2022年9月,我国西北工业大学遭受境外APT组织网络攻击,引发全网热议。据国家计算机病毒应急响应中心称,针对西北工业大学的网络攻击是由美国国家安全局(NSA)的特定入侵行动办公室(TAO)实施的。在针对该校的网络攻击中,NSA使用了40余种专属网络攻击武器,持续进行攻击窃密,窃取了该校关键网络设备配置、网管数据、运维数据等核心技术数据。其中,名为“银叉”的嗅探窃取网络武器是导致大量敏感数据被盗的最直接“罪魁祸首”之一。随着排查的逐步深入,技术团队还在西北工业大学以外的其他院校网络中发现了“银叉”攻击痕迹。很可能是TAO利用“银叉”对我国发动了大规模网络攻击。而这只是国家级APT组织针对他国政府、关键基础设施和重要企业发起网络攻击的一个缩影。国家级APT组织杀伤力极强近年来,随着地缘政治冲突和贸易摩擦的加剧,网络攻击作为一种低投入、高回报的入侵手段,不受时间和空间条件的限制,覆盖面广。网络可以成为网络攻击的目标,因此越来越多的国家级APT组织活跃起来。例如,美国是国家级APT组织建设和使用的代表性国家,多次通过后门、漏洞、工具等方式对其他国家和地区发动大规模网络攻击。每个国家级APT组织的目的都不一样。最常见的是利用网络攻击从事间谍活动、窃取机密数据或破坏其他国家的关键基础设施。伊朗对以色列的网络攻击大多是破坏性的,进一步加剧了双方之间的敌意。此外,还有不少针对虚拟购物比价,例如攻击加密购物比价平台获取收益。据国家互联网应急中心监测,2022年2月下旬以来,我国互联网持续遭受境外网络攻击。境外组织通过攻击控制中国境内的计算机,进而对俄罗斯、乌克兰、白俄罗斯等国进行网络攻击。经分析,这些攻击地址主要来自美国。仅纽约州就有10多个攻击地址,攻击流量峰值达到36Gbps。87%的攻击目标是俄罗斯,少量攻击地址来自德国、荷兰等国家。2021年10月,微软发布了第二个版本《数字化防护报告》。这篇《报告》是根据微软观察到的2020年7月到2021年6月的所有黑客活动数据制作的。《报告》指出俄罗斯是这一时期最活跃的国家级APT组织,占所有国家级APT组织的58%-其次是韩国,占23%,伊朗占11%。国家级网络攻击也是企业网络威胁的主要来源之一。根据调查数据,80%的受访者担心他们的组织会成为民族国家网络攻击的受害者,大多数人表示这种担忧在过去五年中逐渐增加。68%的企业高管认为他们的组织已做好应对网络攻击的准备,但现实情况是绝大多数企业无法抵御国家级APT组织的攻击,甚至无法检测到他们的攻击。自SolarWinds供应链安全事件爆发以来,企业再次看到了国家支持的网络攻击的恐怖。而那些发起攻击的国家级APT组织也已经在业界打出了名堂,包括美国NSA、拉撒路、曼铃花等。为了让读者更好地了解全球国家级APT组织的现状,全球知名的国家级APT组织是根据已经公开的信息,从杀伤力和活跃度两个维度统计的。为便于比较,评选出了全球前十的国家级APT组织排行榜。以下为名单具体内容:美国国家安全局(NSA)在我国开展了十余年的网络攻击活动,并将NSA及其附属机构命名为APT-C-40。众所周知,在网络攻击领域,美国可以说是一骑绝尘。其强大的攻击能力和大规模高危网络战武器库至今仍是个谜。即使在今天,安全公司监测到的各种武器和攻击也只是冰山一角。美国很可能拥有更多更高级别的工程化网络攻击平台,因此其网络攻击杀伤力为10%。.从现有资料来看,NSA此次攻击的目的多为窃取机密信息,如国防和军事机密数据、工业领域的前沿研究成果等,并在我国关键基础设施中植入后门。一旦爆发冲突,就会造成严重打击;长期对国家政府及重点部门进行持续监视和间谍活动。也正因如此,国安局经常花大量时间潜伏,打着“放长线钓大鱼”的思路,所以活跃度不高。