攻擊激增

自 2014 年 11 月，HKCERT 注意到來自一間聲稱位於香港的「恒泰信息有限公司」的網絡（AS 網絡號碼 63854）攻擊突然增加，這個網絡裏最少有 50 個 IP 地址有份參與攻擊，而其攻擊模式有別於一般被入侵的網絡，通常只有數個 IP 地址被用作攻擊。協調中心懷疑有攻擊者控制該網絡在互聯網進行攻擊。

恒泰引起國際關注

這種異常進取的攻擊使事故報告數字上升。HKCERT 曾通知「恒泰信息有限公司」處理相關事故，但沒有接到回應。至 11 月底，此網絡已引來國際保安專家注意。協調中心共接獲至少 5 個國家的報告，指出來自此網絡的異常高頻攻擊（根據資料其中一 IP 地址曾作 460,000 次的暴力破解登入嘗試）肆意攻擊全球網絡。網絡保安公司 FireEye 隨後發出一份針對恒泰的調查報告：Anatomy of a Brute Force Campaign: The Story of Hee Thai Limited。

向 APNIC 求助

從此攻擊的頻率及廣度，及有關公司不合作態度，我們決定循另一途徑阻止攻擊。其實當透過 WHOIS 資料進行調查時，發現登記地址並不完整，我們懷疑這間公司並非真實在香港營運。由於不能聯絡到該公司，我們向負責分派 AS 號碼和 IP 地址及管理 WHOIS 資料庫的亞太互聯網訊息中心（APNIC）求助 ¹。我們指出該網絡登記資料並不合理：地區為 CN，登記地址在 HK，電碼號碼在柬埔寨（圖 1）。

圖 1

於 2015 年 3 月底，APNIC 取回 AS63854 的網絡，表示該網絡已從網絡分配記錄中移除，其他網絡供應商亦不會提供路徑連接予這個網絡（圖 2）。自此，這網絡在互聯網上消失，我們亦再沒有收到關於這個網絡的事故報告。

圖 2

濫用互聯網資源

近年一些服務供應商透過聲稱位於香港取得新的 AS 號碼，但填報的其實是「流動辦公室」地址或甚至如恒泰的不完整地址。雖然這些公司提供電郵地址及電話號碼（通常並非香港號碼），但當事故發生時，HKCERT 及執法部門並不容易聯絡他們，令迅速解決事故或阻止事故蔓延更加困難。HKCERT 致力於維護網絡保安及香港於互聯網世界的聲譽。這是協調中心首次把有關網絡攻擊個案處理，提到 APNIC 去。協調中心會繼續與 APNIC 合作，確保在香港可順利進行事故處理工作。

註解

1. https://www.apnic.net/