2022年9月,我国西北工业大学遭受境外APT组织网络攻击,引起全网的热议。据国家计算机病毒应急处理中心披露,西北工业大学遭网络攻击事件系美国国家安全局(NSA)特定入侵行动办公室(TAO)所为。
在针对该校的网络攻击中,NSA使用了40余种专属网络攻击武器,持续开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。其中,名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。
随着调查的逐步深入,技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹,很可能是TAO利用“饮茶”对我国发动大规模的网络攻击活动。
而这仅仅是国家级APT组织针对他国政府、关键基础设施、重要企业发起网络攻击的一个缩影。
国家级APT组织杀伤力极大
近年来,随着地缘冲突和贸易摩擦不断加剧,网络攻击作为一种低投入高回报的入侵手段,不受时间、空间的条件限制,所有网络覆盖的区域都可成为网络攻击的目标,因此越来越多的国家级APT组织处于活跃状态。例如美国就是建设和运用国家级APT组织的代表国家,多次通过后门、漏洞、工具等对他国地区广泛发起网络攻击。
每个国家级APT组织的目的都不尽相同,最常见的是利用网络攻击从事间谍活动,或窃取机密数据,或破坏他国关键基础设施等。而伊朗针对以色列的网络攻击多是破坏性行为,也让双方之间的仇恨进一步紧张。此外还有不少是针对虚拟货币,如对加密货比平台进行攻击获取收益。
据国家互联网应急中心监测发现,自2022年2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,攻击流量峰值达36Gbps,87%的攻击目标是俄罗斯,也有少量攻击地址来自德国、荷兰等国家。
2021年10月,微软发布了第二版《数字化防护报告》。该《报告》根据微软从2020年7月到2021年6月间观察到的所有黑客行动数据进行制作。《报告》指出,这段时间内国家级APT组织最为活跃的是俄罗斯,占所有国家级攻击的58%,第二是韩国占23%,伊朗占11%。
国家级网络攻击也是企业网络威胁的主要来源之一。调查数据显示,80%的受访者担心他们的组织会成为民族国家网络攻击的受害者,大多数人表示这种担忧在过去五年中逐渐有所增加。68%的企业高管认为他们的组织做好了应对网络攻击的准备,但实际情况是,绝大多数企业无法抵御国家级APT组织的攻击,甚至是无法发现他们的攻击行为。
自SolarWinds供应链安全事件爆发以来,让企业再一次看到了有国家支持的网络攻击的可怕之处。而那些发动攻击的国家级APT组织也在业界打响了名声,其中包括美国NSA、Lazarus、蔓灵花等。
全球十大国家级APT组织排行榜
为了让读者更好地了解全球国家级APT组织的现状,FreeBuf根据现在已经公开的信息,从杀伤力、活跃度两个维度,对全球知名国家级APT组织进行盘点和对比,遴选出全球十大国家级APT组织排行榜,以下是榜单具体内容:
以下是全球十大国家级APT组织具体信息:
1、NSA
2022年,奇安信和360 共同报告了美国国家安全局(NSA)在我国发起的长达十余年的网络攻击活动,并将NSA及其关联机构命名为APT-C-40。众所周知,美国在网络攻击领域可谓一骑绝尘,其强大的攻击实力和大规模高危网络作战武器库至今仍然是个谜。即便在今天被安全公司所监测的到多种武器和攻击行为,也不过是冰山一角而已,美国很有可能掌握着更多更高程度的工程化网络攻击平台,故而其网络攻击杀伤力为10。
从现有的资料来看,NSA的攻击目的多为窃取机密信息,例如国防军工机密数据、工业领域先进研究成果等,在我国关键基础设施中植入后门,一旦爆发冲突即可造成严重打击;长期对国家政府及要害部门进行持续监视与间谍活动等。也正因为如此,NSA常常会花大量的时间进行潜伏,走的是“放长线钓大鱼”的思路,故而其表现出的活跃度并没有那么高。
