攻击我国核工业研究机构的网络间谍组织被捕获

 近日，360追日团队（Helios Team）、360安全监测与响应中心与360威胁情报中心发布《蓝宝菇（APT-C-12）核危机行动揭露》报告，首次披露了其捕获的持续8年攻击中国大陆地区的网络间谍组织——蓝宝菇。

据报告透露，从2011年开始至今，高级攻击组织蓝宝菇（APT-C-12）对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。核工业和科研等相关行业信息是该组织的重点窃取目标。

据360追日团队介绍，该团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。截止到目前，360追日团队已捕获该组织恶意代码共达670余个，其中包括60多个专门用于横向移动的恶意插件；此外还发现了与该组织相关的40多个C&C域名和IP地址。

由于该网络间谍组织的相关恶意代码中出现特有的字符串（Poison Ivy密码是：NuclearCrisis），结合该组织的攻击目标特点，360威胁情报中心将该组织的一系列攻击行动命名为核危机行动（Operation NuclearCrisis）。联想到核武器爆炸时的蘑菇云，360威胁情报中心结合该组织的其他特点，以及对APT组织的命名规则，将该组织名为蓝宝菇。

截止2018年5月，360追日团队已经监测到近30个核危机行动攻击的境内目标。其中，教育科研机构占比最高，达59.1%，其次是政府机构，占比为18.2%，国防机构排第三，占9.1%。其他还有事业单位、金融机构制造业等占比为4.5%。

就地域分布来看，北京地区是核危机行动攻击的重点区域，其次是上海、海南等地区。

从攻击目标和攻击的区域分布来看，蓝宝菇的目标是核工业和科研等国防相关信息，这在被捕获的APT组织中，是比较突出的一点。