国家互联网应急中心披露，自2022年西北工业大学事件后，美国情报机构持续对我国防军工领域进行网络窃密攻击，目标指向高科技高校、科研院所及企业，旨在窃取军事科研数据和核心生产信息。攻击手法隐蔽且更具针对性。文章列举了两起典型事件：一是利用微软Exchange邮件系统零日漏洞，攻击某大型军工企业邮件服务器近一年，控制域控服务器，植入窃密武器，通过多国跳板IP窃取11人邮件，涉及军工产品设计方案；二是利用电子文件系统漏洞，攻击某通信卫星军工企业，植入内存后门和木马，通过Tomcat过滤器通信，并利用系统升级服务定向投递窃密木马，入侵控制300余台设备，定向窃取“军专网”、“核心网”等敏感数据。攻击者通过多国跳板、日志删除、流量混淆等手段掩盖身份意图，显示出强大的网络攻击能力和专业隐蔽知识。2024年，境外APT组织对我国网络攻击事件超600起，军工领域是重灾区，严重威胁国家网络安全。

🇺🇸 美国情报机构近期频繁对我国国防军工领域发动网络窃密攻击，目标集中于高科技高校、科研院所及企业，意图窃取军事科研数据及核心生产信息，攻击手法日趋隐蔽且更具针对性。国家互联网应急中心披露，自2022年西北工业大学遭受攻击后，此类行为愈发猖獗，凸显了国家级网络威胁的严峻性。

📧 在一起典型事件中，美情报机构利用微软Exchange邮件系统的零日漏洞，对我国一家大型重要军工企业的邮件服务器进行了长达近一年的攻击和控制。攻击者成功控制了企业的域控服务器，并以此为跳板，进一步渗透了内网中50余台重要设备，植入了用于持久控制和数据窃密的“websocket+SSH隧道”攻击武器。通过位于德国、芬兰、韩国、新加坡等地的多个境外跳板IP，攻击者发起了40余次网络攻击，成功窃取了包括企业高层在内的11人的邮件，内容涉及军工类产品的相关设计方案和系统核心参数，这些武器通过混淆技术逃避安全检测，并通过多层流量转发实现对内网重要设备的攻击。

📁 另一案例则暴露了攻击者利用电子文件系统漏洞对我国某通信和卫星互联网领域的军工企业进行攻击。攻击者通过位于罗马尼亚、荷兰等国的跳板IP，利用未授权访问及SQL注入漏洞，成功植入了内存后门程序并上传了木马。该木马通过解码恶意载荷，将攻击代码注入Tomcat服务的过滤器，以此检测并响应恶意请求，实现与后门的通信。随后，攻击者利用企业系统软件升级服务，定向向内网投递窃密木马，控制了超过300台设备，并重点搜索“军专网”、“核心网”等关键词，以定向窃取被控主机上的敏感数据。

🕵️‍♂️ 攻击者在上述事件中表现出极强的隐蔽性和专业性，例如使用多个境外跳板IP发起攻击，主动删除日志和木马以掩盖行踪，并实时检测机器状态。这些行为旨在掩盖其攻击身份和真实意图，充分体现了其高度的网络攻击能力和专业的隐蔽知识。文章指出，利用关键词检索敏感信息，以及采取如此周密的隐蔽措施，均表明攻击者属于国家级黑客组织，并带有明确的战略意图。

📈 国家互联网应急中心统计数据显示，2024年境外国家级APT组织对我国重要单位的网络攻击事件已超过600起，其中国防军工领域是攻击的首要目标。这些攻击渗透活动严重威胁着我国关键信息基础设施、重要信息系统以及关键人员的安全，对国家网络安全构成了重大挑战。

IT之家 8 月 1 日消息，国家互联网应急中心（CNCERT）今日披露，自 2022 年西北工业大学遭受美国 NSA 网络攻击被曝光后，美情报机构频繁猖獗对我国防军工领域实施网络窃密攻击。

重点瞄准我国高科技军工类的高校、科研院所及企业，试图窃取军事领域的科研数据或设计、研发、制造等环节的核心生产数据等敏感信息，目标更有针对性、手法更加隐蔽。

本次披露的 2 起典型事件如下：

一、利用微软 Exchange 邮件系统零日漏洞实施攻击：

2022 年 7 月至 2023 年 7 月，美情报机构利用微软 Exchange 邮件系统零日漏洞，对我一家大型重要军工企业的邮件服务器攻击并控制将近 1 年。

经调查，攻击者控制了该企业的域控服务器，以域控服务器为跳板，控制了内网中 50 余台重要设备，并在企业的某对外工作专用服务器中植入了建立 websocket+SSH 隧道的攻击窃密武器，意图实现持久控制。同时，攻击者在该企业网络中构建了多条隐蔽通道进行数据窃取。

期间，攻击者使用位于德国（159.69.*.*）、芬兰（95.216.*.*）、韩国（158.247.*.*）和新加坡（139.180.*.*）等多个国家跳板 IP，发起 40 余次网络攻击，窃取包括该企业高层在内 11 人的邮件，涉及我军工类产品的相关设计方案、系统核心参数等内容。

攻击者在该企业设备中植入的攻击武器，通过混淆来逃避安全软件的监测，通过多层流量转发达到攻击内网重要设备目的，通过通用加密方式抹去了恶意通信流量特征。

二、利用电子文件系统漏洞实施攻击：

2024 年 7 月至 11 月，美情报机构对我国某通信和卫星互联网领域的军工企业实施网络攻击。经调查，攻击者先是通过位于罗马尼亚（72.5.*.*）、荷兰（167.172.*.*）等多个国家的跳板 IP，利用未授权访问漏洞及 SQL 注入漏洞攻击该企业电子文件系统，向该企业电子文件服务器植入内存后门程序并进一步上传木马，在木马携带的恶意载荷解码后，将恶意载荷添加至 Tomcat（美国 Apache 基金会支持的开源代码 Web 应用服务器项目）服务的过滤器，通过检测流量中的恶意请求，实现与后门的通信。

随后，攻击者又利用该企业系统软件升级服务，向该企业内网定向投递窃密木马，入侵控制了 300 余台设备，并搜索“军专网”、“核心网”等关键词定向窃取被控主机上的敏感数据。

在上述案例中，攻击者利用关键词检索国防军工领域敏感内容信息，明显属于国家级黑客组织关注范围，并带有强烈的战略意图。

另外，攻击者还意图掩盖其攻击身份和真实的攻击意图，例如：使用多个境外跳板 IP 实施网络攻击，采取主动删除日志、木马，主动检测机器状态等手段。意图掩盖其身份和攻击意图，反映出很强的网络攻击能力和专业的隐蔽知识。

据国家互联网应急中心统计，2024 年境外国家级 APT（IT之家注：高级持续性威胁）组织对我国重要单位的网络攻击事件就超过 600 起，其中国防军工领域是受攻击的首要目标。对我国关键信息基础设施、重要信息系统、关键人员等进行攻击渗透，严重威胁我国的网络安全。