魔幻熊,、灰熊大草原,、蜥蜴小組、拉撒路,、洋蔥狗……這些聽起來(lái)或魔幻或神秘甚至帶點(diǎn)可愛的名字,，都是網(wǎng)絡(luò)安全研究人員給全球的主要APT（Advanced Persistent Threats）組織起的名字,。這些組織的奇幻的名字究竟是如何命名的，遵循了哪些規(guī)律,？全球有多少APT組織,？如果對(duì)APT組織武力值進(jìn)行排行,，到底哪家最強(qiáng),？美國(guó)的APT組織有哪些？以下將為您一一道來(lái),。

　　APT組織的命名

　　APT組織的發(fā)現(xiàn)與命名,，是APT研究工作的重要組成部分。從世界范圍內(nèi)來(lái)看,，APT組織的命名雖然并沒(méi)有統(tǒng)一的規(guī)則或規(guī)范,，但相關(guān)機(jī)構(gòu)在命名過(guò)程中一般會(huì)遵循如下原則：

　　首報(bào)原則，誰(shuí)先發(fā)現(xiàn),，誰(shuí)命名,；APT組織攻擊方式或CC服務(wù)器的特點(diǎn)；以及APT攻擊組織可能的政治及地緣背景猜測(cè)等等,。

　　以海蓮花,、美人魚、人面獅,、摩訶草,、蔓靈花等多個(gè)由360命名的APT組織為例，其中海蓮花APT組織的“蓮花”二字就是表現(xiàn)了該組織的地緣及文化特征,，“?！眲t主要表現(xiàn)了該組織以海洋領(lǐng)域?yàn)橹饕裟繕?biāo)的活動(dòng)特征。同屬此類還有摩訶草等等,。

　　盡管“誰(shuí)先發(fā)現(xiàn),，誰(shuí)命名”是APT組織命名的一般準(zhǔn)則，但各研究機(jī)構(gòu)為強(qiáng)調(diào)自己對(duì)相關(guān)APT組織研究的獨(dú)立性,，都會(huì)盡可能對(duì)新發(fā)現(xiàn)的APT組織給出自己的獨(dú)家命名,，即便可能已經(jīng)有多家其他研究機(jī)構(gòu)對(duì)該APT組織給出了不同的命名。比如,，率先披露索倫之眼APT組織的是美國(guó)安全公司賽門鐵克,，該公司給該組織的命名是Strider。賽門鐵克發(fā)布報(bào)告后不到24小時(shí),，俄羅斯安全公司卡巴斯基就發(fā)布了兩份合計(jì)長(zhǎng)達(dá)60頁(yè)的報(bào)告,，并將該APT組織命名為Project Sauron，而且這個(gè)命名得到了更為廣泛的認(rèn)可和傳播,。盡管首先披露索倫之眼APT組織的是賽門鐵克,，但顯然卡巴斯基對(duì)于該組織的截獲,，是獨(dú)立于賽門鐵克的相關(guān)研究的。不過(guò),，一旦某個(gè)機(jī)構(gòu)給出的APT組織命名已經(jīng)得到了絕大多數(shù)研究者的認(rèn)可,，則其他研究者也就很少再為該組織進(jìn)行新的命名了。獨(dú)立發(fā)現(xiàn)與率先披露也是不同的,。受各種客觀因素的影響,，所有APT研究機(jī)構(gòu)都不會(huì)把自己截獲的全部APT組織對(duì)外披露。一個(gè)APT組織究竟是由哪個(gè)研究機(jī)構(gòu)率先披露的,，往往存在一定的偶然性,。

　　下面我們介紹一下美國(guó)老牌網(wǎng)安企業(yè)---火眼公司、網(wǎng)安全球市值一哥---crowdstrike公司,、俄羅斯網(wǎng)安一哥卡巴斯基,、中國(guó)網(wǎng)安大廠360是如何為APT組織命名的。

