近日，據 360 安全大腦披露，多達 174 家北京、上海政府機構和中國駐外機構遭受老牌高階持續性威脅（APT）黑客組織 DarkHotel 攻擊。黑客通過非法手段控制部分深信服（一家專注於企業級安全、雲端計算及 IT 基礎設施的產品和服務供應商）SSL VPN 裝置，並利用客戶端升級漏洞下發惡意檔案到客戶端，從而對使用者構成安全威脅。

360 安全大腦表示，黑客目前已經完全控制大量相關單位的 VPN 伺服器，並將 VPN 伺服器上的關鍵升級程式替換為後門程式。對於 VPN 使用者來說，一旦登入成功，就會被完全授信。因此，“可以說，攻擊者已經控制了大量相關單位的計算機終端裝置。”

VPN 是一種利用公共網路支援多個分支機構或使用者之間的安全通訊橋樑，遠端使用者可以通過 VPN 隧道穿透企業網路邊界、訪問企業內部資源，保證他們即使不在企業內部也能享有本地的訪問許可權。

自今年 3 月以來，被該黑客組織攻擊的 VPN 伺服器已經超過 200 臺，中國在美國、義大利、英國等 19 個國家的駐外機構都遭到了攻擊。進入 4 月，黑客將攻擊態勢轉向北京、上海相關政府機構，目前涉及機構數量高達 174 家。

圖｜被攻擊的 174 家北京、上海政府機構名單（來源：360 核心安全技術部落格）

儘管已有上百家政府機構遭到攻擊，但對我們個人來說，是否存在安全隱患？目前來看，還不會。

“此次攻擊事件主要影響北京和上海地區，相關的單位已經在自查，廠商已經配合進行了安全應急響應。由於廠商和安全公司的應急響應及時，暫不會威脅個人的資訊保安。” 360 安全專家告訴 DeepTech，“此次黑客攻擊針對 Windows 作業系統，對 macOS 作業系統暫無影響。”

自新冠疫情暴發以來，國家企事業單位、駐外機構和科技公司等紛紛採取 “雲辦公” 模式，而遠端辦公能夠實現的核心是 VPN，大量的員工都會通過 VPN 與總部建立聯絡、傳輸資料。一旦 VPN 漏洞被黑客利用，使用 VPN 遠端辦公的相關單位就會遭受重大安全危機。

360 安全大腦相關人員推測，DarkHotel 此次發動的黑客攻擊或意圖掌握中國在抗擊新冠肺炎疫情期間的先進醫療技術和救疫措施，通過駐外機構動態進一步探究世界各國的疫情真實情況及資料，通過攻擊中國駐外機構來掌握中國向世界各國輸送救疫物資的運輸軌跡、數量、裝置。

“有一些被攻擊的機構參與了一線的疫情防控”，在新冠疫情期間相關企事業單位大部分都是遠端辦公狀態，黑客攻擊的正是相關單位遠端辦公的核心基礎設施，即 VPN 伺服器。” 360 安全專家告訴 DeepTech。

研究人員在相關漏洞分析中表示，其中一臺深信服被攻擊的 VPN 伺服器版本為 M6.3R1，該版本發行於 2014 年，由於版本過於老舊，存在大量安全漏洞。同時該相關單位的運維開發人員的安全意識不強，為了工作便利，將所維護的客戶的敏感資訊儲存在工作頁上。“正是因為關鍵基礎設施的安全漏洞和相關人員的薄弱安全意識，才導致了 VPN 伺服器被黑客攻破。”

在此次攻擊中，360 安全大腦發現，上述相關單位的使用者在使用 VPN 客戶端時，預設觸發的升級過程被 DarkHotel 黑客劫持，將升級程式替換並植入後門程式。攻擊者模仿正常程式對後門程式進行了簽名偽裝，普通人根本難以察覺。

在對攻擊活動的還原分析中，360 安全大腦發現此次攻擊活動是深信服 VPN 客戶端中深藏的一個漏洞被 DarkHotel 黑客所利用，該漏洞存在於 VPN 客戶端啟動連線伺服器時預設觸發的一個升級行為，當用戶使用啟動 VPN 客戶端連線 VPN 伺服器時，客戶端會從所連線的 VPN 伺服器上固定位置的配置檔案獲取升級資訊。但是，在整個升級過程，客戶端僅對更新程式做了簡單的版本對比，沒有做任何的安全檢查。

圖｜偽造簽名（左）與正常簽名（右）（來源：360 核心安全技術部落格）

這就導致黑客攻破 VPN 伺服器後篡改升級配置檔案並替換升級程式，從而利用此漏洞針對 VPN 使用者定向散播後門程式。

DarkHotel 是一個有著東亞背景，長期針對企業高管、政府機構、國防工業、電子工業等重要機構實施網路間諜攻擊活動的 APT 組織，自 2004 年以來一直在進行網路間諜活動，是近幾年來最活躍的 APT 組織之一，主要攻擊目標為電子行業、通訊行業的企業高管及有關國家政要人物，其攻擊範圍遍佈中國、北韓、日本、緬甸、俄羅斯等多個國家。

上個月，DarkHotel 通過釣魚和垃圾郵件攻擊了世界衛生組織（WHO）。黑客通過一個仿冒的 WHO 內部電子郵件系統伺服器對內部人員進行釣魚攻擊，誘使員工登入該電子郵件系統，從而盜取他們的電子郵箱密碼；在盜取電子郵件密碼之後，黑客仿冒 WHO 的內部人員對組織內部發送垃圾郵件，欺騙其他內部人員下載安裝竊密木馬，從而盜取更多人的資訊。

此外，這也並不是 DarkHotel 首次對中國發動攻擊。今年 1 月，在 Windows 7 系統停服關鍵節點，DarkHotel 同時利用 IE 瀏覽器和火狐瀏覽器 “雙星” 0day 漏洞，針對中國重點省份商貿相關的政府、企業及相關機構發起複合攻擊。

4 月 7 日，深信服針對此次黑客攻擊事件做出迴應稱，本次漏洞為 SSL VPN 裝置 Windows 客戶端升級模組簽名驗證機制的缺陷，但該漏洞利用前提是必須已經獲取控制 SSL VPN 裝置的許可權，因此利用難度較高。“初步預估，受影響的 VPN 裝置數量有限。”

（來源：深信服）

但 360 安全專家對 DeepTech 表示，“本次漏洞並不是利用難度和受影響裝置數量的問題”，由於漏洞存在於 Windows 客戶端中，如果使用者不升級 VPN 客戶端程式，就一直會有被攻擊的風險，使用者也無法判斷 VPN 伺服器是否安全。因此，廠商一方面要推進修復 VPN 伺服器已經存在的安全漏洞，更重要的是提醒使用者升級存在安全漏洞的 VPN 客戶端程式。

對此，深信服表示，公司目前針對已確認遭受攻擊的 SSL VPN 裝置版本（M6.3R1 版本、M6.1 版本）釋出了緊急修復補丁，安排技術服務人員為受影響使用者上門排查與修復，公司也將釋出 SSL VPN 裝置篡改檢測指令碼，方便使用者自行檢測裝置是否被篡改及是否需要修復補丁。

此外，深信服還將為使用者提供 SSL VPN 裝置主要標準版本修復補丁，以及釋出惡意檔案的專殺工具。

“在日常生活和工作中，使用者提高安全意識，不要隨便連線不受信任的 VPN 伺服器，同時時刻開啟安全軟體的實時保護，預防可能出現的攻擊。” 360 安全專家說。