NSA常用的网络攻击武器和工具主要是以QUANTUM(量子)攻击系统、FOXACID(酸狐狸)0Day漏洞攻击平台、Validator(验证器)后门、UNITEDRAKE(联合耙)后门系统等武器和平台为主。
凭借着诸多工程化、自动化的网络攻击武器体系,NSA的网络攻击目标遍布全球,其范围大至国家机密,小至个人隐私信息,几乎无所不包,这也和美国军方的全球打击战略相符合。正如业界所说,美国是头号黑客帝国,不仅仅是因为其强大的网络攻击实力,更是因为其庞大的攻击目标范围,也让全球都处于网络攻击的威胁之下,没有谁可以独善其身。
2、APT29
APT29是一个具有俄罗斯政府背景的国家级APT 组织,其最早活跃时间可以追溯至2008年,是一个持续活跃的APT组织,主要攻击目标是以美国为主的北约成员国和以乌克兰、格鲁吉亚、哈萨克斯坦、阿塞拜疆为代表的欧洲中部国家。
2009年因为Dukes早期工具集曝光,APT29组织被曝光,自此至2019年10余年时间内,公开披露的APT29活动中均可看到Dukes工具集的使用,只是后续的Dukes工具集已经扩充成包含PolyglotDuke、RegDuke、MiniDuke、FatDuke、SeaDuke等在内的复杂武器库工具集。
2016年,APT29组织在2016年美国总统大选期间,针对美国民主党全国委员会发起网络攻击,掩护实施间谍活动。该攻击自2015年夏季开始对目标进行渗透,最终凭借美国大选攻击,再次刷新了大家对于网络攻击威力的认知。
2020年7月,全球新冠肺炎疫情局势紧张,一波使用WellMessWellMail等攻击组件对全球COVID-19 疫苗研制机构的定向攻击活动被关联归因至APT29,同年12月份曝光的Solarwinds供应链攻击活动同样指向APT29,受害者覆盖欧美亚地区4700余个实体机构,破坏力惊人。
3、CIA
2021年7月19日,在外交部例行记者会上,发言人赵立坚提到美国中情局下属的APT-C-39网络攻击组织。2017年,维基解密向全球披露了8716份来自美国中央情报局(CIA)网络情报中心的文件,其中包含涉密文件156份,涵盖了CIA黑客部队的攻击手法、目标、工具的技术规范和要求,由此揭开了CIA神秘的面纱,也向全球展示了CIA网络攻击的强大。
2021年,赛门铁克曾发布报告称,之前发生在16个国家的40次以上的网络攻击与维基解密所获得的工具有关,CIA应对全球数十家机构过去遭到的网络攻击负责。和NSA相比,CIA的攻击范围相对来说更小,主要是金融、电信、能源、航空航天、信息技术、教育和自然资源等领域。例如针对我国的网络攻击多为航空组织、科研机构、石油行业、互联网公司和政府机构。而在攻击思路上和NSA保持一致,都是“放长线钓大鱼”,长期潜伏在系统之中,持续从事间谍活动和获取海量机密数据,故而其活跃度比NSA略低一些。
CIA同样拥有多个高度工程化的网络攻击武器和平台,其中最有名的莫过于Vault7。据悉,Vault7是专门针对我国打造的网络攻击武器,包含多种工具和间谍软件,号称是全球最大规模的网络间谍武器兵工厂,可在多设备上实现超大范围监听。此外还有臭名昭著的Athena(雅典娜),可提供远程信标和程序加载的木马程序,以及此前卡巴斯基报告的高度复杂的Lamberts工具等,并针对不同国家进行一定程度的定制化。
4、海莲花
海莲花(OceanLotus)是一个具有东南亚背景的国家级APT组织,其攻击活动最早可追溯到2012年4月。在首次披露的攻击活动中,攻击目标涵盖了中国海事机构、海域建设部门、科研院所和航运企业。自披露以来,海莲花一直处于活跃状态,其活跃度在国家级APT组织中排在前列,且破坏力不容小觑。
海莲花持续在我国发起针对性网络攻击活动,涉及政府部门、科研院所、境内高校和金融投资机构。此外,东南亚地区和欧洲地区也是在海莲花的攻击范围之内。海莲花的攻击目的不仅是窃取国家机密信息,在商业情报获取上同样不遗余力,曾在2019年发起多次网络攻击,窃取了丰田、现代、宝马等老牌车企的敏感数据。2020年以来,海莲花还会进行加密货币挖矿,例如曾对法国和越南政府部门进行攻击,并部署挖矿程序。
