起底全球APT组织

本期关键词：APT组织 命名规则 网络攻击

魔幻熊、灰熊大草原、蜥蜴小组、拉撒路、洋葱狗……这些听起来或魔幻或神秘甚至带点可爱的名字，都是网络安全研究人员给全球的主要APT（Advanced Persistent Threats）组织起的名字。这些组织的奇幻的名字究竟是如何命名的，遵循了哪些规律？全球有多少APT组织？如果对APT组织武力值进行排行，到底哪家最强？美国的APT组织有哪些？以下将为您一一道来。

图片来源于网络

一、APT组织的命名

APT组织的发现与命名，是APT研究工作的重要组成部分。从世界范围内来看，APT组织的命名虽然并没有统一的规则或规范，但相关机构在命名过程中一般会遵循如下原则：

首报原则，谁先发现，谁命名；APT组织攻击方式或CC服务器的特点；以及APT攻击组织可能的政治及地缘背景猜测等等。

以海莲花、美人鱼、人面狮、摩诃草、蔓灵花等多个由360命名的APT组织为例，其中海莲花APT组织的“莲花”二字就是表现了该组织的地缘及文化特征，“海”则主要表现了该组织以海洋领域为主要攻击目标的活动特征。同属此类还有摩诃草等等

图片来源于网络

尽管“谁先发现，谁命名”是APT组织命名的一般准则，但各研究机构为强调自己对相关APT组织研究的独立性，都会尽可能对新发现的APT组织给出自己的独家命名，即便可能已经有多家其他研究机构对该APT组织给出了不同的命名。比如，率先披露索伦之眼APT组织的是美国安全公司赛门铁克，该公司给该组织的命名是Strider。赛门铁克发布报告后不到24小时，俄罗斯安全公司卡巴斯基就发布了两份合计长达60页的报告，并将该APT组织命名为Project Sauron，而且这个命名得到了更为广泛的认可和传播。尽管首先披露索伦之眼APT组织的是赛门铁克，但显然卡巴斯基对于该组织的截获，是独立于赛门铁克的相关研究的。不过，一旦某个机构给出的APT组织命名已经得到了绝大多数研究者的认可，则其他研究者也就很少再为该组织进行新的命名了。独立发现与率先披露也是不同的。受各种客观因素的影响，所有APT研究机构都不会把自己截获的全部APT组织对外披露。一个APT组织究竟是由哪个研究机构率先披露的，往往存在一定的偶然性。

下面我们介绍一下美国老牌网安企业---火眼公司、网安全球市值一哥---crowdstrike公司、俄罗斯网安一哥卡巴斯基、中国网安大厂360是如何为APT组织命名的。

Mandiant（原火眼公司）

Mandiant可能是最早进行APT组织命名的网络安全大厂，APT n是Mandiant对据信隶属于某个民族国家的攻击组织的命名法。这种命名法的优势在于其清晰性：它能立即告诉我们，这个组织被认为是隶属于某个国家的；其弱点在于它没有告诉我们其他任何事情，我们不知道该组织涉及哪个民族国家。随着时间的推移，Mandiant的命名中添加了其他前缀：UNC、TEMP 和 FIN。UNC主要是未分类活动集群的内部名称；TEMP是某个集群的临时名称，该集群已经具备了某些特征；FIN是具有财务动机的公开命名的威胁组织的前缀。

图片来源于网络

CrowdStrike

CrowdStrike是全球市值最高的网络安全厂商，该公司也有其独到的APT组织命名方法，它的命名既意味深长又能提供更多信息，尤其喜欢使用具有地理特征的动物来命名。比如熊是俄罗斯，千里马是朝鲜，小猫是伊朗，水牛是越南，老虎是印度，猎豹是巴基斯坦，而蜘蛛一般代表犯罪集团。

卡巴斯基

卡巴斯基没有正式的命名规则，通常由从事这项工作的研究人员决定给APT组织起什么名字。但卡巴斯基通常不做直接归因，将攻击者称为活动集群，并规定命名不得暗示任何特定攻击者或由政府支持的攻击团队的归属。

360公司

360对APT组织及其行动的命名大致可分为三个系列：

一是幻兽系。主要用来命名攻击境外目标的境外APT组织，通常使用各种传说中的或者是虚拟的动物形象来命名，同时结合了地缘及领域特征。如美人鱼、人面狮等。

二是魔株系。主要用来命名攻击境内目标的境外组织，通常使用各种传说中的或者是虚拟的植物形象来命名，同时结合了地缘及领域特征。如上文提及的海莲花、摩诃草、蔓灵花等。

三是超人系。主要用来命名攻击境内目标的境内组织，主要使用各种虚拟的，具有超能力的人体部位来命名，同时结合了地缘及领域特征。

二、究竟有多少APT组织

随着网络空间成为国家间竞争博弈的新战场，网络攻击窃密逐渐成为部分国家和地区实现其目标的利器。有道是常在河边走一定会湿鞋，越来越多的APT组织被安全厂商起底曝光。

目前全球已知的APT组织大约有300多个， 2020年7月，泰国CERT发布了威胁组织与黑产组织百科全书---《威胁行为者的百科全书》，全文435页，收录了迄今为止各大网络安全厂商发现的近300个APT组织以及网络犯罪组织。