　　火眼/Mandiant

　　Mandiant可能是最早進(jìn)行APT組織命名的網(wǎng)絡(luò)安全大廠,，APT n是Mandiant對(duì)據(jù)信隸屬于某個(gè)民族國(guó)家的攻擊組織的命名法,。這種命名法的優(yōu)勢(shì)在于其清晰性：它能立即告訴我們，這個(gè)組織被認(rèn)為是隸屬于某個(gè)國(guó)家的,；其弱點(diǎn)在于它沒(méi)有告訴我們其他任何事情,，我們不知道該組織涉及哪個(gè)民族國(guó)家。隨著時(shí)間的推移,，Mandiant的命名中添加了其他前綴：UNC,、TEMP 和 FIN。UNC主要是未分類活動(dòng)集群的內(nèi)部名稱,；TEMP是某個(gè)集群的臨時(shí)名稱,，該集群已經(jīng)具備了某些特征；FIN是具有財(cái)務(wù)動(dòng)機(jī)的公開命名的威脅組織的前綴,。

　　CrowdStrike

　　CrowdStrike是全球市值最高的網(wǎng)絡(luò)安全廠商,，該公司也有其獨(dú)到的APT組織命名方法，它的命名既意味深長(zhǎng)又能提供更多信息,，尤其喜歡使用具有地理特征的動(dòng)物來(lái)命名,。比如熊是俄羅斯，千里馬是朝鮮,，小貓是伊朗,，水牛是越南，老虎是印度,，獵豹是巴基斯坦,，而蜘蛛一般代表犯罪集團(tuán)。

　　卡巴斯基

　　卡巴斯基沒(méi)有正式的命名規(guī)則,，通常由從事這項(xiàng)工作的研究人員決定給APT組織起什么名字,。但卡巴斯基通常不做直接歸因,，將攻擊者稱為活動(dòng)集群，并規(guī)定命名不得暗示任何特定攻擊者或由政府支持的攻擊團(tuán)隊(duì)的歸屬,。

　　360公司

　　360對(duì)APT組織及其行動(dòng)的命名大致可分為三個(gè)系列：

　　一是幻獸系,。主要用來(lái)命名攻擊境外目標(biāo)的境外APT組織，通常使用各種傳說(shuō)中的或者是虛擬的動(dòng)物形象來(lái)命名,，同時(shí)結(jié)合了地緣及領(lǐng)域特征,。如美人魚、人面獅等,。

　　二是魔株系,。主要用來(lái)命名攻擊境內(nèi)目標(biāo)的境外組織,，通常使用各種傳說(shuō)中的或者是虛擬的植物形象來(lái)命名,，同時(shí)結(jié)合了地緣及領(lǐng)域特征。如上文提及的海蓮花,、摩訶草,、蔓靈花等。

　　三是超人系,。主要用來(lái)命名攻擊境內(nèi)目標(biāo)的境內(nèi)組織,，主要使用各種虛擬的，具有超能力的人體部位來(lái)命名,，同時(shí)結(jié)合了地緣及領(lǐng)域特征,。

　　究竟有多少APT組織

　　隨著網(wǎng)絡(luò)空間成為國(guó)家間競(jìng)爭(zhēng)博弈的新戰(zhàn)場(chǎng)，網(wǎng)絡(luò)攻擊竊密逐漸成為部分國(guó)家和地區(qū)實(shí)現(xiàn)其目標(biāo)的利器,。有道是常在河邊走一定會(huì)濕鞋,，越來(lái)越多的APT組織被安全廠商起底曝光。

　　目前全球已知的APT組織大約有300多個(gè),， 2020年7月,，泰國(guó)CERT發(fā)布了威脅組織與黑產(chǎn)組織百科全書---《威脅行為者的百科全書》，全文435頁(yè),，收錄了迄今為止各大網(wǎng)絡(luò)安全廠商發(fā)現(xiàn)的近300個(gè)APT組織以及網(wǎng)絡(luò)犯罪組織,。

　　全球APT組織哪家強(qiáng)