海莲花拥有非常高的社会工程学技巧,常用鱼叉攻击和水坑攻击,在近年来的攻击活动中还采用了供应链攻击手法对高价值目标进行渗透。其攻击武器覆盖多平台,已知具有针对Windows和Mac OS系统的攻击工具,疑似具备针对Android和Linux平台的恶意软件,该组织擅长结合公开的商业或开源工具实施攻击活动,比如Cobalt Strike,Mimikatz。
5、摩诃草
摩诃草(白象)是一个具有南亚背景的国家级APT组织,活跃时间超过8年,其最早活跃时间可追溯至2009年11月,和蔓灵花、海莲花一样具有惊人的活跃度。摩诃草组织攻击涉及范围非常广泛,除我国和巴基斯坦等主要目标,还包括以色列、孟加拉国、美国、英国、日本、韩国等国及中东和东南亚地区,并针对目标国家的政府、军事、电力、工业、外交和经济进行网络间谍活动,窃取敏感信息。
摩诃草主要针对Windows系统进行攻击,也会针对Android、Mac OS系统进行攻击。在实施攻击的过程中常常使用大量的漏洞,其中至少包括一个零日漏洞,因此它的破坏力也非常强。
摩诃草攻击活动常以鱼叉邮件开始,偶尔也会利用水坑攻击,并结合社会工程学技巧,以热点问题为诱饵主题,将自身伪装为目标国家、目标领域的相关人员发起定向攻击。近年来,摩诃草组织还被发现利用VBA宏文档、伪装图标PE等技术进行攻击。
6、Lazarus
Lazarus Group又名HIDDEN COBRA、Guardians of Peace等,是东亚某国支持的最活跃的APT组织之一,具有非常高的网络攻击能力,并且得到该国情报部门的大力支持。Lazarus早期多利用僵尸网络对目标进行DDos攻击;中后期主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法,还针对不同人员采取定向社会工程学攻击。
和大多数国家级APT组织不同的是,Lazarus发起网络攻击的主要目的是获取大量资金,因此其目标主要是银行、比特币交易所等金融机构和个人,堪称全球金融机构尤其是加密货币平台最大的敌人。其次,Lazarus还针对航空航天、工程、技术、政府、媒体、等机构及企业进行渗透,达到窃取重要资料及破坏勒索的目的。
自2009年以来,被报道和Lazarus APT组织相关的网络攻击事件数量持续增长,特别是在2017年后,Lazarus的攻击频率和力度都上了一个新的台阶,并策划了多场著名网络攻击事件,其中包括对波兰和墨西哥银行的攻击、WannaCry病毒爆发以及针对美国承包商的鱼叉式网络钓鱼行动等。
7、SandCat
2018年,卡巴斯基首次发现了名为“SandCat”的APT组织,并确认它已经存在了一段时间。SandCat是乌兹别克斯坦支持的国家级APT 组织,其发起网络攻击的主要目的是窃取机密情报和从事各种间谍活动,其目标范围主要集中在中东地区,包括但不限于沙特阿拉伯。
SandCat APT组织的破坏力极高,几乎可以和美国NSA、CIA相媲美,而且该组织颇为神秘,仅有寥寥几次攻击被网络安全公司监控,因此表现出的活跃度非常低。
一直以来,SandCat都在使用FinFisher/FinSpy 间谍软件和 CHAINSHOT框架,且非常擅长利用各种零日漏洞。例如在之前针对中东和非洲的网络攻击中就曾使用过一个高危的Windows 零日漏洞。而在另外一次已知的攻击中使用了CVE-2018-8589 和 CVE-2018-8611 Windows 两个零日漏洞。
8、蔓灵花
蔓灵花(BITTER)是一个具有南亚背景的国家级APT组织,其攻击活动最早可以追溯到2013年,其政治背景十分强烈。2016年,国外安全厂商Forcepoint首次披露该组织。蔓灵花的攻击目标主要是窃取机密数据,其攻击范围主要是我国和巴基斯坦,涉及政府部门、电力、军工业相关单位。
和海莲花一样,蔓灵花一直处于活跃状态,其活跃度在国家级APT组织中排在前列。有意思的是,在多份报告中均有指出,蔓灵花组织跟疑似南亚某国的多个攻击组织,包括摩诃草(Patchwork)、魔罗桫、肚脑虫(donot)等存在着千丝万缕的关系。