三、全球APT组织哪家强

美国网络安全公司Crowdstrike根据“突破时间”这项指标对APT组织进行了排名,并于2019年2月发布了相关统计数据：第一名是俄罗斯，第二名是朝鲜，第三名是中国......当然，由于是美国安全公司总结出的排名，所以该排名并未包括美国。

“突破时间”是指一个黑客团队从获得对受害者计算机的初始访问权限到通过其网络横向移动所花费的时间。这包括攻击者扫描本地网络和部署漏洞利用的套件以升级其对附近其他计算机的访问权限的时间。“突破时间”指标对于防守方来说至关重要。因为他们必须在突破时间之内检测出感染情况、隔离失陷主机，这样才能避免由一个简单的入侵转变为对整个网络的侵害。

根据2018年针对APT组织开展调查收集的数据，CrowdStrike认为，俄罗斯黑客是最高产和最有效率的黑客组织，平均突破时间为18分49秒。其他国家黑客组织的数据为：朝鲜APT组织千里马（Chollimas）为2小时20分钟，伊朗APT组织小猫（Kittens）为5小时9分钟，网络犯罪团伙蜘蛛（Spiders）大约需要9小时42分钟。

按突破时间排名是一种评估主要威胁组织能力水平的有趣方式，但突破时间肯定不是判断复杂程度的唯一指标。APT组织能力参差不齐，真正能称为“顶级”的APT组织少之又少。那么“顶级”APT组织具备哪些能力呢？安全厂商卡巴斯基给出了一些主要特征：零日漏洞的利用；未知或从未确定的感染媒介；已入侵了多个国家的多个政府组织；已成功窃取信息多年才被发现；具备从气隙网络中窃取数据的能力；具有支持多种协议的多个隐蔽渗漏通道；只存在于内存中而不触及磁盘的恶意软件模块；不寻常的持久化技术，有时使用未记录的操作系统功能；

根据卡巴斯基的标准，美国和俄罗斯团队无疑稳坐APT攻击领域的头把交椅。但美俄两国APT组织的特点也并不一样，甚至在某些地方截然相反。

首先是美国，美国APT组织的三个突出特征就是技术牛，武器多，还低调。目前业界公认为是王中王级别的两个APT组织---方程式（Equation）和索伦之眼，其背后都被普遍认为有NSA（美国国家安全局）的影子。引起2017年WannaVry灾难的永恒之蓝漏洞利用工具，仅仅是影子经纪人泄露的方程式组织武器库中的一件武器而已。但永恒之蓝曾经被用于攻击什么目标，至今全球都没有明确的结论。索伦之眼组织（APT-C-16），又名Sauron、Strider。该组织主要针对中国、俄罗斯等多个国家进行网络间谍活动，其中以窃取敏感信息为主。相关的攻击活动最早可以追溯到2010年，至今仍然非常活跃。该组织的整个攻击过程高度隐蔽，且针对性极强，对特定目标采用定制的恶意程序或通信设施，不会重复使用相关攻击资源。相关恶意代码复杂度可以与方程式媲美，其综合能力更不弱于其他知名APT组织。

图片来源于网络

与之相反，俄罗斯的APT组织就有很多高调而大手笔的作为了，而且往往政治目的非常明显。其攻击注重实效，不出手则已，一出手甚至可以改变世界格局。

此处不得不提的就是2014年被发现的APT28威胁组织花式熊（Fancy Bear）了，目前普遍认为其背后的大佬是俄罗斯军事情报机构（GRU）。如果你对这个组织不那么熟悉，可以回想下直接改变世界历史走向的希拉里邮件门事件，APT28还曾帮助亲俄分裂分子追踪乌克兰部队，造成炮兵部队损失一半以上武器。

图片来源于网络

四、找出美国APT攻击关乎国家安危

对美国及其盟国的网络安全厂商来说，技术中立是要让位给“政治正确”的。披露俄罗斯、朝鲜、伊朗等国所谓的APT组织，对企业来说能够彰显公司所谓的技术实力，获取政府项目，实现企业上市和股价拉升；对美国政府来说，则是找到了抹黑中俄的打手和马前卒。

随着网络空间成为大国博弈的新战场，APT攻击已成为业界公认的后果严重又影响深远的高级网络威胁。中国也是APT攻击的主要受害国之一。依据国内网络威胁情报厂商天际友盟RedQueen平台2018年数据，北京、广州、台湾、香港地区是受APT攻击影响程度最深的重灾区。2020年，360公司捕获了美国中央情报局CIA攻击组织（APT-C-39）对我国进行的长达十一年的网络攻击渗透。在此期间，我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个部门均遭到不同程度的攻击。目前只有少数公司具备发现美国APT攻击的能力。发现和斩断以美国为首的APT组织攻击黑手，关乎国家安危，对我们来说至关重要。

（参考来源：卡巴斯基、Mandiant、360等网站相关内容）