魔幻熊、灰熊大草原、蜥蜴小組、拉撒路、洋蔥狗……這些聽起來(lái)或魔幻或神秘甚至帶點(diǎn)可愛的名字，都是網(wǎng)絡(luò)安全研究人員給全球的主要APT（Advanced Persistent Threats）組織起的名字。這些組織的奇幻的名字究竟是如何命名的，遵循了哪些規(guī)律？全球有多少APT組織？如果對(duì)APT組織武力值進(jìn)行排行，到底哪家最強(qiáng)？美國(guó)的APT組織有哪些？以下將為您一一道來(lái)。

　　APT組織的命名

　　APT組織的發(fā)現(xiàn)與命名，是APT研究工作的重要組成部分。從世界范圍內(nèi)來(lái)看，APT組織的命名雖然并沒有統(tǒng)一的規(guī)則或規(guī)范，但相關(guān)機(jī)構(gòu)在命名過程中一般會(huì)遵循如下原則：

　　首報(bào)原則，誰(shuí)先發(fā)現(xiàn)，誰(shuí)命名；APT組織攻擊方式或CC服務(wù)器的特點(diǎn)；以及APT攻擊組織可能的政治及地緣背景猜測(cè)等等。

　　以海蓮花、美人魚、人面獅、摩訶草、蔓靈花等多個(gè)由360命名的APT組織為例，其中海蓮花APT組織的“蓮花”二字就是表現(xiàn)了該組織的地緣及文化特征，“?！眲t主要表現(xiàn)了該組織以海洋領(lǐng)域?yàn)橹饕裟繕?biāo)的活動(dòng)特征。同屬此類還有摩訶草等等。

　　盡管“誰(shuí)先發(fā)現(xiàn)，誰(shuí)命名”是APT組織命名的一般準(zhǔn)則，但各研究機(jī)構(gòu)為強(qiáng)調(diào)自己對(duì)相關(guān)APT組織研究的獨(dú)立性，都會(huì)盡可能對(duì)新發(fā)現(xiàn)的APT組織給出自己的獨(dú)家命名，即便可能已經(jīng)有多家其他研究機(jī)構(gòu)對(duì)該APT組織給出了不同的命名。比如，率先披露索倫之眼APT組織的是美國(guó)安全公司賽門鐵克，該公司給該組織的命名是Strider。賽門鐵克發(fā)布報(bào)告后不到24小時(shí)，俄羅斯安全公司卡巴斯基就發(fā)布了兩份合計(jì)長(zhǎng)達(dá)60頁(yè)的報(bào)告，并將該APT組織命名為Project Sauron，而且這個(gè)命名得到了更為廣泛的認(rèn)可和傳播。盡管首先披露索倫之眼APT組織的是賽門鐵克，但顯然卡巴斯基對(duì)于該組織的截獲，是獨(dú)立于賽門鐵克的相關(guān)研究的。不過，一旦某個(gè)機(jī)構(gòu)給出的APT組織命名已經(jīng)得到了絕大多數(shù)研究者的認(rèn)可，則其他研究者也就很少再為該組織進(jìn)行新的命名了。獨(dú)立發(fā)現(xiàn)與率先披露也是不同的。受各種客觀因素的影響，所有APT研究機(jī)構(gòu)都不會(huì)把自己截獲的全部APT組織對(duì)外披露。一個(gè)APT組織究竟是由哪個(gè)研究機(jī)構(gòu)率先披露的，往往存在一定的偶然性。

　　下面我們介紹一下美國(guó)老牌網(wǎng)安企業(yè)---火眼公司、網(wǎng)安全球市值一哥---crowdstrike公司、俄羅斯網(wǎng)安一哥卡巴斯基、中國(guó)網(wǎng)安大廠360是如何為APT組織命名的。