　　美國(guó)網(wǎng)絡(luò)安全公司Crowdstrike根據(jù)“突破時(shí)間”這項(xiàng)指標(biāo)對(duì)APT組織進(jìn)行了排名，并于2019年2月發(fā)布了相關(guān)統(tǒng)計(jì)數(shù)據(jù)：第一名是俄羅斯,，第二名是朝鮮,，第三名是中國(guó)……當(dāng)然，由于是美國(guó)安全公司總結(jié)出的排名,，所以該排名并未包括美國(guó),。

　　“突破時(shí)間”是指一個(gè)黑客團(tuán)隊(duì)從獲得對(duì)受害者計(jì)算機(jī)的初始訪問(wèn)權(quán)限到通過(guò)其網(wǎng)絡(luò)橫向移動(dòng)所花費(fèi)的時(shí)間。這包括攻擊者掃描本地網(wǎng)絡(luò)和部署漏洞利用的套件以升級(jí)其對(duì)附近其他計(jì)算機(jī)的訪問(wèn)權(quán)限的時(shí)間,?！巴黄茣r(shí)間”指標(biāo)對(duì)于防守方來(lái)說(shuō)至關(guān)重要,。因?yàn)樗麄儽仨氃谕黄茣r(shí)間之內(nèi)檢測(cè)出感染情況、隔離失陷主機(jī),，這樣才能避免由一個(gè)簡(jiǎn)單的入侵轉(zhuǎn)變?yōu)閷?duì)整個(gè)網(wǎng)絡(luò)的侵害,。

　　根據(jù)2018年針對(duì)APT組織開展調(diào)查收集的數(shù)據(jù)，CrowdStrike認(rèn)為,，俄羅斯黑客是最高產(chǎn)和最有效率的黑客組織,，平均突破時(shí)間為18分49秒。其他國(guó)家黑客組織的數(shù)據(jù)為：朝鮮APT組織千里馬（Chollimas）為2小時(shí)20分鐘,，伊朗APT組織小貓（Kittens）為5小時(shí)9分鐘,，網(wǎng)絡(luò)犯罪團(tuán)伙蜘蛛（Spiders）大約需要9小時(shí)42分鐘。

　　按突破時(shí)間排名是一種評(píng)估主要威脅組織能力水平的有趣方式,，但突破時(shí)間肯定不是判斷復(fù)雜程度的唯一指標(biāo),。APT組織能力參差不齊，真正能稱為“頂級(jí)”的APT組織少之又少,。那么“頂級(jí)”APT組織具備哪些能力呢,？安全廠商卡巴斯基給出了一些主要特征：零日漏洞的利用；未知或從未確定的感染媒介,；已入侵了多個(gè)國(guó)家的多個(gè)政府組織,；已成功竊取信息多年才被發(fā)現(xiàn)；具備從氣隙網(wǎng)絡(luò)中竊取數(shù)據(jù)的能力,；具有支持多種協(xié)議的多個(gè)隱蔽滲漏通道,；只存在于內(nèi)存中而不觸及磁盤的惡意軟件模塊；不尋常的持久化技術(shù),，有時(shí)使用未記錄的操作系統(tǒng)功能,；

　　根據(jù)卡巴斯基的標(biāo)準(zhǔn)，美國(guó)和俄羅斯團(tuán)隊(duì)無(wú)疑穩(wěn)坐APT攻擊領(lǐng)域的頭把交椅,。但美俄兩國(guó)APT組織的特點(diǎn)也并不一樣,，甚至在某些地方截然相反。