NSA常用的网络攻击武器和工具主要有QUANTUM(量子)攻击系统、FOXACID(酸狐)0日漏洞攻击平台、Validator(验证者)后门、UNITEDRAKE(联合耙)后门系统等武器和平台.依托众多工程化和自动化的网络攻击武器系统,NSA的网络攻击目标遍布全球,从国家机密到个人隐私信息,几乎无所不包。这也符合美军的全球打击战略搭配。正如业界所言,美国是头号黑客帝国,不仅是因为其强大的网络攻击能力,更在于其攻击目标范围之广,让整个世界都处于网络攻击的威胁之下,无一例外。一个人可以单独对它免疫。2.APT29APT29是俄罗斯政府背景的国家级APT组织。其最早的活跃时间可以追溯到2008年,是一个持续活跃的APT组织。其主要目标是以美国为主的北约成员国以及乌克兰和格鲁吉亚。以哈萨克斯坦和阿塞拜疆为代表的中欧国家。2009年,APT29组织因Dukes工具集提前曝光而被曝光。此后,2019年的10多年时间里,在公开披露的APT29活动中都能看到Dukes工具集的使用,但随后的Dukes工具集已经扩展到包括复杂的武器库工具集,包括PolyglotDuke、RegDuke、MiniDuke、FatDuke、SeaDuke、和更多。2016年,2016年美国总统大选期间,APT29组织对美国民主党全国委员会发起网络攻击,以掩护间谍活动的实施。此次攻击从2015年夏天开始向目标渗透,最终随着美国大选的袭击,再次刷新了大家对网络攻击威力的认知。2020年7月,全球COVID-19疫情形势趋于紧张,一波利用WellMess\WellMail等攻击组件对全球COVID-19疫苗研发机构进行针对性攻击的浪潮被关联归因于APT29,而Solarwinds供应链攻击即同年12月曝光的还指向APT29,受害者覆盖欧美亚4700多家实体机构,破坏力惊人。3、中情局2021年7月19日,外交部发言人赵立坚在外交部例行记者会上提到了中情局下属的APT-C-39网络攻击组织。2017年,维基解密向全世界公开了来自美国中央情报局(CIA)网络情报中心的8716份文件,其中机密文件156份,涵盖了CIA黑客部队的攻击方式、目标和工具的技术规范和要求,从而揭开了美国中央情报局网络情报中心的秘密。CIA的神秘面纱,也向世人展示了CIA网络攻击的威力。2021年,赛门铁克发布报告称,此前16个国家的40多起网络攻击与维基解密获得的工具有关,而美国中央情报局对过去全球数十家组织的网络攻击负责。与NSA相比,CIA的攻击范围相对较小,主要集中在金融、电信、能源、航天、信息技术、教育、自然资源等领域。例如,针对我国的网络攻击多为航空组织、科研机构、石油行业、互联网公司和政府机构。在攻击思路上,与NSA一致。它是“长期钓大鱼”,长期潜伏在系统中,持续从事间谍活动,获取海量机密数据,因此其活跃度略低于NSA。中央情报局还拥有多种高度工程化的网络攻击武器和平台,其中最著名的是Vault7。据悉,Vault7是一款专为我国打造的网络攻击利器,内含多种工具和间谍软件。它号称是全球最大的网络间谍武器库,可实现对多台设备的超大范围监控。此外,还有臭名昭著的雅典娜(Athena),它可以提供远程信标和程序加载木马,以及卡巴斯基此前报道的高度复杂的兰伯特工具,并在一定程度上针对不同国家进行了定制。4.OceanLotusOceanLotus是一个具有东南亚背景的国家级APT组织。其攻击活动最早可追溯到2012年4月,在首次披露的攻击活动中,攻击目标包括中国海事机构、海事建设部门、科研院所、航运公司等。海莲花自公开以来一直活跃,活跃度在国家级APT组织中名列前茅,破坏力不容小觑。海莲花持续在我国发起针对性网络攻击,涉及政府部门、科研院所、国内高校和金融投资机构。此外,东南亚和欧洲也在海莲花的攻击范围内。此次攻击海莲花的目的不仅在于窃取国家机密信息,还不遗余力地获取商业情报。