　　火眼/Mandiant

　　Mandiant可能是最早進(jìn)行APT組織命名的網(wǎng)絡(luò)安全大廠，APT n是Mandiant對(duì)據(jù)信隸屬于某個(gè)民族國(guó)家的攻擊組織的命名法。這種命名法的優(yōu)勢(shì)在于其清晰性：它能立即告訴我們，這個(gè)組織被認(rèn)為是隸屬于某個(gè)國(guó)家的；其弱點(diǎn)在于它沒有告訴我們其他任何事情，我們不知道該組織涉及哪個(gè)民族國(guó)家。隨著時(shí)間的推移，Mandiant的命名中添加了其他前綴：UNC、TEMP 和 FIN。UNC主要是未分類活動(dòng)集群的內(nèi)部名稱；TEMP是某個(gè)集群的臨時(shí)名稱，該集群已經(jīng)具備了某些特征；FIN是具有財(cái)務(wù)動(dòng)機(jī)的公開命名的威脅組織的前綴。

　　CrowdStrike

　　CrowdStrike是全球市值最高的網(wǎng)絡(luò)安全廠商，該公司也有其獨(dú)到的APT組織命名方法，它的命名既意味深長(zhǎng)又能提供更多信息，尤其喜歡使用具有地理特征的動(dòng)物來(lái)命名。比如熊是俄羅斯，千里馬是朝鮮，小貓是伊朗，水牛是越南，老虎是印度，獵豹是巴基斯坦，而蜘蛛一般代表犯罪集團(tuán)。

　　卡巴斯基

　　卡巴斯基沒有正式的命名規(guī)則，通常由從事這項(xiàng)工作的研究人員決定給APT組織起什么名字。但卡巴斯基通常不做直接歸因，將攻擊者稱為活動(dòng)集群，并規(guī)定命名不得暗示任何特定攻擊者或由政府支持的攻擊團(tuán)隊(duì)的歸屬。

　　360公司

　　360對(duì)APT組織及其行動(dòng)的命名大致可分為三個(gè)系列：

　　一是幻獸系。主要用來(lái)命名攻擊境外目標(biāo)的境外APT組織，通常使用各種傳說(shuō)中的或者是虛擬的動(dòng)物形象來(lái)命名，同時(shí)結(jié)合了地緣及領(lǐng)域特征。如美人魚、人面獅等。

　　二是魔株系。主要用來(lái)命名攻擊境內(nèi)目標(biāo)的境外組織，通常使用各種傳說(shuō)中的或者是虛擬的植物形象來(lái)命名，同時(shí)結(jié)合了地緣及領(lǐng)域特征。如上文提及的海蓮花、摩訶草、蔓靈花等。

　　三是超人系。主要用來(lái)命名攻擊境內(nèi)目標(biāo)的境內(nèi)組織，主要使用各種虛擬的，具有超能力的人體部位來(lái)命名，同時(shí)結(jié)合了地緣及領(lǐng)域特征。

　　究竟有多少APT組織

　　隨著網(wǎng)絡(luò)空間成為國(guó)家間競(jìng)爭(zhēng)博弈的新戰(zhàn)場(chǎng)，網(wǎng)絡(luò)攻擊竊密逐漸成為部分國(guó)家和地區(qū)實(shí)現(xiàn)其目標(biāo)的利器。有道是常在河邊走一定會(huì)濕鞋，越來(lái)越多的APT組織被安全廠商起底曝光。

　　目前全球已知的APT組織大約有300多個(gè)， 2020年7月，泰國(guó)CERT發(fā)布了威脅組織與黑產(chǎn)組織百科全書---《威脅行為者的百科全書》，全文435頁(yè)，收錄了迄今為止各大網(wǎng)絡(luò)安全廠商發(fā)現(xiàn)的近300個(gè)APT組織以及網(wǎng)絡(luò)犯罪組織。

　　全球APT組織哪家強(qiáng)

