“中國菜刀”出海：有人用它從澳大利亞軍方偷了30GB絕密資料

在本週三有媒體參加的官方會議上，澳大利亞負責國家安全情報收集工作的訊號局（Australian Signals Directorate，簡稱ASD）事件應急主管Mitchell Clarke透露，他們去年曾處理過一起棘手的應急事件。

絕密軍火庫被盜

2016年11月，有合作伙伴向ASD發來警告，

有攻擊者已經進入當地一家50人規模航天工程公司的內部網路，正在打包（美國）國防部相關絕密資料。

ASD整理的攻擊者資訊

海量絕密資料被竊取，包括F-35戰鬥機、P-8波塞冬海上巡邏機、C-130運輸機、聯合直接攻擊彈藥（JDAM）智慧炸彈包以及數艘澳大利亞海軍艦艇等等。

（F-35是美國最新一代戰機，澳大利亞訂購了幾十架）

Mitchell Clarke稱，攻擊者在幾個月內竊取了大約30GB的敏感資料，它們均在美國

國際武器貿易控制條例

（ITAR）的進出口限制範圍之內。而且資料詳實程度令人震驚，以澳大利亞最新海軍艦艇為例，Clarke說攻擊者拿到的設計圖檔案，精度極高，放大後可以看清船長座椅。

安全防護一塌糊塗

本週二澳大利亞網路安全中心釋出的2017年度威脅報告首次披露了此事，週三的澳大利亞資訊保安協會全國大會上，Clarke分享了更多細節。

ASD將此次攻擊行動命名為“APT ALF”，暗示攻擊持續時間長，和澳大利亞著名長壽肥皂劇Home and Away類似。

至少在2016年7月中旬時候，攻擊者實際上已經進入那家小型國防承包商企業的網路。兩週後，資料開始陸續被竊取。從8月到ASD被通知的11月，攻擊者完全佔據了網路，在長達三個多月的”賢者時間“幾乎為所欲為。

ASD事後調查該企業的網路安全防範，發現和常見民營小公司的網路環境很類似。由於員工

流動率

高，它沒有常規修補方案、沒有DMZ防護、伺服器竟然使用本地管理員賬號而非域控賬號、許多主機上開著Web服務…最奇葩的是開著的Web服務還用著admin/admin、guest/guest等預設弱賬號密碼。

所以，被黑也很活該對吧。攻擊者最開始發現某主機的舊版本Web服務存在“任意檔案上傳漏洞”，使用國內知名駭客工具“中國菜刀”成功拿下Webshell，然後展開掃描環境、橫向移動、資料Dump等一系列攻擊操作。

神秘的受害者和通報者

到目前為止，我們只能從Clarke隻言片語裡猜測受害者和通報者的身份。

據悉，受害者是澳大利亞航空航天工程的四級承包商，和主承包商、當地機構、美國國防部門、波音和

洛克希德馬丁

等製造商對接，並且透過美國軍火貿易的ITAR安全認證。

ASD連同

澳大利亞CER

T機構找到這家公司時，曾被拒之門外。Clarke說他們知曉事情後前往受害者辦公室，但受害者很警惕，不相信他們的身份，ASD和CERT的許可權也不足以去審查這家公司。

透過一些手段，ASD最終獲得了受害者的信任，得以採取措施分析和溯源事件狀況和攻擊者資訊。

通報者則更神秘，這家不願透露名字的澳大利亞合作伙伴在7月份已經知曉有人黑進了受害者企業網路，但當時無法告知。在花費大量時間處理合規、法律流程後，終於在11月向ASD通報成功。

“對澳大利亞來說，這顯然不是最好的結果，但至少我們被告知了，總比一無所知強。”Clarke道。

應急之後呢？

經歷這一教訓後，Clarke認為，澳大利亞應該學會更精細化的控制安全風險，學習如何選擇安全機制。他強調遵循最佳安全實踐保護網路的重要性，比如ASD一直推行的“減緩網路安全事件危害基本八條”（Protect Essential Eight Explained）。

對中國來說，除了攻擊者使用“中國菜刀”的身份揣測外，我們還應關注國內同類企業的安全狀況。澳大利亞受害者不會是孤例，相信也會有許多目光對準中國這方面企業，他們的安全措施如何？是否有能力抵禦呢？

本文編譯自

http：//www。

zdnet。com/article/secre

t-f-35-p-8-c-130-data-stolen-in-australian-defence-contractor-hack/

、

https：//www。

itnews。com。au/news/hack

ed-aussie-defence-firm-lost-fighter-jet-bomb-ship-plans-475211

，如若轉載，請註明原文地址：

http：//www。

4hou。com/info/news/7969

。html

更多內容請關注“嘶吼專業版”——Pro4hou