魔幻熊、灰熊大草原、蜥蜴小組、拉撒路、洋蔥狗……這些聽起來或魔幻或神秘甚至帶點可愛的名字，都是網(wǎng)絡安全研究人員給全球的主要APT（Advanced Persistent Threats）組織起的名字。這些組織的奇幻的名字究竟是如何命名的，遵循了哪些規(guī)律？全球有多少APT組織？如果對APT組織武力值進行排行，到底哪家最強？美國的APT組織有哪些？以下將為您一一道來。

　　APT組織的命名

　　APT組織的發(fā)現(xiàn)與命名，是APT研究工作的重要組成部分。從世界范圍內(nèi)來看，APT組織的命名雖然并沒有統(tǒng)一的規(guī)則或規(guī)范，但相關(guān)機構(gòu)在命名過程中一般會遵循如下原則：

　　首報原則，誰先發(fā)現(xiàn)，誰命名；APT組織攻擊方式或CC服務器的特點；以及APT攻擊組織可能的政治及地緣背景猜測等等。

　　以海蓮花、美人魚、人面獅、摩訶草、蔓靈花等多個由360命名的APT組織為例，其中海蓮花APT組織的“蓮花”二字就是表現(xiàn)了該組織的地緣及文化特征，“?！眲t主要表現(xiàn)了該組織以海洋領域為主要攻擊目標的活動特征。同屬此類還有摩訶草等等。

　　盡管“誰先發(fā)現(xiàn)，誰命名”是APT組織命名的一般準則，但各研究機構(gòu)為強調(diào)自己對相關(guān)APT組織研究的獨立性，都會盡可能對新發(fā)現(xiàn)的APT組織給出自己的獨家命名，即便可能已經(jīng)有多家其他研究機構(gòu)對該APT組織給出了不同的命名。比如，率先披露索倫之眼APT組織的是美國安全公司賽門鐵克，該公司給該組織的命名是Strider。賽門鐵克發(fā)布報告后不到24小時，俄羅斯安全公司卡巴斯基就發(fā)布了兩份合計長達60頁的報告，并將該APT組織命名為Project Sauron，而且這個命名得到了更為廣泛的認可和傳播。盡管首先披露索倫之眼APT組織的是賽門鐵克，但顯然卡巴斯基對于該組織的截獲，是獨立于賽門鐵克的相關(guān)研究的。不過，一旦某個機構(gòu)給出的APT組織命名已經(jīng)得到了絕大多數(shù)研究者的認可，則其他研究者也就很少再為該組織進行新的命名了。獨立發(fā)現(xiàn)與率先披露也是不同的。受各種客觀因素的影響，所有APT研究機構(gòu)都不會把自己截獲的全部APT組織對外披露。一個APT組織究竟是由哪個研究機構(gòu)率先披露的，往往存在一定的偶然性。

　　下面我們介紹一下美國老牌網(wǎng)安企業(yè)---火眼公司、網(wǎng)安全球市值一哥---crowdstrike公司、俄羅斯網(wǎng)安一哥卡巴斯基、中國網(wǎng)安大廠360是如何為APT組織命名的。

　　火眼/Mandiant

　　Mandiant可能是最早進行APT組織命名的網(wǎng)絡安全大廠，APT n是Mandiant對據(jù)信隸屬于某個民族國家的攻擊組織的命名法。這種命名法的優(yōu)勢在于其清晰性：它能立即告訴我們，這個組織被認為是隸屬于某個國家的；其弱點在于它沒有告訴我們其他任何事情，我們不知道該組織涉及哪個民族國家。隨著時間的推移，Mandiant的命名中添加了其他前綴：UNC、TEMP 和 FIN。UNC主要是未分類活動集群的內(nèi)部名稱；TEMP是某個集群的臨時名稱，該集群已經(jīng)具備了某些特征；FIN是具有財務動機的公開命名的威脅組織的前綴。

