國家級(jí)APT（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）組織是有國家背景支持的頂尖黑客團(tuán)伙，專注于針對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期的持續(xù)性網(wǎng)絡(luò)攻擊。

　　2021 年上半年，網(wǎng)絡(luò)武器威力和攻擊規(guī)模持續(xù)增大，可能是近年來APT攻擊活動(dòng)最黑暗的半年。全球 APT 組織為達(dá)到攻擊目的，不惜花費(fèi)巨額資金和人力成本， 使用的在野0day 漏洞數(shù)量陡然劇增，出現(xiàn)的頻次之高為歷年罕見。

　　在新冠疫情、地緣政治等復(fù)雜背景下，針對(duì)我國的高級(jí)威脅持續(xù)不斷。2021 年上半年，毒云藤、蔓靈花、 海蓮花等國家級(jí)攻擊組織，持續(xù)針對(duì)我國境內(nèi)開展攻擊 活動(dòng)。奇安信威脅情報(bào)中心近期盤點(diǎn)來針對(duì)我國的全球 APT 組織。

　　一、 南亞篇

　　1、摩訶草（APT-Q-36）

　　【組織概述】

　　摩訶草組織是 Norman  2013 年披露并命名的APT 組織。其最早攻擊活動(dòng)可以追溯到 2009 年11 月， 該組織主要針對(duì)中國、巴基斯坦等亞洲地區(qū)和國家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。

　　在針對(duì)中國地區(qū)的攻擊中，主要針對(duì)政府機(jī)構(gòu)、科 研教育領(lǐng)域進(jìn)行攻擊。具有 Windows、Android、Mac OS 多系統(tǒng)攻擊的能力。

　　【攻擊事件】

　　2018 年春節(jié)前后，某政府單位收到一些帶有惡意 下載鏈接的釣魚郵件，郵件內(nèi)容與其工作相關(guān)，一旦目 標(biāo)用戶下載并打開 office 文檔，則會(huì)觸發(fā)漏洞 CVE- 2017-8570 并執(zhí)行惡意腳本，最終下載遠(yuǎn)控木馬導(dǎo)致 主機(jī)被控。

　　此外，摩訶草組織在本次攻擊活動(dòng)中注冊(cè)了大量與 我國敏感單位 / 機(jī)構(gòu)相關(guān)的相似域名，以對(duì)我國特定的領(lǐng) 域進(jìn)行定向攻擊。奇安信威脅情報(bào)中心通過對(duì)此次攻擊 活動(dòng)中大量網(wǎng)絡(luò)資產(chǎn)分析發(fā)現(xiàn)，其中一個(gè) IP 地址曾在摩 訶草歷史的攻擊活動(dòng)中被披露使用，因此將此次攻擊的幕后團(tuán)伙判定為摩訶草 APT 組織。

　　2、蔓靈花（APT-Q-37）

　　【組織概述】

　　蔓靈花（Bitter）最早由國外安全廠商 Forcepoint 于 2016 年命名。研究人員發(fā)現(xiàn)其 RAT 變種在進(jìn)行網(wǎng)絡(luò) 通信時(shí)往往包含有“BITTER”字符，故將行動(dòng)命名為 BITTER。該組織至少自 2013 年 11 月開始活躍，長(zhǎng)期 針對(duì)中國及巴基斯坦的政府、軍工、電力、核等部門發(fā)動(dòng)網(wǎng)絡(luò)攻擊，竊取敏感資料。

　　【攻擊事件】

　　2018 年 1 月，某工業(yè)大廠員工收到一份釣魚郵件， 郵件聲稱來自該廠信息技術(shù)中心，提醒員工郵件賬戶登 錄異常，并要求員工通過“安全鏈接”驗(yàn)證郵件賬戶。該“安全鏈接”為高度仿造的企業(yè)郵箱登錄頁面，目標(biāo) 用戶在此頁面輸入賬號(hào)密碼后將被攻擊者收集用于向帳 戶內(nèi)的其他用戶發(fā)送帶有病毒附件的郵件。附件被執(zhí)行 后將導(dǎo)致機(jī)器被種植后門木馬。

　　奇安信威脅情報(bào)中心通過對(duì)釣魚鏈接的域名跟 蹤分析，發(fā)現(xiàn)國內(nèi)疑似被攻擊的組織機(jī)構(gòu)還包括中國 XXXX 集團(tuán)有限公司、中國 XX 對(duì)外工程有限公司以及 XXXXXX 大學(xué)。

