在本周三有媒体参加的官方会议上，澳大利亚负责国家安全情报收集工作的信号局（Australian Signals Directorate，简称ASD）事件应急主管Mitchell Clarke透露，他们去年曾处理过一起棘手的应急事件。

绝密军火库被盗

2016年11月，有合作伙伴向ASD发来警告，有攻击者已经进入当地一家50人规模航天工程公司的内部网络，正在打包（美国）国防部相关绝密数据。

ASD整理的攻击者信息

海量绝密数据被窃取，包括F-35战斗机、P-8波塞冬海上巡逻机、C-130运输机、联合直接攻击弹药（JDAM）智能炸弹包以及数艘澳大利亚海军舰艇等等。

F-35是美国最新一代战机，澳大利亚订购了几十架

Mitchell Clarke称，攻击者在几个月内窃取了大约30GB的敏感数据，它们均在美国国际武器贸易控制条例（ITAR）的进出口限制范围之内。而且数据详实程度令人震惊，以澳大利亚最新海军舰艇为例，Clarke说攻击者拿到的设计图文件，精度极高，放大后可以看清船长座椅。

安全防护一塌糊涂

本周二澳大利亚网络安全中心发布的2017年度威胁报告首次披露了此事，周三的澳大利亚信息安全协会全国大会上，Clarke分享了更多细节。

ASD将此次攻击行动命名为“APT ALF”，暗示攻击持续时间长，和澳大利亚著名长寿肥皂剧Home and Away类似。

至少在2016年7月中旬时候，攻击者实际上已经进入那家小型国防承包商企业的网络。两周后，数据开始陆续被窃取。从8月到ASD被通知的11月，攻击者完全占据了网络，在长达三个多月的”贤者时间“几乎为所欲为。

ASD事后调查该企业的网络安全防范，发现和常见民营小公司的网络环境很类似。由于员工流动率高，它没有常规修补方案、没有DMZ防护、服务器竟然使用本地管理员账号而非域控账号、许多主机上开着Web服务…最奇葩的是开着的Web服务还用着admin/admin、guest/guest等默认弱账号密码。

所以，被黑也很活该对吧。攻击者最开始发现某主机的旧版本Web服务存在“任意文件上传漏洞”，使用国内知名黑客工具“中国菜刀”成功拿下Webshell，然后展开扫描环境、横向移动、数据Dump等一系列攻击操作。

神秘的受害者和通报者

到目前为止，我们只能从Clarke只言片语里猜测受害者和通报者的身份。

据悉，受害者是澳大利亚航空航天工程的四级承包商，和主承包商、当地机构、美国国防部门、波音和洛克希德马丁等制造商对接，并且通过美国军火贸易的ITAR安全认证。

ASD连同澳大利亚CERT机构找到这家公司时，曾被拒之门外。Clarke说他们知晓事情后前往受害者办公室，但受害者很警惕，不相信他们的身份，ASD和CERT的权限也不足以去审查这家公司。

通过一些手段，ASD最终获得了受害者的信任，得以采取措施分析和溯源事件状况和攻击者信息。

通报者则更神秘，这家不愿透露名字的澳大利亚合作伙伴在7月份已经知晓有人黑进了受害者企业网络，但当时无法告知。在花费大量时间处理合规、法律流程后，终于在11月向ASD通报成功。

“对澳大利亚来说，这显然不是最好的结果，但至少我们被告知了，总比一无所知强。”Clarke道。

应急之后呢？

经历这一教训后，Clarke认为，澳大利亚应该学会更精细化的控制安全风险，学习如何选择安全机制。他强调遵循最佳安全实践保护网络的重要性，比如ASD一直推行的“减缓网络安全事件危害基本八条”（Protect Essential Eight Explained）。

对中国来说，除了攻击者使用“中国菜刀”的身份揣测外，我们还应关注国内同类企业的安全状况。澳大利亚受害者不会是孤例，相信也会有许多目光对准中国这方面企业，他们的安全措施如何？是否有能力抵御呢？