　　CrowdStrike

　　CrowdStrike是全球市值最高的網(wǎng)絡安全廠商，該公司也有其獨到的APT組織命名方法，它的命名既意味深長又能提供更多信息，尤其喜歡使用具有地理特征的動物來命名。比如熊是俄羅斯，千里馬是朝鮮，小貓是伊朗，水牛是越南，老虎是印度，獵豹是巴基斯坦，而蜘蛛一般代表犯罪集團。

　　卡巴斯基

　　卡巴斯基沒有正式的命名規(guī)則，通常由從事這項工作的研究人員決定給APT組織起什么名字。但卡巴斯基通常不做直接歸因，將攻擊者稱為活動集群，并規(guī)定命名不得暗示任何特定攻擊者或由政府支持的攻擊團隊的歸屬。

　　360公司

　　360對APT組織及其行動的命名大致可分為三個系列：

　　一是幻獸系。主要用來命名攻擊境外目標的境外APT組織，通常使用各種傳說中的或者是虛擬的動物形象來命名，同時結(jié)合了地緣及領域特征。如美人魚、人面獅等。

　　二是魔株系。主要用來命名攻擊境內(nèi)目標的境外組織，通常使用各種傳說中的或者是虛擬的植物形象來命名，同時結(jié)合了地緣及領域特征。如上文提及的海蓮花、摩訶草、蔓靈花等。

　　三是超人系。主要用來命名攻擊境內(nèi)目標的境內(nèi)組織，主要使用各種虛擬的，具有超能力的人體部位來命名，同時結(jié)合了地緣及領域特征。

　　究竟有多少APT組織

　　隨著網(wǎng)絡空間成為國家間競爭博弈的新戰(zhàn)場，網(wǎng)絡攻擊竊密逐漸成為部分國家和地區(qū)實現(xiàn)其目標的利器。有道是常在河邊走一定會濕鞋，越來越多的APT組織被安全廠商起底曝光。

　　目前全球已知的APT組織大約有300多個， 2020年7月，泰國CERT發(fā)布了威脅組織與黑產(chǎn)組織百科全書---《威脅行為者的百科全書》，全文435頁，收錄了迄今為止各大網(wǎng)絡安全廠商發(fā)現(xiàn)的近300個APT組織以及網(wǎng)絡犯罪組織。

　　全球APT組織哪家強

　　美國網(wǎng)絡安全公司Crowdstrike根據(jù)“突破時間”這項指標對APT組織進行了排名，并于2019年2月發(fā)布了相關(guān)統(tǒng)計數(shù)據(jù)：第一名是俄羅斯，第二名是朝鮮，第三名是中國……當然，由于是美國安全公司總結(jié)出的排名，所以該排名并未包括美國。

　　“突破時間”是指一個黑客團隊從獲得對受害者計算機的初始訪問權(quán)限到通過其網(wǎng)絡橫向移動所花費的時間。這包括攻擊者掃描本地網(wǎng)絡和部署漏洞利用的套件以升級其對附近其他計算機的訪問權(quán)限的時間?！巴黄茣r間”指標對于防守方來說至關(guān)重要。因為他們必須在突破時間之內(nèi)檢測出感染情況、隔離失陷主機，這樣才能避免由一個簡單的入侵轉(zhuǎn)變?yōu)閷φ麄€網(wǎng)絡的侵害。

　　根據(jù)2018年針對APT組織開展調(diào)查收集的數(shù)據(jù)，CrowdStrike認為，俄羅斯黑客是最高產(chǎn)和最有效率的黑客組織，平均突破時間為18分49秒。其他國家黑客組織的數(shù)據(jù)為：朝鮮APT組織千里馬（Chollimas）為2小時20分鐘，伊朗APT組織小貓（Kittens）為5小時9分鐘，網(wǎng)絡犯罪團伙蜘蛛（Spiders）大約需要9小時42分鐘。

