京津两地感染人数最多

    “海莲花”组织在攻击中还配合了多种“社会工程学”的手段，以求加大攻击效果。比如，在进行“鱼叉攻击”时，黑客会主要选择周一和周五，因为这两个时间人们与外界的沟通比较密切，是在网络上传递信息的高峰期。而“水坑攻击”的时间则一般选在周一和周二的时间，因为这个时候一般是单位发布通知、要求职工登录内网的时候。

    目前已经捕获的与“海莲花”相关的第一个特种木马程序出现在2012年4月，当时，首次发现第一波针对海运港口交通行业的“水坑”攻击，海莲花组织的渗透攻击就此开始。不过，在此后的2年内，“海莲花”的攻击并不活跃。直到2014年2月，海莲花开始对中国国内目标发送定向的“鱼叉”攻击，海莲花进入活跃期，并在此后的14个月中对我国多个目标发动了不间断的持续攻击。2014年5月，海莲花对国内某权威海洋研究机构发动大规模鱼叉攻击，并形成了过去14个月中鱼叉攻击的最高峰。

    “天眼”实验室表示，其已捕获与海莲花组织有关的4种不同形态的特种木马程序样本100余个，感染者遍布中国29个省级行政区和境外的36个国家。其中，中国的感染者占全球92.3%，而在境内感染者中，北京地区最多，占22.7%，天津次之，为15.5%。为了隐蔽行踪，海莲花组织还先后在至少6个国家注册了服务器域名35个，相关服务器IP地址19个，分布在全球13个以上的不同国家。

    大数据技术揭开“海莲花”面纱

    “天眼”实验室向记者介绍，事实上，“海莲花”的攻击早已被他们捕捉到，但之前只是零散的发现，直到去年起，360成立“天眼”实验室，利用大数据技术进行未知威胁检测，才首次发现了这些散见威胁之间的联系，一个国家级黑客攻击行为的轮廓才逐渐清晰。

    虽然发现了海莲花的攻击轨迹，但如何确定这不是一起普通的商业黑客行为，而是由某个敌对国家支持的呢？面对记者的这一疑问，“天眼”实验室表示，首先，这种有组织、有计划的长期攻击行为需要很高的投入，不是一般商业公司能够负担的；其次，“海莲花”觊觎的资料对商业机构没有什么价值。“综合来看，海莲花组织的攻击周期之长（持续3年以上）、攻击目标之明确、攻击技术之复杂、社工手段之精准，都说明该组织绝非一般的民间黑客组织，而是具有国外政府支持的、高度组织化、专业化的国家级黑客组织。”

   投稿邮箱：chuanbeiol@163.com   详情请访问川北在线：http://www.guangyuanol.cn/