據(jù)、核心網(wǎng)絡(luò)設(shè)備賬號(hào)及配置信息和項(xiàng)目管理文件。

為避免被發(fā)現(xiàn)，攻擊者每次攻擊后，都會(huì)清除計(jì)算機(jī)日志中攻擊痕跡，并刪除攻擊竊密過程中產(chǎn)生的臨時(shí)打包文件。攻擊者還會(huì)查看系統(tǒng)審計(jì)日志、歷史命令記錄、SSH相關(guān)配置等，意圖分析機(jī)器被取證情況，對(duì)抗網(wǎng)絡(luò)安全檢測(cè)。

分析發(fā)現(xiàn)，此次攻擊活動(dòng)主要集中在北京時(shí)間22時(shí)至次日8時(shí)，相對(duì)于美國(guó)東部時(shí)間為白天10時(shí)至20時(shí)，攻擊時(shí)間主要分布在美國(guó)時(shí)間的星期一至星期五，在美國(guó)主要節(jié)假日未出現(xiàn)攻擊行為。

攻擊者使用的境外跳板IP基本不重復(fù)，反映出其高度的反溯源意識(shí)和豐富的攻擊資源儲(chǔ)備。