APT是一種針對性、隱蔽性、持續性極強的網(wǎng)絡(luò )攻擊行為，其攻擊目標為政府、大學(xué)、醫療、企業(yè)、科研等信息基礎設施運維單位等重要組織機構。

　　目前已發(fā)現的絕大多數APT組織都具有國家或政府背景，相關(guān)攻擊行為通常由某個(gè)與特定國家政府關(guān)聯(lián)的實(shí)體機構具體實(shí)施。

　　過(guò)去數年，360公司持續跟蹤美國APT組織及其活動(dòng)情況，發(fā)現美國頂尖APT組織對全球各國的政府機構、重要組織和信息基礎設施實(shí)施了復雜、精密、持續性的APT攻擊行動(dòng)。本次針對美國代表性APT組織編制《美相關(guān)APT組織分析報告》，針對美國代表性APT組織架構、攻擊武器、實(shí)施過(guò)程展開(kāi)分析，全面印證美國APT組織憑借高度自動(dòng)化、工程化的先進(jìn)網(wǎng)絡(luò )武器裝備發(fā)起無(wú)差別網(wǎng)絡(luò )攻擊，給全球帶來(lái)無(wú)窮的安全隱憂(yōu)。

　　一、APT-C-16（索倫之眼）

　　索倫之眼（Project Sauron）組織，又名Strider、Sauron、APT-C-16、神行客，最早活躍于2011年，并一直活躍至2016年8月。其不僅是一個(gè)頂級黑客組織，而是一個(gè)擁有精密技術(shù)的頂級間諜模型平臺。

　　該組織攻擊過(guò)的目標包括中國、俄羅斯、比利時(shí)、伊朗、瑞典、盧旺達等 30 多個(gè)國家，以竊取敏感信息為主要目的。受該組織攻擊的機構包括國防部門(mén)、大使館、金融機構、政府部門(mén)、電信公司、軍事和基礎設施領(lǐng)域以及科技研究中心等。

　　其攻擊武器是一款名為Remsec的遠程控制軟件，能夠在受感染計算機上打開(kāi)后門(mén)，記錄用戶(hù)點(diǎn)擊的按鍵，并盜取相關(guān)文件主要用來(lái)暗中監視和控制目標。Remsec在攻擊方式、攻擊效果和攻擊隱蔽性等方面具有領(lǐng)先能力。

　　二、APT-C-39（CIA）

　　美國中央情報局（Central Intelligence Agency，簡(jiǎn)稱(chēng) CIA）是美國聯(lián)邦政府主要情報機構之一，下設情報處（DI）、秘密行動(dòng)處（NCS）、科技處（DS&T）、支援處（DS）四個(gè)部門(mén)。長(cháng)期以來(lái)，CIA在世界各地秘密實(shí)施“和平演變”和“顏色革命”，持續進(jìn)行間諜竊密活動(dòng)。

　　CIA 網(wǎng)絡(luò )武器使用了極其嚴格的間諜技術(shù)規范，各種攻擊手法前后呼應、環(huán)環(huán)相扣，現已覆蓋全球幾乎所有互聯(lián)網(wǎng)和物聯(lián)網(wǎng)資產(chǎn)，可以隨時(shí)隨地控制別國網(wǎng)絡(luò )，盜取別國重要、敏感數據。

　　Vault7（穹窿7）黑客工具是CIA從事網(wǎng)絡(luò )戰的重要武器，能夠結合多種計算機病毒、惡意軟件、木馬程序，對蘋(píng)果、安卓手機系統、Windows 電腦操作系統進(jìn)行攻擊。

　　CIA還使用了Fluxwire（磁通線(xiàn)）后門(mén)程序平臺、Athena（雅典娜）程序、Grasshopper（蚱蜢）后門(mén)程序、AfterMidnight（午夜之后）后門(mén)程序、ChimayRed（智美紅帽）漏洞利用工具、HIVE（蜂巢）網(wǎng)絡(luò )攻擊平臺等攻擊武器。

　　三、APT-C-40（NSA）

　　美國國家安全局（NSA）是完全隸屬于美國軍方的組織，專(zhuān)注于電子情報和網(wǎng)絡(luò )戰，下屬包括16個(gè)單位。

　　NSA針對中國各行業(yè)龍頭企業(yè)，政府、大學(xué)、醫療機構、科研機構，甚至關(guān)乎國計民生的重要信息基礎設施運維單位等機構實(shí)施了長(cháng)達十余年時(shí)間的秘密黑客攻擊活動(dòng)，竊取了海量重要數據，造成的潛在威脅難以評估。

　　NSA組織架構

　　NSA 的實(shí)戰化網(wǎng)絡(luò )攻擊武器體系極其復雜，在攻擊過(guò)程中會(huì )植入的不同階段會(huì )針對特定目標植入不同和類(lèi)型的后門(mén)木馬程序。

　　NSA 針對全球發(fā)起網(wǎng)絡(luò )攻擊事件中使用的武器類(lèi)別主要分為五大類(lèi)，分別是：漏洞攻擊突破類(lèi)武器，如“剃須刀”、“孤島”、“酸狐貍”武器平臺、Validator驗證器等；持久化控制類(lèi)武器，如“二次約會(huì )”、“NOPEN”木馬、“怒火噴射”、“狡詐異端犯”、“堅忍外科醫生”等；嗅探竊密類(lèi)武器，如“飲茶”、“敵后行動(dòng)”系列武器等；隱蔽消痕類(lèi)武器，如“吐司面包”等；以及攻擊平臺類(lèi)武器，如Quantum（量子）攻擊系統。

　　四、總結

　　通過(guò)對美代表性APT組織分析，我們發(fā)現：美國APT組織網(wǎng)絡(luò )武器攻擊已完全實(shí)現了工程化、自動(dòng)化；為實(shí)施并制勝網(wǎng)絡(luò )戰，美國政府充分利用一切先進(jìn)技術(shù)和網(wǎng)絡(luò )資源；美國 APT 組織的網(wǎng)絡(luò )攻擊屬于無(wú)差別攻擊，目標是全球范圍，甚至包括美國盟友；美國的網(wǎng)絡(luò )戰戰略，或不僅限于網(wǎng)絡(luò )竊密。

　　來(lái)源：“國際安全智庫”微信公眾號