　　經(jīng)過關(guān)聯(lián)分析，奇安信威脅情報(bào)中心發(fā)現(xiàn)此次攻擊 活動(dòng)中偽裝成 JPG 圖片的惡意樣本釋放的誘餌圖片與蔓 靈花組織在 2016 年的攻擊活動(dòng)中所使用的誘餌圖片完全一致。此外，此次攻擊活動(dòng)發(fā)現(xiàn)的后門程序中查找 avg 殺軟的相關(guān)代碼片段與蔓靈花組織使用的相關(guān)代碼片段 也存在高度相似性。因此將此次攻擊活動(dòng)判定為蔓靈花 APT 組織所為。

　　3、魔羅桫（APT-Q-39）

　　【組織概述】

　　Confucius 組織是 Palo Alto Networks Unit 42 于2017 年 10 月發(fā)現(xiàn)的攻擊團(tuán)伙，該團(tuán)伙主要使用網(wǎng)絡(luò)釣 魚郵件針對(duì)巴基斯坦目標(biāo)實(shí)施攻擊。

　　2017 年末趨勢(shì)命名 Confucius 為APT組織，并分 析了其與 Patchwork 存在一些聯(lián)系。趨勢(shì)科技表示，至少從 2013 年就發(fā)現(xiàn)該組織活躍，使用 Yahoo! 和 quora 論壇作為 C&C 控制器，該組織可能來自于南亞。該組 織擁有對(duì) Windows，Android 的攻擊惡意代碼，并常用 Delphi 作為其 Dropper 程序。

　　從奇安信威脅情報(bào)中心內(nèi)部的威脅情報(bào)數(shù)據(jù)分析來 看，這兩個(gè)組織可以通過相似的 Delphi Dropper 程序使 用的控制域名聯(lián)系到一起。但其與摩訶草的主要不同在 于攻擊目標(biāo)主要以巴基斯坦和印度為主，并通常偽裝成 俄羅斯的來源。

　　APT-Q-39屬于攻擊境內(nèi)目標(biāo)的境外組織，奇安信威脅情報(bào)中心對(duì)APT-Q-31組織的命名為魔株系——魔羅桫，“魔羅”出自該組織的地域教派神話，意為亂人事者?！拌眲t象征該組織的地緣及文化特征。

　　【攻擊事件】

　　2020 年 9 月，奇安信威脅情報(bào)中心披露了來自南亞地區(qū)的定向攻擊：提菩行動(dòng)。在此次活動(dòng)中，攻擊者使用了多種攻擊手法例如：釣魚郵件 + 釣魚網(wǎng)站、釣魚郵件 + 惡意附件、木馬文件投放、安卓惡意軟件投放，其中還包括部分商業(yè)、開源木馬的使用以增加分析人員的 溯源難度。

　　通過對(duì)提菩行動(dòng)的攻擊目標(biāo)側(cè)分析發(fā)現(xiàn)，此次攻擊活動(dòng)主要針對(duì)中國、巴基斯坦、尼泊爾等地的航空航天技術(shù)部門、船舶工業(yè)業(yè)、核工業(yè) （ 含核電 ）、商務(wù)外貿(mào)、國防軍工、政府機(jī)關(guān) （ 含外交 ）、科技公司。其主要目的為竊取特定國家的核心國防軍工技術(shù)。

　　奇安信威脅情報(bào)中心紅雨滴團(tuán)隊(duì)基于內(nèi)部大數(shù)據(jù)平臺(tái)，對(duì)此次攻擊活動(dòng)中使用的惡意軟件分析后發(fā)現(xiàn)， AsyncRat 回連的C2可關(guān)聯(lián)到多個(gè)魔羅桫組織曾用特馬，且部分樣本曾被用于針對(duì)巴基斯坦緝毒部的攻擊 中。

　　此外，研究人員還追蹤到此次攻擊活動(dòng)中的SFX類型樣本與魔羅桫歷史針對(duì)巴基斯坦WIL兵工廠活動(dòng)中的樣本同源。因此，奇安信對(duì)此次活動(dòng)背后的組織判別為境外APT 組織魔羅桫。

