土耳其APT黑客组织“图兰军”对我国重要单位攻击分析报告

百家 作者:知道创宇 2021-01-08 21:07:23


作者:404积极防御实验室

01

背景

近日,知道创宇404积极防御实验室通过“知道创宇安全大脑-业务安全舆情监测平台”监测到土耳其黑客组织“图兰军”近期攻击活动频繁,攻击量呈上升趋势,并且该组织攻击活动在元旦节以后更加活跃。


该组织是2019年12月22日成立的土耳其反华黑客组织,并大力支持东突分裂势力,同时针对中国境内政府、教育等类别网站进行攻击。早在2019年该组织刚成立时,知道创宇404积极防御实验室就已开始监测其动向。在其成立当日,一名昵称为 “Yakamoz1319” 的组织成员就在黑客论坛 “turkhackteam” 上发帖煽动土耳其黑客针对我国境内网站发起攻击,以实际行动表明对“东突厥斯坦”的支持。该组织发布的恶意攻击活动公告原文如下:



在这篇土耳其文的帖子当中,攻击者传达了其针对中国网站发动恶意攻击的意图:“对中国的攻击已经开始!我们不会保持沉默。最近成立并于今天(2019/12/22)宣布成立的图兰军已将中国作为第一个目标。截至目前,所有中文站点都是我们自由攻击的目标。每个人都应该参与攻击活动,无论是团队领导还是普通成员。”


通过知道创宇业务安全舆情监测平台统计,在2019年12月内图兰军等土耳其黑客组织组织共计入侵中国境内网站达百余个,其中不乏高等院校和科研单位的官方网站。


02

数据监测分析
据创宇安全大脑业务安全舆情监测平台的数据统计,目前已有21个高校和27个事业单位网站被尝试攻击,且部分网站被植入黑页


经对过去一周内云防御安全大数据平台的数据分析,该黑客组织长期对中国境内网站进行持续的扫描渗透活动,过去一周内总共收到来自该组织的攻击探测达7,532次。攻击趋势如下:



每天的探测数趋势如下:


每天被探测的网站数量也在持续增长:

根据云防御安全大数据平台统计的攻击趋势来看,目前该组织的攻击活动较频繁,且呈现上升趋势。临近年底,正是“港独”、“藏独”、“东突”这类反动势力活跃的时期,本次攻击试探的目标基本均为国家关键信息基础设施单位,这类单位应该更加提高警惕做好网站防护工作。

目前探测攻击的高度可疑部分IP如下:



03

国内攻击情况展示
案例1
某网络有限公司网站
某网络有限公司网站被黑客入侵,首页被篡改。且该公司以下其他23个子域名也被成功攻击。

案例2
某仓储有限责任公司

某仓储有限责任公司网站被黑客入侵,首页被篡改。且该公司其他15个子域名也被成功攻击。

案例3
某党建网

经分析该网站为某党建网,该网站存在目录遍历问问题。

04


攻击组织分析
该组织成员在还在Twitter上发布“东突”相关言论,并贴出被黑的中国网站,如下:



该组织成员长期活跃于土耳其黑客论坛:
该组织长期通过该论坛交流对中国境内网站的攻击成果,以及发布被黑网站等信息。

05

总结及建议

从当前来看,多数被黑的站点均属于安全防护程度不高或缺乏长期维护的网站,此类网站在持续不断的高强度境外攻击面前存在有巨大的安全隐患。


知道创宇404积极防御实验室结合知道创宇安全大脑”中的“业务安全舆情监测平台”和“云防御安全大数据平台”等平台的数据进行了综合分析,预测本次攻击活动会持续到本月底前后,各单位须注意防范,建议:


1.关注近期境外IP攻击趋势,可封禁攻击IP列表中境外IP,及时做好网站安全防护措施;

2.例如增加设备的安全策略、使用第三方Web应用防火墙(如:创宇盾)等加强防护。

3.网站负责人应定期对重点业务站点可能存在的安全隐患进行排查,做好站点的安全保障工作;

4.重点关注来自土耳其地区的异常访问或疑似攻击状况,持续追踪境外黑客组织的威胁行为,谨防站点入侵事件的发生。


针对创宇盾客户可做以下建议配置防护策略:

1.开启防黑锁,避免关键资源受篡改而影响页面;

2.开启后台锁,对于网站后台登录进行严格管控;

3.提升协同防御等级,屏蔽政府、教育文化类的境外高危IP;

4.做好网站自身安全检查,及时更新漏洞等相关补丁,避免被入侵;

5.开启弱口令防护,对登录和注册接口上出现的弱口令事件进行检测或拦截;

6.开启区域访问控制,禁止土耳其IP访问相关业务系统。


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接