《美相关APT组织分析报告》正式发布

APT是一种针对性、隐蔽性、持续性极强的网络攻击行为，其攻击目标为政府、大学、医疗、企业、科研等信息基础设施运维单位等重要组织机构。

目前已发现的绝大多数APT组织都具有国家或政府背景，相关攻击行为通常由某个与特定国家政府关联的实体机构具体实施。

过去数年，360公司持续跟踪美国APT组织及其活动情况，发现美国顶尖APT组织对全球各国的政府机构、重要组织和信息基础设施实施了复杂、精密、持续性的APT攻击行动。本次针对美国代表性APT组织编制《美相关APT组织分析报告》，针对美国代表性APT组织架构、攻击武器、实施过程展开分析，全面印证美国APT组织凭借高度自动化、工程化的先进网络武器装备发起无差别网络攻击，给全球带来无穷的安全隐忧。

一、APT-C-16（索伦之眼）

索伦之眼（Project Sauron）组织，又名Strider、Sauron、APT-C-16、神行客，最早活跃于2011年，并一直活跃至2016年8月。其不仅是一个顶级黑客组织，而是一个拥有精密技术的顶级间谍模型平台。

该组织攻击过的目标包括中国、俄罗斯、比利时、伊朗、瑞典、卢旺达等 30 多个国家，以窃取敏感信息为主要目的。受该组织攻击的机构包括国防部门、大使馆、金融机构、政府部门、电信公司、军事和基础设施领域以及科技研究中心等。

其攻击武器是一款名为Remsec的远程控制软件，能够在受感染计算机上打开后门，记录用户点击的按键，并盗取相关文件主要用来暗中监视和控制目标。Remsec在攻击方式、攻击效果和攻击隐蔽性等方面具有领先能力。

二、APT-C-39（CIA）

美国中央情报局（Central Intelligence Agency，简称 CIA）是美国联邦政府主要情报机构之一，下设情报处（DI）、秘密行动处（NCS）、科技处（DS&T）、支援处（DS）四个部门。长期以来，CIA在世界各地秘密实施“和平演变”和“颜色革命”，持续进行间谍窃密活动。

CIA组织架构

CIA 网络武器使用了极其严格的间谍技术规范，各种攻击手法前后呼应、环环相扣，现已覆盖全球几乎所有互联网和物联网资产，可以随时随地控制别国网络，盗取别国重要、敏感数据。

Vault7（穹窿7）黑客工具是CIA从事网络战的重要武器，能够结合多种计算机病毒、恶意软件、木马程序，对苹果、安卓手机系统、Windows 电脑操作系统进行攻击。

CIA还使用了Fluxwire（磁通线）后门程序平台、Athena（雅典娜）程序、Grasshopper（蚱蜢）后门程序、AfterMidnight（午夜之后）后门程序、ChimayRed（智美红帽）漏洞利用工具、HIVE（蜂巢）网络攻击平台等攻击武器。

三、APT-C-40（NSA）

美国国家安全局（NSA）是完全隶属于美国军方的组织，专注于电子情报和网络战，下属包括16个单位。

NSA针对中国各行业龙头企业，政府、大学、医疗机构、科研机构，甚至关乎国计民生的重要信息基础设施运维单位等机构实施了长达十余年时间的秘密黑客攻击活动，窃取了海量重要数据，造成的潜在威胁难以评估。

NSA组织架构

NSA 的实战化网络攻击武器体系极其复杂，在攻击过程中会植入的不同阶段会针对特定目标植入不同和类型的后门木马程序。

NSA 针对全球发起网络攻击事件中使用的武器类别主要分为五大类，分别是：漏洞攻击突破类武器，如“剃须刀”、“孤岛”、“酸狐狸”武器平台、Validator验证器等；持久化控制类武器，如“二次约会”、“NOPEN”木马、“怒火喷射”、“狡诈异端犯”、“坚忍外科医生”等；嗅探窃密类武器，如“饮茶”、“敌后行动”系列武器等；隐蔽消痕类武器，如“吐司面包”等；以及攻击平台类武器，如Quantum（量子）攻击系统。

四、总结

通过对美代表性APT组织分析，我们发现：美国APT组织网络武器攻击已完全实现了工程化、自动化；为实施并制胜网络战，美国政府充分利用一切先进技术和网络资源；美国 APT 组织的网络攻击属于无差别攻击，目标是全球范围，甚至包括美国盟友；美国的网络战战略，或不仅限于网络窃密。

来源：“国际安全智库”微信公众号

(责编：崔译戈、刘叶婷)