　　二、 東南亞篇

　　4、海蓮花（APT-Q-31）

　　【組織概述】

　　海蓮花組織是奇安信于 2015 年披露并命名的APT 組織。該組織自 2012 年 4 月起，針對(duì)中國政府、 科研院所、海事機(jī)構(gòu)、海域建設(shè)、航運(yùn)企業(yè)等相關(guān)重要領(lǐng)域展開了有組織、有計(jì)劃、有針對(duì)性的長(zhǎng)時(shí)間不間斷攻擊。

　　APT-Q-31 屬于攻擊境內(nèi)目標(biāo)的境外組織，奇安信威脅情報(bào)中心對(duì) APT-Q-31 組織的命名為魔株系——海蓮花，“蓮花”是表現(xiàn)了該組織的地緣及文化特征，“?！眲t主要表現(xiàn)了該組織以海洋領(lǐng)域?yàn)橹饕裟繕?biāo)的活動(dòng)特征。

　　【攻擊事件】

　　2020 年 12 月，奇安信態(tài)勢(shì)感知與安全運(yùn)營平臺(tái)

　　（NGSOC）在客戶側(cè)發(fā)現(xiàn)多臺(tái)終端電腦與特定端口進(jìn) 行數(shù)據(jù)交互，研究人員在對(duì)交互數(shù)據(jù)分析后發(fā)現(xiàn)綁定在 該端口通信的協(xié)議是一個(gè)沒有驗(yàn)證加密的私有協(xié)議，對(duì) 該協(xié)議數(shù)據(jù)進(jìn)行逆向解密之后發(fā)現(xiàn)這是一些高危的指令， 如修改管理員密碼。

　　在經(jīng)過層層分析和定位之后，奇安信研究人員發(fā)現(xiàn)這是一起供應(yīng)鏈攻擊，攻擊者通過在安全終端管理軟件 中植入一段惡意代碼，使得 18 年 9 月份之后的安全終端管理軟件版本均有該代碼塊，且安裝文件帶有廠商數(shù)字簽名。內(nèi)網(wǎng)中任意 IP 的機(jī)器均可無需驗(yàn)證向安裝了該終 端軟件的機(jī)器發(fā)送命令并執(zhí)行。

　　這種源代碼污染供應(yīng)鏈攻擊非常隱蔽，奇安信天擎在 2020 年12 月更新病毒庫之后掃描出了所有被植入木馬的終端設(shè)備，經(jīng)過供給鏈還原最終確認(rèn)此攻擊事件的 發(fā)起組織為海蓮花。

　　三、東亞篇

　　5、Darkhotel（APT-Q-10）

　　【組織概述】

　　Darkhotel組織是Kaspersky2014年披露的APT組織。該組織主要針對(duì)國防工業(yè)基地、軍事、能源、 政府、非政府組織、電子制造、制藥和醫(yī)療等部門的公司高管、研究人員和開發(fā)人員。其因擅長(zhǎng)使用酒店網(wǎng)絡(luò)跟蹤和打擊目標(biāo)而得名。

　　【攻擊事件】

　　2019 年 7 月，攻擊者針對(duì)國內(nèi)多個(gè)重點(diǎn)單位網(wǎng)絡(luò)資產(chǎn)進(jìn)行信息收集，通過 Web漏洞入侵暴露在互聯(lián)網(wǎng)上的內(nèi)部系統(tǒng)后臺(tái)登錄頁面并植入 IE 0day 漏洞以構(gòu)造水坑攻擊，相關(guān)單位網(wǎng)站管理員訪問后臺(tái)頁面觸發(fā)漏洞并被植入木馬后門導(dǎo)致計(jì)算機(jī)被控、機(jī)密信息泄漏。

　　2020 年 2 月，奇安信威脅情報(bào)中心紅雨滴團(tuán)隊(duì)監(jiān)測(cè)到上述多個(gè)重點(diǎn)單位的內(nèi)部系統(tǒng)管理登錄頁面被植入惡 意代碼以執(zhí)行水坑攻擊。研究人員在深入分析被植入的 代碼后，確認(rèn)此次事件背后的攻擊團(tuán)伙為境外 APT 組織 Darkhotel。

　　通過奇安信威脅情報(bào)中心大數(shù)據(jù)關(guān)聯(lián)分析后發(fā)現(xiàn)，攻擊者使用的微軟 IE 瀏覽器漏洞 CVE-2019-1367 利 用代碼在2019 年7 月19 日就被上傳至被攻擊的服務(wù)器， 而該漏洞微軟在 2019 年 9 月份才修補(bǔ)，因此在攻擊發(fā)生的當(dāng)時(shí)漏洞還處于0day 漏洞狀態(tài)，研究人員推斷， Darkhotel最晚在2019 年7月就利用 0day 漏洞對(duì)我國 執(zhí)行了針對(duì)性的攻擊。

