土耳其APT黑客组织“图兰军”对我国重要单位攻击分析报告

近日，知道创宇404积极防御实验室通过“知道创宇安全大脑-业务安全舆情监测平台”监测到土耳其黑客组织“图兰军”近期攻击活动频繁，攻击量呈上升趋势，并且该组织攻击活动在元旦节以后更加活跃。

该组织是2019年12月22日成立的土耳其反华黑客组织，并大力支持东突分裂势力，同时针对中国境内政府、教育等类别网站进行攻击。早在2019年该组织刚成立时，知道创宇404积极防御实验室就已开始监测其动向。在其成立当日，一名昵称为 “Yakamoz1319” 的组织成员就在黑客论坛 “turkhackteam” 上发帖煽动土耳其黑客针对我国境内网站发起攻击，以实际行动表明对“东突厥斯坦”的支持。该组织发布的恶意攻击活动公告原文如下：

在这篇土耳其文的帖子当中，攻击者传达了其针对中国网站发动恶意攻击的意图：“对中国的攻击已经开始！我们不会保持沉默。最近成立并于今天（2019/12/22）宣布成立的图兰军已将中国作为第一个目标。截至目前，所有中文站点都是我们自由攻击的目标。每个人都应该参与攻击活动，无论是团队领导还是普通成员。”

通过知道创宇业务安全舆情监测平台统计，在2019年12月内图兰军等土耳其黑客组织组织共计入侵中国境内网站达百余个，其中不乏高等院校和科研单位的官方网站。

经对过去一周内云防御安全大数据平台的数据分析，该黑客组织长期对中国境内网站进行持续的扫描渗透活动，过去一周内总共收到来自该组织的攻击探测达7,532次。攻击趋势如下：

每天的探测数趋势如下：

从当前来看，多数被黑的站点均属于安全防护程度不高或缺乏长期维护的网站，此类网站在持续不断的高强度境外攻击面前存在有巨大的安全隐患。

知道创宇404积极防御实验室结合“知道创宇安全大脑”中的“业务安全舆情监测平台”和“云防御安全大数据平台”等平台的数据进行了综合分析，预测本次攻击活动会持续到本月底前后，各单位须注意防范，建议：

1.关注近期境外IP攻击趋势，可封禁攻击IP列表中境外IP，及时做好网站安全防护措施；

2.例如增加设备的安全策略、使用第三方Web应用防火墙（如：创宇盾）等加强防护。

3.网站负责人应定期对重点业务站点可能存在的安全隐患进行排查，做好站点的安全保障工作；

4.重点关注来自土耳其地区的异常访问或疑似攻击状况，持续追踪境外黑客组织的威胁行为，谨防站点入侵事件的发生。

针对创宇盾客户可做以下建议配置防护策略：

1.开启防黑锁，避免关键资源受篡改而影响页面；

2.开启后台锁，对于网站后台登录进行严格管控；

3.提升协同防御等级，屏蔽政府、教育文化类的境外高危IP；

4.做好网站自身安全检查，及时更新漏洞等相关补丁，避免被入侵；

5.开启弱口令防护，对登录和注册接口上出现的弱口令事件进行检测或拦截；

6.开启区域访问控制，禁止土耳其IP访问相关业务系统。