【文章內(nèi)容簡介】 一定程度上反應(yīng)全球 APT 研究的關(guān)注點(diǎn)和 發(fā) 展趨 勢 。 在 2020 年 360 威脅 情 報中心 監(jiān) 測到的 APT 報告中 ， 被提及次 數(shù) 最多的 被攻擊國 家 依次 是 ： 中 國 、 美 國 、 印 度 、 俄羅 斯 、 烏 克 蘭 、 巴 基 斯坦 、 伊朗、 韓國、日 本 、以色 列 、土耳 其 、埃及 和 沙特阿 拉 伯這 13 國家。 3 2020 年中 國 高級持 續(xù) 性威 脅 （ APT） 研究報告 被攻擊 目標(biāo)國家 所屬 地區(qū) 相關(guān)報 告數(shù)量 攻擊組 織數(shù)量 主要被攻擊領(lǐng)域 中國 亞洲 26 9 政府 、 基礎(chǔ)設(shè)施 、 教 育 、 科 研 、 大 型企業(yè) 美國 北美 15 9 政府 、 金 融 、 基 礎(chǔ)設(shè) 施 、 大 型 企業(yè) 印度 亞洲 15 7 政府、軍 事 、商業(yè) 組 織 俄羅斯 歐洲 15 6 政府、能 源 、軍事 、 外交、 金 融 烏克蘭 歐洲 14 5 政府、軍 事 、電力 、 金融 巴基斯坦 亞洲 13 3 政府、軍 事 、外交 、 能源、 教 育、 科研 伊朗 亞洲 12 3 政府、外 交 、能源 韓國 亞洲 8 4 政府、大 型 企業(yè) 日本 亞洲 3 3 基礎(chǔ)設(shè)施 、 組織機(jī) 構(gòu) 、大型 企 業(yè) 以色列 亞洲 3 3 政府、軍 事 、金融 土耳其 亞洲 3 2 政府、軍事 沙特阿拉伯 亞洲 2 2 軍事、金融 埃及 非洲 2 2 政府、軍 事 、金融 表 2 全球 APT 研究關(guān)注被攻擊國家排行 從上表中 可 以看出 ， 無論是 從 相關(guān)研 究 報告的 數(shù) 量 來 看 ， 還是 從 攻擊組 織的數(shù)量 來 看，中 國 都是 全 球 APT 攻擊的第一目 標(biāo) 國。各家 報 告披露 的 攻 擊美國的 APT 組織數(shù)量與中 國 相同 ， 也是 9 個 。 同 時，盯上 印 度、俄 羅 斯 和烏克蘭的 APT 組織也都超 過 了 5 個。 另外 ， 在 2020 年 360 威 脅情報 中 心監(jiān)測 到 的 APT 報 告中 ， 我們還 能 看 到 ： 攻擊政府 和 外交領(lǐng) 域 的 APT 組織最多 ， 達(dá) 21 個； 其次是金融 領(lǐng) 域 ， 15 個 ； 接 下 來以商 業(yè) 和技術(shù) 機(jī) 密為目 的 ， 攻 擊 大型 企業(yè) 、 商業(yè) 組 織和技 術(shù) 組織 的 APT 組織 ， 共 14 個 ； 攻擊軍事 、 部 隊或其 他 國防 機(jī) 構(gòu)的 APT 組織 13 個； 攻擊能 源 、 交 通 、 電 力 、 醫(yī)療等 基 礎(chǔ)設(shè) 施 的 APT 組織也有 12 個 。 有 趣 的是， 還有 3 個 APT 組織會專門 針 對特定 的 個人發(fā) 起 攻 擊 ，這些被 攻 擊的個 人 大 多為政治 異 見者或 媒 體從業(yè) 人 員 。 最 后 是 攻擊 教 育 、 科 研領(lǐng)域的 組 織共 2 個。 排行 APT 攻擊領(lǐng)域 攻擊組織數(shù)量 1 政府、外交 21 2 金融 15 3 大型企業(yè)、商業(yè) 組 織、技術(shù)組織 14 4 軍事、部隊、國防 13 5 能源、交通、電 力 、醫(yī)療等基 礎(chǔ) 設(shè)施 12 6 特殊個人 3 7 教育、科研 2 表 3 全球 APT 研究關(guān)注的 APT 組織攻擊領(lǐng)域 4 還有一點(diǎn) 值 得注意 ： APT 組織的攻擊 雖 然具有 很 強(qiáng) 的 針對性 ， 但 其攻擊 目標(biāo)也并 不 一定是 單 一的 。 有 的 APT 組織只攻擊 特 定國家特 定 領(lǐng) 域 的 目標(biāo) （僅從目 前 已經(jīng)披 露 的情況看 ） ， 但 也 有很多 APT 組織會對多 個 國 家 的 不同 領(lǐng)域目標(biāo) 展 開攻 擊 。 下圖 給 出了 2020 年全球 各 國 研 究 機(jī)構(gòu)發(fā) 布 的 APT 研究 報告中， 披露 APT 組織攻擊目標(biāo) 的 所 屬 國家、 領(lǐng) 域 數(shù) 量分析。 三、 主要 APT 組 織的 活 躍時間 結(jié)合 360 威脅 情 報中心 的 大數(shù)據(jù) 監(jiān) 測分 析 ， 以及 2020 年以 來 全球各研 究機(jī)構(gòu)與 安 全專家 發(fā) 布的 APT 研究報告 ， 我 們 給出了 2020 年部分 APT 組織 主要活躍 時 間的分 析 （精確 到 月 ） ，詳 見 下圖。 