　　6、虎木槿（APT-Q-11）

　　【組織概述】

　　虎木槿是疑似來自東北亞的APT 組織，使用的惡意代碼有著很強(qiáng)的隱蔽性，且具備 0day漏洞發(fā)掘利用能力，曾通過瀏覽器漏洞攻擊國內(nèi)重點(diǎn)單位。2019 年，奇安信捕獲境外APT 組織虎木槿針對(duì)國內(nèi)核心教育科研政府機(jī)構(gòu)的攻擊活動(dòng)并將活動(dòng)命名為“幻 影”行動(dòng)。

　　“幻影”行動(dòng)意指虛幻而不真實(shí)的影像，取意于攻擊者在瀏覽器漏洞利用過程中通過播放不存在的Windows Media Video 影 音文件來啟動(dòng) MediaPlayer 插件，從而劫持執(zhí)行下載的惡意 DLL 以達(dá)到執(zhí)行木馬獲取控制的目的，體現(xiàn)了攻擊者變幻莫測(cè)的攻擊技巧和高超的技術(shù)能力。

　　APT-Q-11 屬于攻擊境內(nèi)目標(biāo)的境外組織，奇安信威脅情報(bào)中心對(duì) APT-Q-11 組織的命名為魔株系——虎木槿?！盎ⅰ?與 “木槿” 均取自該組織地緣文化象征。

　　【攻擊事件】

　　2019 年，奇安信威脅情報(bào)中心紅雨滴團(tuán)隊(duì)結(jié)合天眼產(chǎn)品在客戶側(cè)的部署檢測(cè)，在全球范圍內(nèi)率先監(jiān)測(cè)到多 例組合使用多個(gè)瀏覽器高危漏洞的定向攻擊。此次活動(dòng) 目標(biāo)包括多個(gè)國內(nèi)核心教育科研政府機(jī)構(gòu)和個(gè)人，被攻 擊目標(biāo)只需使用某瀏覽器低版本打開網(wǎng)頁就可能中招， 被黑客植入后門木馬甚至完全控制電腦。

　　7、毒云藤（APT-Q-20）

　　【組織概述】

　　毒云藤組織是奇安信于 2015 年 6 月首次披露的疑似有我國臺(tái)灣地緣背景的 APT 組織，其最早的活動(dòng)可以追溯到2007 年。該組織主要針對(duì)國內(nèi)政府、軍事、國防、 科研等機(jī)構(gòu)，使用魚叉郵件攻擊和水坑攻擊等手段來實(shí)施 APT 攻擊。

　　APT-Q-20 屬于攻擊境內(nèi)目標(biāo)的境外組織，奇安信威脅情報(bào)中心對(duì)APT-Q-20 組織的命名為魔 株系——毒云藤。“毒藤”意為該組織在多次攻擊行動(dòng)中，都使用了Poison Ivy（毒藤）木馬，“云”字取于該組織在中轉(zhuǎn)信息時(shí)，曾使用云盤作為跳板傳輸資料。

　　【相關(guān)事件】

　　2020 年 10 月，奇安信披露了華語情報(bào)搜集活動(dòng)： 血茜草行動(dòng)。從 2018 年至 2020 年，毒云藤組織利用大 陸最常使用的社交軟件、郵箱系統(tǒng)、以及政府機(jī)構(gòu)網(wǎng)站、 軍工網(wǎng)站、高等院校網(wǎng)站等進(jìn)行了大規(guī)模的仿制，目的是盡可能多地獲取目標(biāo)的個(gè)人信息，為后續(xù)竊取我國情 報(bào)信息做準(zhǔn)備。

　　攻擊主要分為釣魚網(wǎng)站攻擊以及釣魚郵件攻擊。在釣魚郵件攻擊中，毒云藤主要偽裝成多種具有鮮明特色的角色如智庫類目標(biāo)、軍民融合產(chǎn)業(yè)園、軍事雜志、公務(wù)員類獵頭公司等。

