随着数字化进程的加快,网络空间安全问题成为全球关注的焦点。2024年9月初,法国国家信息安全局(ANSSI)披露了一起由中国黑客组织利用Ivanti Cloud Services Appliance(CSA)设备中的多重零日漏洞发动的大规模网络攻击事件。这场针对法国政府、电信、媒体、金融和运输等多个关键基础行业的复杂攻击,揭示了现代网络攻击的多维威胁和防御难点。此次攻击背后的黑客组织被法国方面命名为“Houken”,其与美国安全研究机构Google Mandiant追踪的UNC5174团伙存在显著关联。此次事件不仅显示出攻击手法的多样化和高隐蔽性,也凸显了全球关键基础设施面临的网络安全威胁正在不断升级。Houken组织采用了融合零日漏洞、定制根套件及开源工具的混合战术,展现出极强的技术实力和隐蔽作战能力。
Ivanti CSA设备作为企业级云服务管理和安全平台,成为了攻击的突破口。攻击者利用三处尚未公开修复的零日漏洞(分别为CVE-2024-8963、CVE-2024-9380和CVE-2024-8190),获取关键凭证后直接部署PHP Web Shell,或篡改现有PHP脚本,进一步植入可远程控制的Web Shell功能,甚至通过内核模块安装精心设计的rootkit,达到持久控制目标设备的目的。根据ANSSI的揭露,攻击中广泛使用了开源的Behinder和neo-reGeorg脚本作为Web Shell载体,在横向移动阶段部署恶意软件GOREVERSE以确保持久性。GOREVERSE变种是基于Go语言开发的隧道工具,能隐蔽地绕过常规安全检测,进一步扩大攻击链。此外,还利用了名为suo5的HTTP代理隧道工具和名为sysinitd.ko的Linux内核模块,使其能通过截获入站TCP流量实现根权限远程命令执行,这一内核级攻击工具由安全公司Fortinet于2024年10月至2025年1月间披露。攻击者不仅在UTC+8时区内活动,显现出与中国标准时间相符的时间习惯,还故意修补已被利用的漏洞,防止竞争对手利用相同路径进行渗透,这显示出一个高度组织化且目标明确的多方合作态势。
法国国家安全局推断Houken组织很可能是一个初始访问经纪人,为多个国家关联的高级攻击者提供网络入口,一种通过出售和转包初始漏洞访问权的“中间商”模式已初露端倪。相关研究表明,Houken与UNC5174背后的团伙主要关注长期获取有价值的初始网络入口,进而将权限出售给寻求战略情报的国家级客户。此外,这些团伙也会将访问权限用于加密货币挖矿活动,表现出明显的经济利益驱动。美国黑客安全公司SentinelOne曾报告,2024年9月下旬UNC5174通过类似手段攻击了欧洲一家主要媒体机构,这与ANSSI掌握的攻击活动时间和手法一致。历史上,UNC5174还利用SAP NetWeaver、Palo Alto Networks、Connectwise ScreenConnect与F5 BIG-IP等知名软件漏洞进行入侵,再配合SNOWLIGHT恶意软件和GOHEAVY隧道工具实现远程控制和数据窃取。这不仅展示了黑客团伙的多平台攻击能力,也揭示其具有跨国复杂的攻击网络与资金链条。
这场攻击风暴突显了供应链安全和设备固件安全的重要性。Ivanti CSA设备作为连接多个云服务和本地基础设施的关键节点,其漏洞被成功利用,足以对整个国家关键行业造成广泛影响。企业和政府机构需要加强对核心硬件设备的监控与安全更新,确保零日漏洞能够被及时发现和修复,同时强化对未知威胁的侦测能力。另一方面,本次攻击暴露出黑客组织高超的联合作战策略:一方负责漏洞发现,另一方利用漏洞实现大规模入侵,随后转卖访问权给第三方进行进一步的利用和资助活动。各国安全机构和私营企业加强协作,分享威胁情报,构建起多层次、多维度的防御框架成为当务之急。面对日益复杂的攻击技术,追捕幕后黑手的同时,加强防御和快速响应能力显得尤为关键。
法国ANSSI的及时分析与曝光为全球网络安全生态注入了警示信号。在全球数字化转型和国际地缘政治紧张的背景下,网络战的边界愈加模糊,攻击动机融合了政治、经济和技术多重因素,各大国家和安全组织必须提升整体防御能力。中国黑客组织攻击法国重要基础设施的事件,再次提醒社会各界必须保持高度警惕,积极推进安全技术升级和人才培养。企业不仅需加固系统安全防线,还应强化员工安全意识和风险管理,避免成为下一次复杂攻击链中的薄弱环节。随着全球网络空间形势日趋严峻,构建协同高效和智能的网络安全生态系统,将是保障数字经济与社会稳定的关键所在。未来,零日漏洞的威胁依然存在,而对先进攻击手法的深入理解和持续防护投入,才是抵御此类高级持续威胁(APT)的根本之道。
。