　　按突破時間排名是一種評估主要威脅組織能力水平的有趣方式，但突破時間肯定不是判斷復雜程度的唯一指標。APT組織能力參差不齊，真正能稱為“頂級”的APT組織少之又少。那么“頂級”APT組織具備哪些能力呢？安全廠商卡巴斯基給出了一些主要特征：零日漏洞的利用；未知或從未確定的感染媒介；已入侵了多個國家的多個政府組織；已成功竊取信息多年才被發(fā)現(xiàn)；具備從氣隙網(wǎng)絡中竊取數(shù)據(jù)的能力；具有支持多種協(xié)議的多個隱蔽滲漏通道；只存在于內(nèi)存中而不觸及磁盤的惡意軟件模塊；不尋常的持久化技術(shù)，有時使用未記錄的操作系統(tǒng)功能；

　　根據(jù)卡巴斯基的標準，美國和俄羅斯團隊無疑穩(wěn)坐APT攻擊領域的頭把交椅。但美俄兩國APT組織的特點也并不一樣，甚至在某些地方截然相反。

　　首先是美國，美國APT組織的三個突出特征就是技術(shù)牛，武器多，還低調(diào)。目前業(yè)界公認為是王中王級別的兩個APT組織---方程式（Equation）和索倫之眼，其背后都被普遍認為有NSA（美國國家安全局）的影子。引起2017年WannaCry災難的永恒之藍漏洞利用工具，僅僅是影子經(jīng)紀人泄露的方程式組織武器庫中的一件武器而已。但永恒之藍曾經(jīng)被用于攻擊什么目標，至今全球都沒有明確的結(jié)論。索倫之眼組織（APT-C-16），又名Sauron、Strider。該組織主要針對中國、俄羅斯等多個國家進行網(wǎng)絡間諜活動，其中以竊取敏感信息為主。相關(guān)的攻擊活動最早可以追溯到2010年，至今仍然非?；钴S。該組織的整個攻擊過程高度隱蔽，且針對性極強，對特定目標采用定制的惡意程序或通信設施，不會重復使用相關(guān)攻擊資源。相關(guān)惡意代碼復雜度可以與方程式媲美，其綜合能力更不弱于其他知名APT組織。

　　與之相反，俄羅斯的APT組織就有很多高調(diào)而大手筆的作為了，而且往往政治目的非常明顯。其攻擊注重實效，不出手則已，一出手甚至可以改變世界格局。

　　此處不得不提的就是2014年被發(fā)現(xiàn)的APT28威脅組織花式熊（Fancy Bear）了，目前普遍認為其背后的大佬是俄羅斯軍事情報機構(gòu)（GRU）。如果你對這個組織不那么熟悉，可以回想下直接改變世界歷史走向的希拉里郵件門事件，APT28還曾幫助親俄分裂分子追蹤烏克蘭部隊，造成炮兵部隊損失一半以上武器。

　　找出美國APT攻擊關(guān)乎國家安危

　　對美國及其盟國的網(wǎng)絡安全廠商來說，技術(shù)中立是要讓位給“政治正確”的。無論是披露俄羅斯、朝鮮、伊朗等國所謂的APT組織，還是在網(wǎng)絡空間充當美國政府的蒙面打手和馬前卒，對這些廠商來說既能夠彰顯自身所謂的技術(shù)實力，又能獲得政府項目，得到公司上市和股價拉升等好處。對于美國政府來說，手里則多了能指哪兒打哪兒、來無影去無蹤的有力暗器。

　　隨著網(wǎng)絡空間成為大國博弈的新戰(zhàn)場，APT攻擊已成為業(yè)界公認的后果嚴重又影響深遠的高級網(wǎng)絡威脅。中國也是APT攻擊的主要受害國之一。依據(jù)國內(nèi)網(wǎng)絡威脅情報廠商天際友盟RedQueen平臺2018年數(shù)據(jù)，北京、廣州、臺灣、香港地區(qū)是受APT攻擊影響程度最深的重災區(qū)。2020年，360公司捕獲了美國中央情報局CIA攻擊組織（APT-C-39）對我國進行的長達十一年的網(wǎng)絡攻擊滲透。在此期間，我國航空航天、科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等多個部門均遭到不同程度的攻擊。目前只有少數(shù)公司具備發(fā)現(xiàn)美國APT攻擊的能力。發(fā)現(xiàn)和斬斷以美國為首的APT組織攻擊黑手，關(guān)乎國家安危，對我們來說至關(guān)重要。