　　首先是美國(guó),，美國(guó)APT組織的三個(gè)突出特征就是技術(shù)牛,，武器多，還低調(diào),。目前業(yè)界公認(rèn)為是王中王級(jí)別的兩個(gè)APT組織---方程式（Equation）和索倫之眼,，其背后都被普遍認(rèn)為有NSA（美國(guó)國(guó)家安全局）的影子。引起2017年WannaCry災(zāi)難的永恒之藍(lán)漏洞利用工具,，僅僅是影子經(jīng)紀(jì)人泄露的方程式組織武器庫(kù)中的一件武器而已,。但永恒之藍(lán)曾經(jīng)被用于攻擊什么目標(biāo)，至今全球都沒(méi)有明確的結(jié)論,。索倫之眼組織（APT-C-16）,，又名Sauron,、Strider。該組織主要針對(duì)中國(guó),、俄羅斯等多個(gè)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),，其中以竊取敏感信息為主。相關(guān)的攻擊活動(dòng)最早可以追溯到2010年,，至今仍然非?；钴S。該組織的整個(gè)攻擊過(guò)程高度隱蔽,，且針對(duì)性極強(qiáng),，對(duì)特定目標(biāo)采用定制的惡意程序或通信設(shè)施，不會(huì)重復(fù)使用相關(guān)攻擊資源,。相關(guān)惡意代碼復(fù)雜度可以與方程式媲美,，其綜合能力更不弱于其他知名APT組織。

　　與之相反,，俄羅斯的APT組織就有很多高調(diào)而大手筆的作為了,，而且往往政治目的非常明顯,。其攻擊注重實(shí)效,，不出手則已，一出手甚至可以改變世界格局,。

　　此處不得不提的就是2014年被發(fā)現(xiàn)的APT28威脅組織花式熊（Fancy Bear）了,，目前普遍認(rèn)為其背后的大佬是俄羅斯軍事情報(bào)機(jī)構(gòu)（GRU）。如果你對(duì)這個(gè)組織不那么熟悉,，可以回想下直接改變世界歷史走向的希拉里郵件門事件,，APT28還曾幫助親俄分裂分子追蹤烏克蘭部隊(duì)，造成炮兵部隊(duì)損失一半以上武器,。

　　找出美國(guó)APT攻擊關(guān)乎國(guó)家安危

　　對(duì)美國(guó)及其盟國(guó)的網(wǎng)絡(luò)安全廠商來(lái)說(shuō),，技術(shù)中立是要讓位給“政治正確”的。無(wú)論是披露俄羅斯,、朝鮮,、伊朗等國(guó)所謂的APT組織，還是在網(wǎng)絡(luò)空間充當(dāng)美國(guó)政府的蒙面打手和馬前卒,，對(duì)這些廠商來(lái)說(shuō)既能夠彰顯自身所謂的技術(shù)實(shí)力,，又能獲得政府項(xiàng)目，得到公司上市和股價(jià)拉升等好處,。對(duì)于美國(guó)政府來(lái)說(shuō),，手里則多了能指哪兒打哪兒、來(lái)無(wú)影去無(wú)蹤的有力暗器,。

　　隨著網(wǎng)絡(luò)空間成為大國(guó)博弈的新戰(zhàn)場(chǎng),，APT攻擊已成為業(yè)界公認(rèn)的后果嚴(yán)重又影響深遠(yuǎn)的高級(jí)網(wǎng)絡(luò)威脅,。中國(guó)也是APT攻擊的主要受害國(guó)之一。依據(jù)國(guó)內(nèi)網(wǎng)絡(luò)威脅情報(bào)廠商天際友盟RedQueen平臺(tái)2018年數(shù)據(jù),，北京,、廣州、臺(tái)灣,、香港地區(qū)是受APT攻擊影響程度最深的重災(zāi)區(qū),。2020年，360公司捕獲了美國(guó)中央情報(bào)局CIA攻擊組織（APT-C-39）對(duì)我國(guó)進(jìn)行的長(zhǎng)達(dá)十一年的網(wǎng)絡(luò)攻擊滲透,。在此期間,，我國(guó)航空航天、科研機(jī)構(gòu),、石油行業(yè),、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個(gè)部門均遭到不同程度的攻擊。目前只有少數(shù)公司具備發(fā)現(xiàn)美國(guó)APT攻擊的能力,。發(fā)現(xiàn)和斬?cái)嘁悦绹?guó)為首的APT組織攻擊黑手,，關(guān)乎國(guó)家安危，對(duì)我們來(lái)說(shuō)至關(guān)重要,。