　　經(jīng)過關(guān)聯(lián)分析，奇安信威脅情報(bào)中心發(fā)現(xiàn)，此次攻擊活動(dòng)中使用的惡意代碼同歷史攻擊活動(dòng)一樣利用 WinRAR ACE 漏 洞 CVE-2018-20250 進(jìn) 行下發(fā)， 且惡意代碼中所使用的API 函數(shù)以及使用 strrev 函數(shù)將字符串反序的特點(diǎn)也與歷史代碼幾乎一致，最后木馬回連的C2 解析出的IP反查可得部分血茜草釣魚網(wǎng)站域名。至此研究人員判定此次攻擊活動(dòng)與毒云藤組織相關(guān)。

　　8、藍(lán)寶菇（APT-Q-21）

　　【組織概述】

　　藍(lán)寶菇（APT-C-12）是奇安信率先公開和披露的APT組織。該組織從 2011 年開始持續(xù)至今，對(duì)我國政府、軍工、科研、金融等重點(diǎn) 單位和部門進(jìn)行了持續(xù)的網(wǎng)絡(luò)間諜活動(dòng)。藍(lán)寶菇 （APT-C-12）主要關(guān)注核工業(yè)和科研等相關(guān)信息。被攻擊目標(biāo)主要集中在我國大陸境內(nèi)。

　　該組織常使用魚叉郵件作為主要攻擊手段，通過向目標(biāo)對(duì)象發(fā)送攜帶 LNK 文件和惡意 PowerShell 腳本 誘導(dǎo)用戶點(diǎn)擊，竊取敏感文件，安裝持久化后門程序， 并使用如阿里云盤、新浪云等云服務(wù)，把竊取的數(shù)據(jù)托 管在云服務(wù)上。由于該組織相關(guān)惡意代碼中出現(xiàn)特的字符串（Poison Ivy 密 碼 是： NuclearCrisis）， 結(jié)合該組織的攻擊目標(biāo)特點(diǎn)，奇安信威脅情報(bào)中心將該組織攻擊行動(dòng)命名為核危機(jī)行動(dòng)（Operation NuclearCrisis）。

　　2018 年期間，該組織針對(duì)我國政府、軍工、科 研以及金融等重點(diǎn)單位和部門發(fā)起多次針對(duì)性攻擊，攻擊手法相較于之前也有所升級(jí)，并且魚叉郵件攜帶惡意文件也由原本的惡意 PE 文件首次更新為 PowerShell腳本后門，以及采用云空間、云附件的手法接收回傳的資料信息等都反映了藍(lán)寶菇APT組織在攻擊技術(shù)方面的更 新。

　　【近期攻擊事件】

　　2018 年 4 月以來，安全監(jiān)測(cè)與響應(yīng)中心和奇安信威脅情報(bào)中心在企業(yè)機(jī)構(gòu)的協(xié)同下發(fā)現(xiàn)了一批針對(duì)性的魚 叉攻擊，攻擊者通過誘導(dǎo)攻擊對(duì)象打開魚叉郵件云附件 中的 LNK 文件來執(zhí)行惡意 PowerShell 腳本收集上傳用 戶電腦中的敏感文件，并安裝持久化后門程序長(zhǎng)期監(jiān)控 用戶計(jì)算機(jī)。該攻擊過程涉及一些新穎的 LNK 利用方式， 使用了 AWS S3 協(xié)議和云服務(wù)器通信來偷取用戶的敏感 資料。

　　繼披露了藍(lán)寶菇 （APT-C-12） 攻擊組織的相關(guān)背景以及更多針對(duì)性攻擊技術(shù)細(xì)節(jié)后，奇安信威脅情報(bào)中心近期又監(jiān)測(cè)到該組織實(shí)施的新的攻擊活動(dòng)，在 APT-C-12 組織近期的攻擊活動(dòng)中，其使用了偽裝成 “ 中國輕工業(yè)聯(lián)合會(huì)投資現(xiàn)況與合作意向簡(jiǎn)介 ” 的誘導(dǎo)文件，結(jié)合該組織過去的攻擊手法，該誘餌文件會(huì)隨魚叉郵件進(jìn)行投遞。

　　四、北美篇

　　9、Longhorn

　　【組織概述】

　　Longhorn 又名 Lamberts，APT-C-39 等。最早由國外安全廠商賽門鐵克在 Vault 7 泄漏間諜工具后命名。Valut 7 是由維基解密從 2017 年 3 月起公布的一系 列文件，在這些文件中主要披露了美國中央情報(bào)局進(jìn)行 網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)攻擊的活動(dòng)與攻擊工具。

