【環球時報-環球網/郭媛丹】對內栽贓社會活動人士、對外瞄準中國……這國又一黑客組織被曝光！

16日，中國網絡安全企業安天科技集團對《環球時報》獨家披露，來自印度的一個定向威脅攻擊（APT攻擊）組織針對印度境內以及包括中國在內的周邊目標，發動了長達十年的網絡攻擊活動。

安天將該組織命名爲“暗象”，其主要針對目標爲印度境內的社會活動人士、社會團體和在野政黨等，同時也會竊取印度周邊國家（如中國和巴基斯坦等）軍事政治目標的重要情報。安天借鑑了國際其他安全團隊研究成果，並補充了“暗象”組織針對我國重要單位的網絡攻擊活動分析成果，最後通過溯源分析鎖定該組織背後的運營人員可能位於東5.5時區（印度國家標準時間）。

安天科技集團副總工程師李柏松對《環球時報》記者介紹，“暗象”組織的主要攻擊手段是通過谷歌/雅虎郵箱或者盜取的郵箱賬號，向目標發送內容極具迷惑性的魚叉式釣魚郵件，誘騙目標運行其採用多種免殺技巧、包含成熟商用遠控木馬載荷的誘餌文件，“至少自2012年以來，該組織針對印度境內的目標，以及包括中國在內的印度周邊的目標，發動了長達十年的網絡攻擊活動。因爲該攻擊組織通過網絡攻擊手段，構陷印度國內社會活動人士，手段極其暗黑，是比馬·科雷岡（BhimaKoregaon）案件中誣陷社會運動人士的執行者，其行動隱蔽，暗藏十年有餘而鮮有曝光，於是將該組織命名爲‘暗象’。”

資料圖

2018年1月，比馬·科雷岡（BhimaKoregaon）發生種姓暴力衝突，期間印共的城市領導層遭到印度官方嚴厲打擊。印度知名社會活動家羅納·威爾森成爲此案被告之一，而這正是源自“暗象”組織長期佈局，構陷虛假電子證據。早在2016年6月13日下午3點07分，羅納·威爾森收到一封來自其一位好友的電子郵件，信中提醒威爾森下載查看附件中的文檔。事實上這是黑客竊取這位好友的郵箱賬號後發送的木馬文件，攻擊者不僅從威爾森的電腦中進行一系列竊密操作，並且能夠通過NetWire木馬遠程控制其電腦系統。

2018年4月17日早上6點，印度馬哈拉施特拉邦的浦那區警方聲稱得到線人密報，前往突襲了威爾森位於新德里的住宅，並在威爾森使用的U盤和電腦硬盤中查獲了一些足以論罪的“數字證據”。

在安天監測到的大多攻擊案例中，攻擊者都喜好使用谷歌和雅虎郵箱僞裝成收信人的好友或社會知名人士、知名機構，誘導內容緊隨時事熱點，或以刊物訂閱的形式，或與對方的工作方向密切相關。李柏松說：“攻擊者重點目標爲印度本土活動的社會活動家、社會團體以及印共等黨派的活躍人士，對於特別重要的個人目標實施長達多年跨越多種系統平臺的監控活動。不僅持續獲取個人隱私和文件信息，而且通過這些被攻擊設備存儲發送違法信息，來製造假案，構陷相關人員。對於印度境外的別國軍事政治目標，攻擊者主要以長期潛伏、持續竊密爲主要目的。”

此外，該組織也將目標對準了我國軍事政治目標。根據介紹，2020年10月13日，國內某重要單位信箱收到一份可疑的電子郵件，發件人使用Gmail郵箱，郵件主題爲“關於丟失帶有敏感文件的外交包的信”，並在正文中提供了一條可供下載可疑文件的網盤鏈接。當自解壓誘餌被執行後，四個木馬程序開始運行，李柏鬆解釋，“這種ParallaxRAT遠控木馬屬於公開的商業遠控，具備文件管理、擊鍵記錄、遠程桌面、密碼竊取、命令執行、進程管理、上傳和執行等能力，功能運行都成熟穩定，足以支持常規的竊密操作。”

據《環球時報》瞭解，安天對來自疑似印度的網絡攻擊的捕獲分析始於2013年，先後捕獲、分析、命名並曝光了“白象”“幼象”“苦象”等攻擊組織。李柏松表示：“在過去近10年的攻擊中，印度的網絡攻擊重心逐漸從巴基斯坦轉移到中國。而通過對‘暗象’攻擊組織的活動監測，我們可以看到印度相關機構不僅極爲頻繁地對周邊國家實施網絡攻擊，同時也將網絡攻擊手段廣泛用於國內社會管控，甚至用來構陷其國內社會活動人士，行動隱蔽能力較強，值得關注與警惕。”

責任編輯：吳劍 SF031