它在2019年发起了多次网络攻击,并窃取了丰田、现代和宝马等老牌汽车公司的敏感数据。2020年起,海莲花还将开展加密货币挖矿。例如,它袭击了法国和越南的政府部门并部署了挖矿计划。OceanLotus具有很高的社会工程技能,经常使用鱼叉攻击和水坑攻击。近年来,它还利用供应链攻击渗透高价值目标。其攻击武器涵盖多个平台。已知有针对Windows和MacOS系统的攻击工具。它被怀疑具有针对Android和Linux平台的恶意软件。该组织擅长结合公共商业或开源工具开展攻击活动,如CobaltStrike、Mimikatz。5.MahacaoMahacao(白象)是一个具有南亚背景的国家级APT组织。它已经活跃了8年多。它最早的活跃时间可以追溯到2009年11月,同样有着惊人的活跃度。Mahagrass攻击涵盖的范围非常广泛。除了我国和巴基斯坦等主要目标外,还包括以色列、孟加拉国、美国、英国、日本、韩国等国家,以及中东和东南亚地区,并针对政府、目标国家的军事和实力。、工业、外交和经济领域进行网络间谍活动并窃取敏感信息。Mahacao主要攻击Windows系统,同时也攻击Android和MacOS系统。在实施攻击的过程中,经常会利用大量漏洞,其中至少有一个零日漏洞,因此其破坏力也非常强。玛哈草攻击活动多以鱼叉邮件为开端,偶尔也会使用水坑攻击,结合社会工程技术,以热点问题为诱饵主题,伪装成目标国家和领域的相关人员,发起针对性攻击。近年来,玛哈草组织也被发现利用VBA宏文件、伪装图标PE等技术进行攻击。6.Lazarus拉撒路集团又称HIDDENCOBRA、和平卫士等,是东亚某国支持的最活跃的APT组织之一。它具有非常高的网络攻击能力,并得到国家情报部门的大力支持。早期,Lazarus多采用僵尸网络对目标进行DDos攻击;中后期主要攻击手段为鱼叉攻击、水坑攻击、供应链攻击等,同时针对不同人员采取针对性的社会工程攻击。与大多数国家级APT组织不同,Lazarus网络攻击的主要目的是获取大量资金,因此其攻击目标主要是银行、比特币交易所等金融机构和个人。它可以称为全球金融机构,尤其是加密货币平台。最可怕的敌人。其次,Lazarus还渗透航天、工程、科技、政府、媒体等机构和企业,以达到窃取重要信息、破坏勒索的目的。2009年以来,与LazarusAPT组织相关的网络攻击举报数量持续增加,尤其是2017年之后,Lazarus攻击的频率和强度都上了一个新的台阶,策划了许多著名的网络攻击,包括对波兰语的攻击和墨西哥银行、WannaCry病毒爆发以及针对美国承包商的鱼叉式网络钓鱼活动等。7.SandCat2018年,卡巴斯基首次发现了名为“SandCat”的APT组织,并确认其已存在一段时间。SandCat是乌兹别克斯坦支持的国家级APT组织。其发动网络攻击的主要目的是窃取机密信息并从事各种间谍活动。其目标主要集中在中东地区,包括但不限于沙特阿拉伯。SandCatAPT组织破坏力极强,几乎可以与美国的NSA和CIA媲美,而且该组织相当神秘,只有少数攻击被网络安全公司监控,所以表现出来的活跃度很低。SandCat长期使用FinFisher/FinSpy间谍软件和CHAINSHOT框架,非常擅长利用各种零日漏洞。例如,在之前针对中东和非洲的网络攻击中使用了高严重性的Windows零日攻击。在另一次已知的攻击中,利用了CVE-2018-8589和CVE-2018-8611Windows的两个零日漏洞。8.BITTER是一个具有南亚背景的国家级APT组织。其攻击活动最早可追溯到2013年,政治背景十分浓厚。2016年,国外安全厂商Forcepoint首次披露了该组织。满铃花的攻击目标主要是窃取机密数据,其攻击范围主要是我国和巴基斯坦,涉及政府部门、电力、军工相关单位。与海莲花一样,曼铃花一直很活跃,其活跃度在国家级APT组织中名列前茅。