　　據(jù)分析，Longhorn 至少從2011 年開始活動(dòng)，Longhorn 感染了來自至少16 個(gè)國家包括中東、歐洲、 亞洲和非洲等的 40 個(gè)目標(biāo)，主要影響金融、電信、能源、 航空航天、信息科技、教育、和自然資源等部門。它使用了多種后門木馬結(jié)合 0day 漏洞進(jìn)行攻擊。

　　奇安信威脅情報(bào)中心紅雨滴團(tuán)隊(duì)對(duì)歷史曝光的 CIA 網(wǎng)絡(luò)武器及相關(guān)資料進(jìn)行研究，并發(fā)現(xiàn)了多種網(wǎng)絡(luò)武器文件，并且根據(jù)分析的結(jié)果與現(xiàn)有公開資料內(nèi)容進(jìn)行了關(guān)聯(lián)和判定。

　　紅雨滴團(tuán)隊(duì)還發(fā)現(xiàn)這些網(wǎng)絡(luò)武器曾用于攻擊中國的目標(biāo)人員和機(jī)構(gòu)，其相關(guān)攻擊活 動(dòng)主要發(fā)生在2012年到2017年（與 Vault 7 資料公開時(shí)間相吻合），并且在其相關(guān)資料被曝光后直至2018年末，依然維持著部分攻擊活動(dòng)，目標(biāo)可能涉及國內(nèi)的航空行業(yè)。

　　【相關(guān)事件】

　　2019 年 9 月，奇安信威脅情報(bào)中心紅雨滴團(tuán)隊(duì)通過對(duì)曝光的 CIA 網(wǎng)絡(luò)武器進(jìn)行了國內(nèi)安全事件的關(guān)聯(lián)和判 定，發(fā)現(xiàn)這些網(wǎng)絡(luò)武器曾用于攻擊中國的人員和機(jī)構(gòu)， 攻擊活動(dòng)主要發(fā)生在 2012 年到 2017 年（與Vault7資料公開時(shí)間相吻合），并且在其相關(guān)資料被曝光后直至 2018 年末，依然維持著部分攻擊活動(dòng)，其目標(biāo)涉及國內(nèi)的航空行業(yè)。

　　2020年3月，國內(nèi)某安全廠商發(fā)布的報(bào)告表示，中國航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個(gè)單位均遭到 Longhorn 不同程度的攻擊。

　　攻擊活動(dòng)最早可以追溯到 2008 年 9 月，并一直持續(xù)到 2019 年 6 月。受害者主要集中在北京、廣東、浙江等省市。該組織在針對(duì)中國航空航天與科研機(jī)構(gòu)的攻擊中，主要圍繞系統(tǒng)開發(fā)人員來進(jìn)行定向打擊。這些開發(fā)人員主要從事的是航空信息技術(shù)有關(guān)服務(wù)，如航班控制系統(tǒng)服務(wù)、貨運(yùn)信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。攻擊不僅僅是針對(duì)中國國內(nèi)航空航天領(lǐng)域，同時(shí)還覆蓋百家海外及地區(qū)的商營航空公司。

　　10、Crypto AG

　　【公司概述】

　　2020 年 2 月 11日，《華盛頓郵報(bào)》聯(lián)合德國電視二臺(tái) ZDF 曝光，CIA 一直利用頂級(jí)通信加密公司 Crypto AG 設(shè)備破解上百個(gè)國家政府?dāng)?shù)十年來的絕密信息。

　　【相關(guān)事件】

　　從上世紀(jì)60 年代開始，Crypto AG 的加密算法就被 NSA 操控，可以秘密的在加密設(shè)備中植入漏洞從而截取機(jī)密情報(bào)。

　　美國通過這種方式截取了大量秘密通信，包括其他 國家政府大量軍事行動(dòng)、人質(zhì)危機(jī)、暗殺和爆炸事件的 通信。例如，在 1978 年美國前總統(tǒng)卡特與埃及前總統(tǒng) 薩達(dá)特舉行埃及 - 以色列和平協(xié)議會(huì)談時(shí)，美國能夠監(jiān) 聽薩達(dá)特與開羅的所有通信；1979 年伊朗人質(zhì)危機(jī)期間， CIA 和 NSA 也借此監(jiān)聽伊朗革命政府；在兩伊戰(zhàn)爭(zhēng)的十 年時(shí)間里，美國甚至截獲了19000 條加密機(jī)發(fā)送的伊朗情報(bào)。根據(jù) CIA 的記錄，在馬島戰(zhàn)爭(zhēng)期間，美國還利用阿根廷對(duì)于Crypto加密設(shè)備的依賴，將截獲的阿根廷軍事計(jì)劃泄露給了英國。

