魔幻熊、灰熊大草原,、蜥蜴小組、拉撒路,、洋蔥狗……這些聽起來或魔幻或神秘甚至帶點(diǎn)可愛的名字,，都是網(wǎng)絡(luò)安全研究人員給全球的主要APT（Advanced Persistent Threats）組織起的名字。這些組織的奇幻的名字究竟是如何命名的,，遵循了哪些規(guī)律,？全球有多少APT組織？如果對APT組織武力值進(jìn)行排行,，到底哪家最強(qiáng),？美國的APT組織有哪些？以下將為您一一道來,。

　　APT組織的命名

　　APT組織的發(fā)現(xiàn)與命名,，是APT研究工作的重要組成部分。從世界范圍內(nèi)來看,，APT組織的命名雖然并沒有統(tǒng)一的規(guī)則或規(guī)范,，但相關(guān)機(jī)構(gòu)在命名過程中一般會(huì)遵循如下原則：

　　首報(bào)原則，誰先發(fā)現(xiàn),，誰命名,；APT組織攻擊方式或CC服務(wù)器的特點(diǎn)；以及APT攻擊組織可能的政治及地緣背景猜測等等,。

　　以海蓮花,、美人魚、人面獅,、摩訶草,、蔓靈花等多個(gè)由360命名的APT組織為例，其中海蓮花APT組織的“蓮花”二字就是表現(xiàn)了該組織的地緣及文化特征,，“?！眲t主要表現(xiàn)了該組織以海洋領(lǐng)域?yàn)橹饕裟繕?biāo)的活動(dòng)特征。同屬此類還有摩訶草等等,。

　　盡管“誰先發(fā)現(xiàn),，誰命名”是APT組織命名的一般準(zhǔn)則，但各研究機(jī)構(gòu)為強(qiáng)調(diào)自己對相關(guān)APT組織研究的獨(dú)立性,，都會(huì)盡可能對新發(fā)現(xiàn)的APT組織給出自己的獨(dú)家命名,，即便可能已經(jīng)有多家其他研究機(jī)構(gòu)對該APT組織給出了不同的命名,。比如，率先披露索倫之眼APT組織的是美國安全公司賽門鐵克,，該公司給該組織的命名是Strider,。賽門鐵克發(fā)布報(bào)告后不到24小時(shí)，俄羅斯安全公司卡巴斯基就發(fā)布了兩份合計(jì)長達(dá)60頁的報(bào)告,，并將該APT組織命名為Project Sauron,，而且這個(gè)命名得到了更為廣泛的認(rèn)可和傳播。盡管首先披露索倫之眼APT組織的是賽門鐵克,，但顯然卡巴斯基對于該組織的截獲,，是獨(dú)立于賽門鐵克的相關(guān)研究的。不過,，一旦某個(gè)機(jī)構(gòu)給出的APT組織命名已經(jīng)得到了絕大多數(shù)研究者的認(rèn)可,，則其他研究者也就很少再為該組織進(jìn)行新的命名了。獨(dú)立發(fā)現(xiàn)與率先披露也是不同的,。受各種客觀因素的影響，所有APT研究機(jī)構(gòu)都不會(huì)把自己截獲的全部APT組織對外披露,。一個(gè)APT組織究竟是由哪個(gè)研究機(jī)構(gòu)率先披露的,，往往存在一定的偶然性。

　　下面我們介紹一下美國老牌網(wǎng)安企業(yè)---火眼公司,、網(wǎng)安全球市值一哥---crowdstrike公司,、俄羅斯網(wǎng)安一哥卡巴斯基、中國網(wǎng)安大廠360是如何為APT組織命名的,。

　　火眼/Mandiant

　　Mandiant可能是最早進(jìn)行APT組織命名的網(wǎng)絡(luò)安全大廠,，APT n是Mandiant對據(jù)信隸屬于某個(gè)民族國家的攻擊組織的命名法。這種命名法的優(yōu)勢在于其清晰性：它能立即告訴我們,，這個(gè)組織被認(rèn)為是隸屬于某個(gè)國家的,；其弱點(diǎn)在于它沒有告訴我們其他任何事情，我們不知道該組織涉及哪個(gè)民族國家,。隨著時(shí)間的推移,，Mandiant的命名中添加了其他前綴：UNC、TEMP 和 FIN,。UNC主要是未分類活動(dòng)集群的內(nèi)部名稱,；TEMP是某個(gè)集群的臨時(shí)名稱，該集群已經(jīng)具備了某些特征,；FIN是具有財(cái)務(wù)動(dòng)機(jī)的公開命名的威脅組織的前綴,。

　　CrowdStrike

　　CrowdStrike是全球市值最高的網(wǎng)絡(luò)安全廠商，該公司也有其獨(dú)到的APT組織命名方法,，它的命名既意味深長又能提供更多信息,，尤其喜歡使用具有地理特征的動(dòng)物來命名,。比如熊是俄羅斯，千里馬是朝鮮,，小貓是伊朗,，水牛是越南，老虎是印度,，獵豹是巴基斯坦,，而蜘蛛一般代表犯罪集團(tuán)。

