APT是一種針對性、隱蔽性、持續性極強的網絡攻擊行為,其攻擊目標為政府、大學、醫療、企業、科研等資訊基礎設施運維單位等重要組織機構。
目前已發現的絕大多數APT組織都具有國家或政府背景,相關攻擊行為通常由某個與特定國家政府關聯的實體機構具體實施。
過去數年,360公司持續跟蹤美國APT組織及其活動情況,發現美國頂尖APT組織對全球各國的政府機構、重要組織和資訊基礎設施實施了復雜、精密、持續性的APT攻擊行動。
本次針對美國代表性APT組織編制【美相關APT組織分析報告】,針對美國代表性APT組織架構、攻擊武器、實施過程展開分析,全面印證美國APT組織憑借高度自動化、工程化的先進網絡武器裝備發起無差別網絡攻擊,給全球帶來無窮的安全隱憂。
一、APT-C-16(索倫之眼)
索倫之眼(Project Sauron)組織,又名Strider、Sauron、APT-C-16、神行客,最早活躍於2011年,並一直活躍至2016年8月。其不僅是一個頂級黑客組織,而是一個擁有精密技術的頂級間諜模型平台。
該組織攻擊過的目標包括中國、俄羅斯、比利時、伊朗、瑞典、盧旺達等 30 多個國家,以竊取敏感資訊為主要目的。受該組織攻擊的機構包括國防部門、大使館、金融機構、政府部門、電信公司、軍事和基礎設施領域以及科技研究中心等。
其攻擊武器是一款名為Remsec的遠端控制軟件,能夠在受感染電腦上開啟後門,記錄使用者點選的按鍵,並盜取相關檔主要用來暗中監視和控制目標。Remsec在攻擊方式、攻擊效果和攻擊隱蔽性等方面具有領先能力。
二、APT-C-39(CIA)
美國中央情報局(Central Intelligence Agency,簡稱 CIA)是美國聯邦政府主要情報機構之一,下設情報處(DI)、秘密行動處(NCS)、科技處(DS&T)、支援處(DS)四個部門。長期以來,CIA在世界各地秘密實施「和平演變」和「顏色革命」,持續進行間諜竊密活動。
CIA組織架構
CIA 網絡武器使用了極其嚴格的間諜技術規範,各種攻擊手法前後呼應、環環相扣,現已覆蓋全球幾乎所有互聯網和物聯網資產,可以隨時隨地控制別國網絡,盜取別國重要、敏感數據。
Vault7(穹窿7)黑客工具是CIA從事網絡戰的重要武器,能夠結合多種電腦病毒、惡意軟件、木馬程式,對蘋果、安卓手機系統、Windows 電腦作業系統進行攻擊。
CIA還使用了Fluxwire(磁通線)後門程式平台、Athena(雅典娜)程式、Grasshopper(蚱蜢)後門程式、AfterMidnight(午夜之後)後門程式、ChimayRed(智美紅帽)漏洞利用工具、HIVE(蜂巢)網絡攻擊平台等攻擊武器。
三、APT-C-40(NSA)
美國國家安全域(NSA)是完全隸屬於美國軍方的組織,專註於電子情報和網絡戰,下屬包括16個單位。
NSA針對中國各行業龍頭企業,政府、大學、醫療機構、科研機構,甚至關乎國計民生的重要資訊基礎設施運維單位等機構實施了長達十余年時間的秘密黑客攻擊活動,竊取了海量重要數據,造成的潛在威脅難以評估。
NSA組織架構
NSA 的實戰化網絡攻擊武器體系極其復雜,在攻擊過程中會植入的不同階段會針對特定目標植入不同和類別的後門木馬程式。
NSA 針對全球發起網絡攻擊事件中使用的武器類別主要分為五大類,分別是:漏洞攻擊突破類武器,如「剃須刀」、「孤島」、「酸狐貍」武器平台、Validator驗證器等;持久化控制類武器,如「二次約會」、「NOPEN」木馬、「怒火噴射」、「狡詐異端犯」、「堅忍外科醫生」等;嗅探竊密類武器,如「飲茶」、「敵後行動」系列武器等;隱蔽消痕類武器,如「吐司麪包」等;以及攻擊平台類武器,如Quantum(量子)攻擊系統。
四、總結
透過對美代表性APT組織分析,我們發現:美國APT組織網絡武器攻擊已完全實作了工程化、自動化;為實施並制勝網絡戰,美國政府充分利用一切先進技術和網絡資源;美國 APT 組織的網絡攻擊屬於無差別攻擊,目標是全球範圍,甚至包括美國盟友;美國的網絡戰戰略,或不僅限於網絡竊密。