　　目前有120 多個(gè)國家 / 地區(qū)購入過Crypto加密設(shè)備設(shè)備，客戶包括伊朗、印度、巴基斯坦、拉丁美洲各國政府，甚至梵蒂岡。

　　11、Equation（方程式）

　　【組織概述】

　　2015 年，卡巴斯基揭露史上最強(qiáng)網(wǎng)絡(luò)犯罪組織——Equation Group，該組織被視為隸屬于美國情報(bào)部門 NSA 旗下，已活躍近 26 年，在攻擊復(fù)雜性 和攻擊技巧方面超越歷史上所有的網(wǎng)絡(luò)攻擊組織。根據(jù)卡巴斯基實(shí)驗(yàn)室目前所掌握的證據(jù)，Equation Group 被認(rèn)為是震網(wǎng)（Stuxnet）和火焰（Flame）病毒幕后的操縱者。

　　從 2001 年至今，Equation 已在伊朗、俄羅斯、敘利亞、阿富汗、阿拉伯聯(lián)合大公國、中國、英國、美 國等全球超過 30 個(gè)國家感染了 500 多個(gè)受害者。受害者包括政府和外交機(jī)構(gòu)、電信行業(yè)、航空行業(yè)、能源行業(yè)、核能研究機(jī)構(gòu)、石油和天然氣行業(yè)、軍工行業(yè)、 納米技術(shù)行業(yè)、伊斯蘭激進(jìn)分子和學(xué)者、大眾媒體、交 通行業(yè)、金融機(jī)構(gòu)以及加密技術(shù)開發(fā)企業(yè)等。

　　【相關(guān)事件】

　　2017 年 4 月 14 日，“影子經(jīng)紀(jì)人”曝光的數(shù)據(jù)中包含名為SWIFT 的文件夾，完整曝光了“方程式組織” 對(duì) SWIFT 金融服務(wù)提供商及合作伙伴的兩起網(wǎng)絡(luò)攻擊行動(dòng)：JEEPFLEA_MARKET 和JEEPFLEA_POWDER。

　　JEEPFLEA_MARKET 攻擊行動(dòng)是針對(duì)中東地區(qū)最大 SWIFT服務(wù)提供商 EastNets，成功竊取了其在比利時(shí)、約旦、埃及和阿聯(lián) 酋的上千個(gè)雇員賬戶、主機(jī)信息、登錄憑證及管理員賬 號(hào)。

　　此次攻擊以金融基礎(chǔ)設(shè)施為目標(biāo)，從全球多個(gè)區(qū)域的預(yù)設(shè)跳板機(jī)進(jìn)行攻擊。以0Day漏洞直接突破兩層網(wǎng)絡(luò)安全設(shè)備并植入持久化后門；通過獲取內(nèi)部網(wǎng)絡(luò)拓?fù)洹?登錄憑證來確定下一步攻擊目標(biāo)；以“永恒”系列 0Day漏洞突破內(nèi)網(wǎng) Mgmt（管理服務(wù)器） 、SAA業(yè)務(wù)服務(wù) 器和應(yīng)用服務(wù)器，以多個(gè)內(nèi)核級(jí)（Rootkit）植入裝備向服務(wù)器系統(tǒng)植入后門；通過具有復(fù)雜指令體系和控制功能的平臺(tái)對(duì)其進(jìn)行遠(yuǎn)程控制，在SAA業(yè)務(wù)服務(wù)器上執(zhí)行SQL腳本來竊取多個(gè)目標(biāo)數(shù)據(jù)庫服務(wù)器中的關(guān)鍵數(shù)據(jù)信息。

　　JEEPFLEA_POWDER攻擊行動(dòng)是主要針對(duì)EastNets 在拉美和加勒比地區(qū)的合作伙伴 BCG （Business Computer Group），但此次行動(dòng)并未成功。

