网络安全威胁问题日益严重，VPN专线办公遭遇黑客攻击

（文章来源：IT时报）

近日，360安全大脑捕获到一起劫持深信服VPN的安全服务从而下发恶意文件的APT攻击活动，目前该漏洞细节已经交给厂商并得到确认。通过进一步追踪溯源发现，此次攻击者为来自半岛的APT组织Darkhotel（APT-C-06），今年3月开始已失陷的VPN服务器超200台, 中国多处驻外机构遭到攻击，4月初攻击态势又再向北京、上海相关政府机构蔓延。

根据监测分析发现，攻击者已控制了大量相关单位的VPN服务器并控制了大量相关单位的计算机终端设备。

VPN（Virtual Private Network）模式在企业在线办公中非常常见，且在疫情期间更受到青睐，用户可通过 VPN 隧道穿透企业网络边界，访问企业内部资源。但随着疫情的蔓延，不少安全专家也提出了对VPN安全性的担忧，VPN一旦被黑客组织攻陷，众多企事业单位的内部资产将暴露在公网之下，没有任何安全保障，损失将不可估量。

而这一切的担忧，比我们预想的来的都要早了一些。360安全大脑捕获到半岛APT组织Darkhotel（APT-C-06），劫持深信服VPN安全服务下发恶意文件，锁定中国驻外机构、政府相关单位发动定向攻击。截至目前，被攻击单位有大量VPN用户已经中招。

Darkhotel中文名为“黑店”，它是一个有着东亚背景，长期针对企业高管、政府机构、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。其足迹遍布中国、朝鲜、日本、缅甸、俄罗斯等国家，相关攻击行动最早可以追溯到2007年。这并不是Darkhotel组织首次对我国发动攻击。此前，360安全大脑就曾全球首家捕获到半岛APT组织Darkhotel在Win 7停服之际，利用“双星”0day漏洞，瞄准我国商贸相关的政府机构发动攻击。

据了解，全球疫情爆发蔓延的当下，除中国外的世界各国政府似乎都早已处在水深火热之中，原因有三：一方面各国政府机构在面对突如其来的疫情，不知采取何种手段来缓解人员流动、经济发展、交通限流等措施；二是医疗物资的储备及防疫物资的缺乏，正在让疫情影响下的国家陷入瘫痪状态；三是存量病例及死亡人数的攀升，引发了民众的恐慌情绪。

而这些不得不让我们关联到Darkhotel（APT-C-06）组织在疫情期间攻击我国驻外机构及政府等相关机构的目的。而据360安全大脑披露，攻击者已完全控制上述相关单位的VPN服务器，并将VPN服务器上的关键升级程序替换为了后门程序， 由于VPN用户一旦登录成功，就会被完全授信。所以可以说，攻击者已经控制了大量相关单位的计算机终端。

试想一下，在全球疫情蔓延的当下，驻外机构及企事业单位都纷纷采取“云办公”模式，大量的员工都会通过VPN与总部建立联系、传输数据，而此次VPN被攻击，后果势必不堪设想。根据此线索，我们再向前推测一步今年新冠疫情全球爆发，在中国取得显著救疫成效之后，各国又相继沦陷，中国秉承着“人类命运共同体”的原则，相继向周边国家伸出援助之手，从医疗技术、设备、经验、专家等角度进行全力支援。

从疫情角度：此次Darkhotel通过攻破VPN的手段，攻击中国多处驻外机构，是否意在掌握劫持我国在救疫期间的先进医疗技术、救疫措施？是否通过驻外机构动态来进一步探究世界各国的疫情真实情况及数据？又是否通过攻击中国驻外机构来掌握中国向世界各国输送救疫物资的运输轨迹、数量、设备?

从经济角度：是否通过掌握政治、经济贸易来往数据，间接关联到各国与中国的核心利益纽带，疫情之后的经济缓解措施？从而进一步推动疫情之后本国经济崛起及各国利益关系？同样在全球疫情之下，各大企事业单位纷纷采取云上办公的模式，各项救疫措施、经济举措、复工手段、企业数据纷纷通过VPN下发或回传指令，此次Darkhotel攻击北京、上海等相关政府单位，是否又在掌握本国疫情数据、经济复苏手段呢？

VPN为何成为攻击突破口？在相关漏洞分析中发现，其中一台深信服被攻击的VPN服务器版本为M6.3 R1，该版本发行于2014年，由于版本过于老旧，存在大量安全漏洞。同时该相关单位的运维开发人员的安全意识不强，为了工作便利，将所维护的客户的敏感信息保存在工作页上。

正是因为关键基础设施的安全漏洞和相关人员的薄弱安全意识，才导致了VPN服务器被黑客攻破。