我国|【知道创宇】土耳其APT黑客组织“图兰军”对我国重要单位攻击分析报告_网站|土耳其|单位|防护|黑客

文章图片

作者：404积极防御实验室
01 背景【我国|【知道创宇】土耳其APT黑客组织“图兰军”对我国重要单位攻击分析报告】近日，知道创宇404积极防御实验室通过“知道创宇安全大脑-业务安全舆情监测平台”监测到土耳其黑客组织“图兰军”近期攻击活动频繁，攻击量呈上升趋势，并且该组织攻击活动在元旦节以后更加活跃。
该组织是2019年12月22日成立的土耳其反华黑客组织，并大力支持东突分裂势力，同时针对中国境内政府、教育等类别网站进行攻击。早在2019年该组织刚成立时，知道创宇404积极防御实验室就已开始监测其动向。在其成立当日，一名昵称为 “Yakamoz1319” 的组织成员就在黑客论坛 “turkhackteam” 上发帖煽动土耳其黑客针对我国境内网站发起攻击，以实际行动表明对“东突厥斯坦”的支持。该组织发布的恶意攻击活动公告原文如下：

文章图片

在这篇土耳其文的帖子当中，攻击者传达了其针对中国网站发动恶意攻击的意图：“对中国的攻击已经开始！我们不会保持沉默。最近成立并于今（2019/12/22）宣布成立的图兰军已将中国作为第一个目标。截至目前，所有中文站点都是我们自由攻击的目标。每个人都应该参与攻击活动，无论是团队领导还是普通成员。 ”
通过知道创宇业务安全舆情监测平台统计，在2019年12月内图兰军等土耳其黑客组织组织共计入侵中国境内网站达百余个，其中不乏高等院校和科研单位的官方网站。
02 数据监测分析据创宇安全大脑业务安全舆情监测平台的数据统计，目前已有21个高校和27个事业单位网站被尝试攻击，且部分网站被植入黑页。

文章图片

经对过去一周内云防御安全大数据平台的数据分析，该黑客组织长期对中国境内网站进行持续的扫描渗透活动，过去一周内总共收到来自该组织的攻击探测达7,532次。攻击趋势如下：

文章图片

每天的探测数趋势如下：

文章图片

每天被探测的网站数量也在持续增长：

文章图片

根据云防御安全大数据平台统计的攻击趋势来看，目前该组织的攻击活动较频繁，且呈现上升趋势。临近年底，正是“港独”、“藏独”、“东突”这类反动势力活跃的时期，本次攻击试探的目标基本均为国家关键信息基础设施单位，这类单位应该更加提高警惕做好网站防护工作。
目前探测攻击的高度可疑部分IP如下：

文章图片

03 国内攻击情况展示案例1某网络有限公司网站

文章图片

某网络有限公司网站被黑客入侵，首页被篡改。且该公司以下其他23个子域名也被成功攻击。
案例2 某仓储有限责任公司
某仓储有限责任公司网站被黑客入侵，首页被篡改。且该公司其他15个子域名也被成功攻击。

文章图片

案例3某党建网

文章图片

经分析该网站为某党建网，该网站存在目录遍历问问题。
04攻击组织分析该组织成员在还在Twitter上发布“东突”相关言论，并贴出被黑的中国网站，如下：

文章图片

文章图片

该组织成员长期活跃于土耳其黑客论坛：

文章图片

该组织长期通过该论坛交流对中国境内网站的攻击成果，以及发布被黑网站等信息。
05 总结及建议从当前来看，多数被黑的站点均属于安全防护程度不高或缺乏长期维护的网站，此类网站在持续不断的高强度境外攻击面前存在有巨大的安全隐患。
知道创宇404积极防御实验室结合“知道创宇安全大脑”中的“业务安全舆情监测平台”和“云防御安全大数据平台”等平台的数据进行了综合分析，预测本次攻击活动会持续到本月底前后，各单位须注意防范，建议：