美情报机构利用网络 攻击中国大型商用密码产品提供商事件调查报告

主要观点总结

本文描述了一起美国情报机构对中国大型商用密码产品提供商的网络攻击事件，全球相关国家和单位可以从此次事件中借鉴经验以防范类似攻击。网络攻击包括利用客户关系管理系统漏洞进行入侵、植入特种木马程序、窃取大量商业秘密信息等行为，攻击行为特点包括使用明确的攻击武器、攻击时间集中在特定时段、使用不重复的攻击IP以及善于伪装躲避溯源等。

关键观点总结

关键观点1: 网络攻击事件概述

本文报道了一起美国情报机构对中国某大型商用密码产品提供商的网络攻击事件，该事件被详细公布以便为全球相关国家和单位提供借鉴。

关键观点2: 网络攻击流程

攻击者首先利用客户关系管理系统的漏洞进行入侵，并上传任意文件。随后在系统中植入特种木马程序，通过该木马程序执行网络攻击命令，并窃取大量商业秘密信息。

关键观点3: 窃取商业秘密信息

攻击者窃取了客户关系管理系统中存储的客户档案列表、合同订单等信息，并且攻击了用于产品及项目代码管理的系统，窃取了项目代码等重要信息。

关键观点4: 攻击行为特点

攻击行为与美情报机构有明确的关联，攻击时间主要集中在特定时段，攻击IP位于多个国家和地区，显示出高度的反溯源意识和丰富的攻击资源储备。

文章预览

2024年，国家互联网应急中心CNCERT发现处置一起美情报机构对中国大型商用 密码产品提供商网络攻击事件。本报告将公布此事件网络攻击详情，为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。 一、网络攻击流程 （一）利用客户关系管理系统漏洞进行攻击入侵 该公司使用了某客户关系管理系统，主要用于存储客户关系及合同信息等。攻击者利用该系统当时尚未曝光的漏洞进行入侵，实现任意文件上传。入侵成功后，攻击者为清除攻击痕迹，删除了部分日志记录。 （二）对两个系统进行攻击并植入特种木马程序 2024年3月5日，攻击者在客户关系管理系统植入了特种木马程序，路径为/crm/WxxxxApp/xxxxxx/xxx.php。攻击者可以通过该木马程序，执行任意的网络攻击命令。为防止被监测发现，木马程序通信数据全过程加密，并进行特征字符串编 ………………………………