2018年2月我省互联网网络安全态势整体评价为良,我省的木马或僵尸程序的受控主机数量较上月减少约56.64%,木马或僵尸程序控制端服务器数量较上月减少约21.44%。互联网上出现利用memcached服务器实施反射DDos攻击的事件,我中心积极协调运营商、云服务商进行处置,未造成重大影响。针对政府部门、企业以及广大互联网用户的主要安全威胁来自于木马僵尸、网络仿冒、垃圾邮件以及网页篡改等。
一、计算机恶意程序传播和活动情况
(一)木马僵尸网络
2018年2月1日至28日,根据对当前流行的木马或僵尸程序受控主机的活动状况进行的抽样监测,发现境内287,449个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制。本月木马或僵尸程序受控主机在境内的分布如图一所示。其中,广东省有24,552个IP地址对应的主机被其他国家或地区通过木马或僵尸程序秘密控制,约占全国总数8.54%,排名全国第三。
根据对当前流行的木马或僵尸程序控制服务器的活动状况进行的抽样监测,境内被利用作为木马或僵尸程序控制主机对应的IP地址1,660个,本月木马或僵尸程序控制服务器在境内的分布如图二所示。其中,广东省有370个IP地址对应的主机被利用作为木马或僵尸程序控制主机。约占全国总数的22.29%,排名全国第一。(二) “飞客”蠕虫
2018年2月,CNCERT/CC对“飞客”蠕虫的活动状况进行了抽样监测,发现全球感染“飞客”蠕虫的主机IP地址共1,902,524个,较上月减少约11.81%。境内感染“飞客”蠕虫的主机IP地址共228,004个,较上月减少约26.07%。其中,广东省有66,351个IP地址对应的主机感染“飞客”蠕虫,较上月减少约27.29%,约占全国总数的29.10%,排名第一。本月感染“飞客”蠕虫的主机在境内的分布如图四所示。
二、网站安全监测情况
(一)网页篡改
2018年2月,境内被篡改网站3,687个,被篡改网站按地区分布,如图三所示。其中广东省被篡改网站1,610个,较上月减少约9.80%,约占全国总数的43.77%,排名第一位。
(二)网站后门
2018年2月,我国境内被植入后门的网站1,718个,被植入后门网站按地区分布,如图五所示。其中广东省被篡改网站684个,较上月减少约26.69%,约占全国总数的39.81%,排名第一位。
三、本月网络安全要闻回顾
(一)我局国家互联网应急中心广东分中心圆满完成党的十九届三中全会网络安全保障任务
党的十九届三中全会已胜利闭幕,我局国家互联网应急中心广东分中心(以下简称“广东分中心”)圆满完成会议期间网络安全保障工作。广东分中心认真落实前期制定的十九届三中全会网络安全保障工作方案,保障期间基础信息网络安全保障和专项打击卓有成效;电子政务网站及重要信息系统安全保障扎实到位,针对大网事件、重要用户的网络安全事件监测、预警通报及时高效,圆满完成了各项网络安全保障任务,在十九届三中全会期间维护了广东本地和谐稳定的互联网网络环境。保障期间,广东分中心利用国家中心CNVD平台数据,及时做好省内政务及重要网站漏洞分析及预警工作。针对出现的勒索事件,及时向省内重要企事业单位发布《关于近期加强防范“勒索病毒”等网络攻击的预警通报》。同时,广东分中心加大了对省内网络安全事件的处置力度,保障期间共处理事件安全事件45起。此外,在十九届三中全会开幕前等关键时间节点,自主开展本省木马僵尸专项打击,共下发涉事ip数据两批,共反馈有效处置规模较大控制端18个IP。
(二)我局国家互联网应急中心广东分中心迅速开展Memcached服务器反射攻击专项处置工作
3月1日起,利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。CNCERT第一时间开展跟踪分析,监测发现memcached反射攻击自2月21日起开始在我国境内活跃,3月1日凌晨2点30分左右峰值流量高达1.94Tbps,已超过传统反射攻击SSDP和NTP的攻击流量。CNCERT抽样监测情况显示,广东开放memcached服务的服务器数量排在全国第一。memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,犯罪分子可利用Memcached服务器通过非常少的计算资源发动超大规模的DDoS攻击。这种反射型DDoS攻击能够达到5万倍的放大系数。我局国家互联网应急中心广东分中心组织各运营商、云服务提供商持续开展应急响应工作,通报处置了3批共7353个已被利用发起攻击或探测扫描的Memcached服务器,截止3月12日检测时间为止,共7197个IP被探测已无法被利用发起攻击。
(三)SWIFT再曝黑客袭击 俄罗斯银行被盗600万美元
近年来,SWIFT系统(环球同业银行金融电讯协会)的全球银行客户不断被曝出遭黑客袭击、账户存款被窃取事件。俄罗斯央行近日披露,该国银行的SWIFT系统去年也被黑。据路透社报道,俄罗斯央行周五(2月16日)称,未知黑客在去年对俄罗斯SWIFT国际支付信息系统的一次袭击中成功窃取了3.395亿卢布(约600万美元)。这一信息被放在俄罗斯央行报告中有关数字盗窃部分的最后。俄罗斯央行表示,它之前收到了一条有关“在一个SWIFT系统操作员的工作地点成功(发动)袭击”的信息。“这次攻击导致未经批准的操作(金额)达到3.395亿卢布。”俄罗斯央行称。俄罗斯央行的披露是全球范围内最新一起黑客袭击SWIFT系统并成功窃取银行资金的事件。
(四)官员确认平昌冬奥会开幕式期间遭到网络黑客攻击
2月12日消息,据路透社报道,平昌冬奥会组织者已经证实在开幕式当天遭到网络攻击,但拒绝透露攻击者的相关信息。包括冬奥会网站、电视服务在内均遭到黑客攻击,但是没有造成太过严重的影响,周五主新闻中心的IPTV突然黑屏,网络访问和WiFi关闭,与会者无法打印门票,直到周六才恢复正常。上月,McAfee就曾表示公司在过去数月中已经检测到多次针对冬奥会的网络攻击,主要通过恶意邮件的方式。网络安全专家吉姆·路易斯(Jim Lewis)告诉CBS说,黑客以前也经常瞄准奥运会。