　　美國(guó)網(wǎng)絡(luò)安全公司Crowdstrike根據(jù)“突破時(shí)間”這項(xiàng)指標(biāo)對(duì)APT組織進(jìn)行了排名，并于2019年2月發(fā)布了相關(guān)統(tǒng)計(jì)數(shù)據(jù)：第一名是俄羅斯，第二名是朝鮮，第三名是中國(guó)……當(dāng)然，由于是美國(guó)安全公司總結(jié)出的排名，所以該排名并未包括美國(guó)。

　　“突破時(shí)間”是指一個(gè)黑客團(tuán)隊(duì)從獲得對(duì)受害者計(jì)算機(jī)的初始訪問權(quán)限到通過其網(wǎng)絡(luò)橫向移動(dòng)所花費(fèi)的時(shí)間。這包括攻擊者掃描本地網(wǎng)絡(luò)和部署漏洞利用的套件以升級(jí)其對(duì)附近其他計(jì)算機(jī)的訪問權(quán)限的時(shí)間?！巴黄茣r(shí)間”指標(biāo)對(duì)于防守方來(lái)說(shuō)至關(guān)重要。因?yàn)樗麄儽仨氃谕黄茣r(shí)間之內(nèi)檢測(cè)出感染情況、隔離失陷主機(jī)，這樣才能避免由一個(gè)簡(jiǎn)單的入侵轉(zhuǎn)變?yōu)閷?duì)整個(gè)網(wǎng)絡(luò)的侵害。

　　根據(jù)2018年針對(duì)APT組織開展調(diào)查收集的數(shù)據(jù)，CrowdStrike認(rèn)為，俄羅斯黑客是最高產(chǎn)和最有效率的黑客組織，平均突破時(shí)間為18分49秒。其他國(guó)家黑客組織的數(shù)據(jù)為：朝鮮APT組織千里馬（Chollimas）為2小時(shí)20分鐘，伊朗APT組織小貓（Kittens）為5小時(shí)9分鐘，網(wǎng)絡(luò)犯罪團(tuán)伙蜘蛛（Spiders）大約需要9小時(shí)42分鐘。

　　按突破時(shí)間排名是一種評(píng)估主要威脅組織能力水平的有趣方式，但突破時(shí)間肯定不是判斷復(fù)雜程度的唯一指標(biāo)。APT組織能力參差不齊，真正能稱為“頂級(jí)”的APT組織少之又少。那么“頂級(jí)”APT組織具備哪些能力呢？安全廠商卡巴斯基給出了一些主要特征：零日漏洞的利用；未知或從未確定的感染媒介；已入侵了多個(gè)國(guó)家的多個(gè)政府組織；已成功竊取信息多年才被發(fā)現(xiàn)；具備從氣隙網(wǎng)絡(luò)中竊取數(shù)據(jù)的能力；具有支持多種協(xié)議的多個(gè)隱蔽滲漏通道；只存在于內(nèi)存中而不觸及磁盤的惡意軟件模塊；不尋常的持久化技術(shù)，有時(shí)使用未記錄的操作系統(tǒng)功能；

　　根據(jù)卡巴斯基的標(biāo)準(zhǔn)，美國(guó)和俄羅斯團(tuán)隊(duì)無(wú)疑穩(wěn)坐APT攻擊領(lǐng)域的頭把交椅。但美俄兩國(guó)APT組織的特點(diǎn)也并不一樣，甚至在某些地方截然相反。