　　卡巴斯基

　　卡巴斯基沒有正式的命名規(guī)則,，通常由從事這項(xiàng)工作的研究人員決定給APT組織起什么名字,。但卡巴斯基通常不做直接歸因，將攻擊者稱為活動(dòng)集群,，并規(guī)定命名不得暗示任何特定攻擊者或由政府支持的攻擊團(tuán)隊(duì)的歸屬,。

　　360公司

　　360對APT組織及其行動(dòng)的命名大致可分為三個(gè)系列：

　　一是幻獸系。主要用來命名攻擊境外目標(biāo)的境外APT組織,，通常使用各種傳說中的或者是虛擬的動(dòng)物形象來命名,，同時(shí)結(jié)合了地緣及領(lǐng)域特征。如美人魚,、人面獅等,。

　　二是魔株系。主要用來命名攻擊境內(nèi)目標(biāo)的境外組織,，通常使用各種傳說中的或者是虛擬的植物形象來命名,，同時(shí)結(jié)合了地緣及領(lǐng)域特征。如上文提及的海蓮花,、摩訶草,、蔓靈花等。

　　三是超人系,。主要用來命名攻擊境內(nèi)目標(biāo)的境內(nèi)組織,，主要使用各種虛擬的，具有超能力的人體部位來命名,，同時(shí)結(jié)合了地緣及領(lǐng)域特征,。

　　究竟有多少APT組織

　　隨著網(wǎng)絡(luò)空間成為國家間競爭博弈的新戰(zhàn)場，網(wǎng)絡(luò)攻擊竊密逐漸成為部分國家和地區(qū)實(shí)現(xiàn)其目標(biāo)的利器,。有道是常在河邊走一定會(huì)濕鞋,，越來越多的APT組織被安全廠商起底曝光。

　　目前全球已知的APT組織大約有300多個(gè),， 2020年7月,，泰國CERT發(fā)布了威脅組織與黑產(chǎn)組織百科全書---《威脅行為者的百科全書》，全文435頁,，收錄了迄今為止各大網(wǎng)絡(luò)安全廠商發(fā)現(xiàn)的近300個(gè)APT組織以及網(wǎng)絡(luò)犯罪組織,。

　　全球APT組織哪家強(qiáng)

　　美國網(wǎng)絡(luò)安全公司Crowdstrike根據(jù)“突破時(shí)間”這項(xiàng)指標(biāo)對APT組織進(jìn)行了排名,，并于2019年2月發(fā)布了相關(guān)統(tǒng)計(jì)數(shù)據(jù)：第一名是俄羅斯，第二名是朝鮮,，第三名是中國……當(dāng)然,，由于是美國安全公司總結(jié)出的排名，所以該排名并未包括美國,。

　　“突破時(shí)間”是指一個(gè)黑客團(tuán)隊(duì)從獲得對受害者計(jì)算機(jī)的初始訪問權(quán)限到通過其網(wǎng)絡(luò)橫向移動(dòng)所花費(fèi)的時(shí)間,。這包括攻擊者掃描本地網(wǎng)絡(luò)和部署漏洞利用的套件以升級其對附近其他計(jì)算機(jī)的訪問權(quán)限的時(shí)間?！巴黄茣r(shí)間”指標(biāo)對于防守方來說至關(guān)重要,。因?yàn)樗麄儽仨氃谕黄茣r(shí)間之內(nèi)檢測出感染情況、隔離失陷主機(jī),，這樣才能避免由一個(gè)簡單的入侵轉(zhuǎn)變?yōu)閷φ麄€(gè)網(wǎng)絡(luò)的侵害,。

　　根據(jù)2018年針對APT組織開展調(diào)查收集的數(shù)據(jù)，CrowdStrike認(rèn)為,，俄羅斯黑客是最高產(chǎn)和最有效率的黑客組織,，平均突破時(shí)間為18分49秒。其他國家黑客組織的數(shù)據(jù)為：朝鮮APT組織千里馬（Chollimas）為2小時(shí)20分鐘,，伊朗APT組織小貓（Kittens）為5小時(shí)9分鐘,，網(wǎng)絡(luò)犯罪團(tuán)伙蜘蛛（Spiders）大約需要9小時(shí)42分鐘。