根据目前观察到的信息,蔓灵花主要在Windows和Android平台进行攻击活动,使用的数字武器包括ArtraDownloader,BitterRAT,也会结合商业或开源RAT实施攻击活动,比如Async RAT,Warzone RAT,再借助各类零日漏洞,破坏力不容小觑。
9、Turla
Turla是一个具有俄语国家背景的APT组织,隶属于该国情报机构,2014年首次被卡巴斯基发现,最早活动甚至可以追溯到1996年。根据现有披露的信息,Turla所掌握武器和利用方式最复杂的组织之一,拥有Carbon`ComRat·Karzuar等后门套件,不仅功能丰富且易于扩展,且长期以来保持着更新和版本迭代。
Turla在业界可谓是凶名赫赫,其已被发现的攻击活动涉及45个国家,主要针对外交部门、政府机构、军事机构、科研机构等组织窃取重要情报和从事间谍活动。目前已知的受害者包括美国中央司令部、德国外交部、瑞士军工企业RUAG等,被认为是活跃度和破坏力均排在前列的APT组织之一。
2021年年初,国外的安全研究者发现Turla开始将Iron Python纳入自身攻击武器的一环,通过给受害计算机安装Iron Python·Turla组织成员得以运行python编写的恶意脚本,且能在python代码中直接调用.net平台的API,功能十分强大。
Turla在历史攻击活动中使用工具包括数据收集和shell执行功能的后门、具有远控和监控功能的组件以及开源工具等。Turla使用的后门及工具种类繁多且难以追踪,不仅拥有丰富的军火库还拥有大量开发人员,能够及时进行技术更新。
10、响尾蛇
2018年4月,卡巴斯基发布“APT Trends report Q1 2018”报告,并指出“响尾蛇(Sidewinder)”APT组织是南亚地区一个常年活跃的国家级网络犯罪团伙。响尾蛇自2012年开始出现在人们视野中,至今已有十年,主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家展开攻击,旨在窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息,具有强烈的政治目的。
响尾蛇曾多次发起针对我国的网络攻击,基本利用的是Office远程代码执行漏洞(cve-2017-11882),以网络钓鱼攻击的形式投放诱饵并窃取机密信息,另外一个Office逻辑漏洞(CVE-2017-0199)也经常被用于在该组织的网络攻击之中。
在近年来针对巴基斯坦的攻击中,响尾蛇使用了新的LNK文件路径的目标劫持攻击手段,通过邮件或其他方式投放虚假的快捷方式文件,一旦用户访问了该快捷方式属性中所带有的链接,就会下载恶意软件,进而盗取电脑内所有的文件信息等。
和NSA、CIA高度工程化的武器库相比,响尾蛇的作战设施相对更温和一些,且大多数都是以网络钓鱼攻击作为起手,诱骗用户点击钓鱼网站,并获得账号密码等登录凭证信息,最终实现窃取机密数据的目的。
国家级APT攻击威胁必将愈演愈烈
当下,全球都处于数字化转型的关键时期,可以肯定的是,谁放弃数字化转型谁就放弃了未来。但随着越来越的资产和组织进行数字化转型,也就意味着将社会运转、老百姓的衣食住行都架构在网络、数据和软件之上,此时网络攻击所展现出来的威力将难以想象。
在国家和地区的大力支持下,国家级APT组织实力正在急剧上升,单个企业、政府部门、基础设施难以应对,势必导致国家级APT组织的产出投入比持续增加,而这也将进一步刺激国家加大对这些APT组织和网络攻击方面的投入。
这是一个无解的正循环。此外,当其他国家和地区支持的APT组织在网络空间中为所欲为时,也将刺激受攻击的国家和地区发展官方APT组织。这不禁让人想到了冷战时期美苏争霸疯狂的军备竞赛,或许我们未来也可以见到一场国家级APT组织的“疯狂竞赛”。
真到了那个时期,APT攻击威胁将笼罩在全球,网络安全之路道阻且长。
参考来源:
奇安信、360、虎符智库部分文章、报告