　　首先是美國(guó)，美國(guó)APT組織的三個(gè)突出特征就是技術(shù)牛，武器多，還低調(diào)。目前業(yè)界公認(rèn)為是王中王級(jí)別的兩個(gè)APT組織---方程式（Equation）和索倫之眼，其背后都被普遍認(rèn)為有NSA（美國(guó)國(guó)家安全局）的影子。引起2017年WannaCry災(zāi)難的永恒之藍(lán)漏洞利用工具，僅僅是影子經(jīng)紀(jì)人泄露的方程式組織武器庫(kù)中的一件武器而已。但永恒之藍(lán)曾經(jīng)被用于攻擊什么目標(biāo)，至今全球都沒有明確的結(jié)論。索倫之眼組織（APT-C-16），又名Sauron、Strider。該組織主要針對(duì)中國(guó)、俄羅斯等多個(gè)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，其中以竊取敏感信息為主。相關(guān)的攻擊活動(dòng)最早可以追溯到2010年，至今仍然非?；钴S。該組織的整個(gè)攻擊過程高度隱蔽，且針對(duì)性極強(qiáng)，對(duì)特定目標(biāo)采用定制的惡意程序或通信設(shè)施，不會(huì)重復(fù)使用相關(guān)攻擊資源。相關(guān)惡意代碼復(fù)雜度可以與方程式媲美，其綜合能力更不弱于其他知名APT組織。

　　與之相反，俄羅斯的APT組織就有很多高調(diào)而大手筆的作為了，而且往往政治目的非常明顯。其攻擊注重實(shí)效，不出手則已，一出手甚至可以改變世界格局。

　　此處不得不提的就是2014年被發(fā)現(xiàn)的APT28威脅組織花式熊（Fancy Bear）了，目前普遍認(rèn)為其背后的大佬是俄羅斯軍事情報(bào)機(jī)構(gòu)（GRU）。如果你對(duì)這個(gè)組織不那么熟悉，可以回想下直接改變世界歷史走向的希拉里郵件門事件，APT28還曾幫助親俄分裂分子追蹤烏克蘭部隊(duì)，造成炮兵部隊(duì)損失一半以上武器。

　　找出美國(guó)APT攻擊關(guān)乎國(guó)家安危

　　對(duì)美國(guó)及其盟國(guó)的網(wǎng)絡(luò)安全廠商來(lái)說(shuō)，技術(shù)中立是要讓位給“政治正確”的。無(wú)論是披露俄羅斯、朝鮮、伊朗等國(guó)所謂的APT組織，還是在網(wǎng)絡(luò)空間充當(dāng)美國(guó)政府的蒙面打手和馬前卒，對(duì)這些廠商來(lái)說(shuō)既能夠彰顯自身所謂的技術(shù)實(shí)力，又能獲得政府項(xiàng)目，得到公司上市和股價(jià)拉升等好處。對(duì)于美國(guó)政府來(lái)說(shuō)，手里則多了能指哪兒打哪兒、來(lái)無(wú)影去無(wú)蹤的有力暗器。

　　隨著網(wǎng)絡(luò)空間成為大國(guó)博弈的新戰(zhàn)場(chǎng)，APT攻擊已成為業(yè)界公認(rèn)的后果嚴(yán)重又影響深遠(yuǎn)的高級(jí)網(wǎng)絡(luò)威脅。中國(guó)也是APT攻擊的主要受害國(guó)之一。依據(jù)國(guó)內(nèi)網(wǎng)絡(luò)威脅情報(bào)廠商天際友盟RedQueen平臺(tái)2018年數(shù)據(jù)，北京、廣州、臺(tái)灣、香港地區(qū)是受APT攻擊影響程度最深的重災(zāi)區(qū)。2020年，360公司捕獲了美國(guó)中央情報(bào)局CIA攻擊組織（APT-C-39）對(duì)我國(guó)進(jìn)行的長(zhǎng)達(dá)十一年的網(wǎng)絡(luò)攻擊滲透。在此期間，我國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個(gè)部門均遭到不同程度的攻擊。目前只有少數(shù)公司具備發(fā)現(xiàn)美國(guó)APT攻擊的能力。發(fā)現(xiàn)和斬?cái)嘁悦绹?guó)為首的APT組織攻擊黑手，關(guān)乎國(guó)家安危，對(duì)我們來(lái)說(shuō)至關(guān)重要。