　　12、Sauron（索倫之眼）

　　【組織概述】

　　Sauron 被認(rèn)為是與美國情報(bào)機(jī)構(gòu)有關(guān)的組織，長(zhǎng)期對(duì)中國、俄羅斯等國進(jìn)行APT攻擊，至少在 2011年10月起就一直保持活躍。以中俄兩國的政府、科研機(jī)構(gòu)、 機(jī)場(chǎng)等為主要攻擊目標(biāo)。

　　Sauron使用惡意代碼的難度和隱蔽性都與 APT 方程式相似，且與病毒火焰“Flame”有相似之處，被視為NSA 旗下黑客組織，與“方程式”實(shí)力相當(dāng)。

　　【相關(guān)事件】

　　2016 年 8 月中旬，賽門鐵克和卡巴斯基實(shí)驗(yàn)室相繼發(fā)布報(bào)告稱，追蹤到名為 Sauron（Strider）的APT組織。賽門鐵克發(fā)現(xiàn)，自 2011 年起，Sauron憑借 Backdoor.Remsec 惡意代碼，攻擊了中國、比利時(shí)、俄羅斯和瑞典的七個(gè)組織，包括位于俄羅斯的多個(gè)組織和個(gè)人、中國的一家航空公司、瑞典一個(gè)未公開的組織及比利時(shí)國內(nèi)的一個(gè)大使館。后門 Remsec 可以用來竊取Windows的用戶信息，由 Lua 語言編寫，模塊化程度很高，不容易被發(fā)現(xiàn)。

　　目前，已知該組織攻擊過的目標(biāo)包括中國、俄羅斯、比利時(shí)、伊朗、瑞典、盧旺達(dá)等 30 多個(gè)國家，主要以竊取敏感信息為主要目的。主要針對(duì)國防部門、大使館、金融機(jī)構(gòu)、政府部門、電信公司以及科技研究中心等。

　　攻擊所涉及的國內(nèi)組織包括科研教育、軍事和基礎(chǔ)設(shè) 施領(lǐng)域，重點(diǎn)行業(yè)包括水利、海洋等行業(yè)。除了政府機(jī)構(gòu)與企業(yè)，他們還在公用網(wǎng)絡(luò)中各種開后門， 針對(duì)個(gè)人進(jìn)行鍵盤監(jiān)聽、竊取用戶憑證或密碼等個(gè)人 隱私信息。

　　結(jié)語

　　從2021年上半年發(fā)生的APT攻擊活動(dòng)可以看出，全球APT組織為達(dá)成攻擊目的，不惜花費(fèi)巨額資金和人力成本，比如，投入使用價(jià)值不菲的大量高價(jià)值0day漏洞等。

　　預(yù)計(jì)，APT組織在未來會(huì)繼續(xù)使用更耗費(fèi)資源且更先進(jìn)的技術(shù)進(jìn)行攻擊，其中0day漏洞或是更為復(fù)雜的木馬都將會(huì)頻繁出現(xiàn)。

　　此外，APT攻擊組織持續(xù)改進(jìn)武器庫，整體的威脅活躍水平保持相當(dāng)高的頻度，如毒云藤、蔓靈花、 海蓮花等國家級(jí)攻擊組織，持續(xù)針對(duì)我國境內(nèi)開展攻擊活動(dòng)。尤其是隨著地緣政治緊張加劇，未來可能會(huì)出現(xiàn)更多利用APT組織刺探和竊取情報(bào)的攻擊行動(dòng)。對(duì)于APT組織威脅，絕不能放松警惕

　　關(guān)于作者

　　奇安信集團(tuán)紅雨滴團(tuán)隊(duì)（RedDrip Team，@RedDrip7），依托全球領(lǐng)先的安全大數(shù)據(jù)能力、多維度多來源的安全數(shù)據(jù)和專業(yè)分析師的豐富經(jīng)驗(yàn)，自2015年持續(xù)發(fā)現(xiàn)多個(gè)包括海蓮花在內(nèi)的APT組織在中國境內(nèi)的長(zhǎng)期活動(dòng)，并發(fā)布國內(nèi)首個(gè)組織層面的APT事件揭露報(bào)告，開創(chuàng)了國內(nèi)APT攻擊類高級(jí)威脅體系化揭露的先河。截至目前，持續(xù)跟蹤分析的主要APT團(tuán)伙超過47個(gè)，獨(dú)立發(fā)現(xiàn)APT組織14個(gè)，持續(xù)發(fā)布APT組織的跟蹤報(bào)告超過90篇，定期輸出半年和全年全球APT活動(dòng)綜合性分析報(bào)告。