　　按突破時(shí)間排名是一種評估主要威脅組織能力水平的有趣方式,，但突破時(shí)間肯定不是判斷復(fù)雜程度的唯一指標(biāo)。APT組織能力參差不齊,，真正能稱為“頂級”的APT組織少之又少,。那么“頂級”APT組織具備哪些能力呢？安全廠商卡巴斯基給出了一些主要特征：零日漏洞的利用,；未知或從未確定的感染媒介,；已入侵了多個(gè)國家的多個(gè)政府組織；已成功竊取信息多年才被發(fā)現(xiàn),；具備從氣隙網(wǎng)絡(luò)中竊取數(shù)據(jù)的能力,；具有支持多種協(xié)議的多個(gè)隱蔽滲漏通道；只存在于內(nèi)存中而不觸及磁盤的惡意軟件模塊,；不尋常的持久化技術(shù),，有時(shí)使用未記錄的操作系統(tǒng)功能；

　　根據(jù)卡巴斯基的標(biāo)準(zhǔn),，美國和俄羅斯團(tuán)隊(duì)無疑穩(wěn)坐APT攻擊領(lǐng)域的頭把交椅,。但美俄兩國APT組織的特點(diǎn)也并不一樣，甚至在某些地方截然相反,。

　　首先是美國,，美國APT組織的三個(gè)突出特征就是技術(shù)牛,，武器多，還低調(diào),。目前業(yè)界公認(rèn)為是王中王級別的兩個(gè)APT組織---方程式（Equation）和索倫之眼,，其背后都被普遍認(rèn)為有NSA（美國國家安全局）的影子。引起2017年WannaCry災(zāi)難的永恒之藍(lán)漏洞利用工具,，僅僅是影子經(jīng)紀(jì)人泄露的方程式組織武器庫中的一件武器而已,。但永恒之藍(lán)曾經(jīng)被用于攻擊什么目標(biāo)，至今全球都沒有明確的結(jié)論,。索倫之眼組織（APT-C-16）,，又名Sauron、Strider,。該組織主要針對中國,、俄羅斯等多個(gè)國家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，其中以竊取敏感信息為主,。相關(guān)的攻擊活動(dòng)最早可以追溯到2010年,，至今仍然非常活躍,。該組織的整個(gè)攻擊過程高度隱蔽,，且針對性極強(qiáng)，對特定目標(biāo)采用定制的惡意程序或通信設(shè)施,，不會(huì)重復(fù)使用相關(guān)攻擊資源,。相關(guān)惡意代碼復(fù)雜度可以與方程式媲美，其綜合能力更不弱于其他知名APT組織,。

　　與之相反,，俄羅斯的APT組織就有很多高調(diào)而大手筆的作為了，而且往往政治目的非常明顯,。其攻擊注重實(shí)效,，不出手則已，一出手甚至可以改變世界格局,。

　　此處不得不提的就是2014年被發(fā)現(xiàn)的APT28威脅組織花式熊（Fancy Bear）了,，目前普遍認(rèn)為其背后的大佬是俄羅斯軍事情報(bào)機(jī)構(gòu)（GRU）。如果你對這個(gè)組織不那么熟悉,，可以回想下直接改變世界歷史走向的希拉里郵件門事件,，APT28還曾幫助親俄分裂分子追蹤烏克蘭部隊(duì)，造成炮兵部隊(duì)損失一半以上武器,。

　　找出美國APT攻擊關(guān)乎國家安危

　　對美國及其盟國的網(wǎng)絡(luò)安全廠商來說,，技術(shù)中立是要讓位給“政治正確”的。無論是披露俄羅斯,、朝鮮,、伊朗等國所謂的APT組織,，還是在網(wǎng)絡(luò)空間充當(dāng)美國政府的蒙面打手和馬前卒，對這些廠商來說既能夠彰顯自身所謂的技術(shù)實(shí)力,，又能獲得政府項(xiàng)目,，得到公司上市和股價(jià)拉升等好處。對于美國政府來說,，手里則多了能指哪兒打哪兒,、來無影去無蹤的有力暗器。

　　隨著網(wǎng)絡(luò)空間成為大國博弈的新戰(zhàn)場,，APT攻擊已成為業(yè)界公認(rèn)的后果嚴(yán)重又影響深遠(yuǎn)的高級網(wǎng)絡(luò)威脅,。中國也是APT攻擊的主要受害國之一。依據(jù)國內(nèi)網(wǎng)絡(luò)威脅情報(bào)廠商天際友盟RedQueen平臺(tái)2018年數(shù)據(jù),，北京,、廣州、臺(tái)灣,、香港地區(qū)是受APT攻擊影響程度最深的重災(zāi)區(qū),。2020年，360公司捕獲了美國中央情報(bào)局CIA攻擊組織（APT-C-39）對我國進(jìn)行的長達(dá)十一年的網(wǎng)絡(luò)攻擊滲透,。在此期間,，我國航空航天、科研機(jī)構(gòu),、石油行業(yè),、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個(gè)部門均遭到不同程度的攻擊。目前只有少數(shù)公司具備發(fā)現(xiàn)美國APT攻擊的能力,。發(fā)現(xiàn)和斬?cái)嘁悦绹鵀槭椎腁PT組織攻擊黑手,，關(guān)乎國家安危，對我們來說至關(guān)重要,。