北京健康寶遭網絡攻擊細節披露：向受害者服務器發送海量網絡流量

　　今日，360 網絡安全研究院披露了北京健康寶被網絡攻擊的部分細節信息。通過其積累的安全威脅數據，可以確定這次事件的發起方是其內部命名為 Rippr 的團伙。該團伙使用了已經披露過的惡意代碼家族 Fbot 作為攻擊武器。此次事件的 Fbot 變種，最早發現于 2 月 10 日，自被發現以來就異?；钴S地參與到 DDoS 攻擊中。截至今日，短短三個月，被跟蹤到的攻擊事件就超過 15 萬次。

　　據人民日報此前報道，4 月 28 日，在北京召開的第 318 場疫情防控新聞發布會上，北京市委宣傳部對外新聞處副處長隗斌通報，4 月 28 日，北京健康寶使用高峰期遭受網絡攻擊，經初步分析，網絡攻擊源頭來自境外，北京健康寶保障團隊進行及時有效應對，受攻擊期間，北京健康寶相關服務未受影響。

　　IT之家了解到，360 網絡安全研究院表示，可以確認這是一起典型的網絡拒絕服務攻擊(DDoS 攻擊)事件，也就是說攻擊者利用大量被入侵的網絡設備，如 IOT 設備、個人電腦、服務器等，向受害者服務器發送海量的網絡流量，影響其正常服務。

　　▲ BotMon 系統截獲的原始攻擊指令，目標 IP 已做打碼處理 | 圖源：360 網絡安全研究院

　　據介紹，從攻擊時間上來看，指令發出的時間是 28 號早上 8 點 41。從攻擊方法上來看，使用了 360 網絡安全研究院內部命名為 ATK_256，ATK_261 的 DDoS 攻擊方式。

　　該僵尸網絡將涉事的 3 個 C2 域名通過 DNS 域名映射到多個 IP 的方式做負載均衡。通過從這 3 個 C2 的歷史攻擊指令發現的一些基本特征和對該家族運營團伙 Rippr 歷史認識，360 網絡安全研究院認為它的主要目的是通過對外提供 DDoS 服務，以及挖礦來盈利，不涉及政治訴求。

　　360 網絡安全研究院指出，截至目前為止，該僵尸網絡在全球范圍內依然活躍，預期隨著本次報告登出，涉及的 C2 和惡意樣本會被安全社區提取使用，黑客也許會通過再一次更新 C2 地址來應對。