有趣的是,在多份报道中都指出,曼铃花组织与多个疑似南亚某国的攻击组织之间存在千丝万缕的痕迹,其中包括Patchwork、魔罗智、Donot等。万种关系。根据目前观察到的信息,曼铃花主要针对Windows和Android平台进行攻击,使用的数字武器包括ArtraDownloader、BitterRAT,同时也会结合商用或开源RAT,如AsyncRAT、WarzoneRAT等进行攻击,以及那么利用各种此类零日漏洞的破坏力不容小觑。9.TurlaTurla是一个具有俄语国家背景的APT组织,隶属于该国情报机构。它最早于2014年被卡巴斯基发现,其最早的活动甚至可以追溯到1996年。根据目前披露的信息,Turla是武器和使用方法最复杂的组织之一。拥有Carbon`ComRat·Karzuar等后门套件,不仅功能丰富、易于扩展,而且长期保持更新和版本迭代。Turla在业界享有很高的声誉。其发现的攻击涉及45个国家,主要针对外交部、政府机构、军事机构、科研机构等组织窃取重要信息,从事间谍活动。目前已知的受害者包括美国中央司令部、德国外交部和瑞士军工企业RUAG。它被认为是最活跃和最具破坏性的APT组织之一。2021年初,国外安全研究人员发现Turla开始将IronPython纳入自己的攻击武器。通过在受害计算机上安装IronPython,Turla组织的成员可以运行用python编写的恶意脚本,可以在python代码中直接调用.net平台的API,非常强大。Turla在历史攻击中使用的工具包括用于数据收集和shell执行的后门、具有远程控制和监控功能的组件以及开源工具。Turla使用各种难以追踪的后门和工具。它不仅拥有丰富的武器库,而且拥有大量的开发者,能够及时更新技术。10.Sidewinder2018年4月,卡巴斯基发布《APT趋势报告Q12018》报告,指出“Sidewinder”APT组织是常年活跃在南亚地区的国家级网络犯罪团伙。响尾蛇从2012年开始出现在人们的视野中,至今已有十年。它主要攻击巴基斯坦、中国、阿富汗、尼泊尔、孟加拉国等国家,旨在窃取政府外交机构、国防和军事部门以及高等教育机构的信息。具有强烈政治目的的机密信息。响尾蛇多次对我国发起网络攻击,基本上是利用Office远程代码执行漏洞(cve-2017-11882),以钓鱼攻击的形式投放诱饵,窃取机密信息,另一个Office逻辑漏洞(CVE-2017-0199)该组织的网络攻击中也经常使用。在近年针对巴基斯坦的攻击中,Sidewinder使用了新的LNK文件路径目标劫持攻击方式,通过电子邮件等方式传递伪造的快捷方式文件。一旦用户访问快捷方式属性中包含的链接,就会下载恶意软件,进而窃取计算机中的所有文件信息。与NSA和CIA精心设计的武器库相比,Sidewinder的作战设施相对温和,多以钓鱼攻击入手,诱骗用户点击钓鱼网站,获取账号密码等登录凭据。最终达到窃取机密数据的目的。国家级APT攻击的威胁势必加剧。当前,全球正处于数字化转型的关键时期。可以肯定的是,谁放弃数字化转型,谁就放弃了未来。然而,随着越来越多的资产和组织进行数字化转型,意味着社会的运行和人民的衣食住行都以网络、数据和软件为基础。这时候,网络攻击所展现的威力将是难以想象的。在国家和地区的大力支持下,全国APT组织的实力正在急剧上升。个别企业、政府部门、基础设施难以应对。加大对这些APT组织和网络攻击的投入。这是一个未解决的良性循环。此外,当其他国家和地区支持的APT组织在网络空间为所欲为时,也会刺激受攻击国家和地区发展官方APT组织。这不禁让人想起冷战时期美苏之间疯狂的军备竞赛。或许未来我们还会看到一场由国家级APT组织组织的“疯狂赛跑”。届时,APT攻击的威胁将笼罩全球,网络安全之路任重而道远。