5 2020 年中 國 高級持 續(xù) 性威 脅 （ APT） 研究報告 第二章 針對中 國 的 APT 攻擊 一、 攻擊中國的 APT 組織 截至 2020 年 12 月底 ， 360 威 脅情報 中 心已累 計 監(jiān) 測 到的針對 中 國境內(nèi) 目標(biāo)發(fā)動 攻 擊的境 內(nèi) 外 APT 組織 36 個。 在這 36 個 APT 組織中 ， 針 對 中國境 內(nèi) 目標(biāo)的 攻 擊 最 早可以追 溯 到 2020 年 。 而最 近 三個 月 （ 2020 年 9 月 11 月 ） 內(nèi)仍 然 處 于 活躍狀態(tài)的 APT 組織至 少有 13 個。 統(tǒng)計顯示 ， 僅僅在 過 去的 12 個月中 ， 這些 APT 組織發(fā)動的攻 擊 行動， 至少影響 了 中國境 內(nèi) 超過萬 臺 電腦， 攻 擊范圍 遍 布 國 內(nèi) 31 個省 級 行政區(qū)。 下表給出 了 部分針 對 中國境 內(nèi) 目標(biāo)發(fā) 動 攻擊的 APT 組織互動情 況 。 APT 組織 APT 行動 首先披露 報告廠商 最早活動 時間 最近活動 時間 APT28 APT28 Fireeye 2020 年 2020 年 11 月 APTC12 APTC12 360 2020 年 2020 年 10 月 OceanLotus （ APTC00） OceanLotus 360 2020 年 2020 年 11 月 蔓靈花 蔓靈花 Forcepoint 2020 年 2020 年 11 月 索倫之眼 索倫之眼 Symantec 2020 年 2020 年 8 月 摩訶草 摩訶草 Norman 2020 年 2020 年 11 月 表 4 針對中國境內(nèi)目標(biāo)攻擊的部分 APT 組織活動情況 二、 疑似 APT 攻 擊的 目標(biāo) 本報告定 義 以下組 織 機(jī)構(gòu)為 疑 似 APT 攻擊目標(biāo)： 若 某個惡 意 程 序樣本 或 Camp。C 服務(wù)器已 經(jīng) 被確定 為 特定 APT 組織專用 ， 且 某組織機(jī) 構(gòu) 的 內(nèi)部 系統(tǒng) 中出現(xiàn)了 該 惡意程 序 或與該 Camp。C 服 務(wù) 器有異 常 通 信 等狀況發(fā) 生 時 ， 則 稱該 組織機(jī)構(gòu) 為 疑似 APT 攻擊目標(biāo)。 通過對 360 威 脅情報 中 心截 獲 的 36 個 APT 組織專 用 木馬的全 網(wǎng) 檢測分 析發(fā)現(xiàn) ， 截 至 2020 年 12 月 ， 國內(nèi) 疑 似 APT 攻擊目標(biāo)的組織機(jī) 構(gòu) 近 200 個。 若按照機(jī) 構(gòu) 的數(shù)量 統(tǒng) 計 ， 大 學(xué) 占比最 高 ，為 %； 其次是企 業(yè) ，占比 %； 再次是 政 府及事 業(yè) 單位 ， 占比 %； 還 有 科 研機(jī)構(gòu)占比 %， 其 他機(jī)構(gòu)或 個 人，占比 %。 若按照機(jī) 構(gòu) 內(nèi)設(shè)備 感 染專用 木 馬 的 數(shù) 量 統(tǒng)計 ， 則 企 業(yè) 是第一大 疑 似攻擊 6 目標(biāo) ， 占 比 為 %； 其 次是大 學(xué) ， 占比 %； 政 府及 事業(yè)單位 占 比 %， 科研機(jī)構(gòu)占 比 %；其 他 機(jī)構(gòu)或 個 人占比 %。 APT 組織攻擊不同類 型 的境 內(nèi) 機(jī)構(gòu)， 其 攻擊領(lǐng) 域 和 目 的也有所 不 同。 例如，在針 對 大學(xué)的 攻 擊中 ， 攻 擊者除了 會 攻擊大 量 的綜合性大 學(xué) 外， 還會專門 攻 擊通信 與 計算機(jī) 、 軍事與 國 防、涉 外 學(xué) 科 等專業(yè)領(lǐng) 域 的 院校。 在針對企 業(yè) 的攻擊 中 ， 攻 擊 者重點(diǎn) 關(guān) 注的領(lǐng) 域 依次 是 ： 通信 網(wǎng) 絡(luò) 、 電子 電器、海 洋 與港口、能 源 化工、交通運(yùn)輸、 航 空 航 天和網(wǎng)絡(luò)安 全 ，且疑似 APT 攻擊目標(biāo)的企業(yè) 以 網(wǎng)絡(luò) 運(yùn) 維、工 程 建設(shè)和 制 造 業(yè) 企業(yè)居多。 在針對政府 機(jī) 構(gòu)和事 業(yè) 單位的 攻 擊 中 ，攻 擊 者重點(diǎn) 關(guān) 注的領(lǐng)域依 次 是： 涉外機(jī)構(gòu) 、 海洋、 教 育 、 國 土 與地質(zhì) 、 農(nóng)業(yè)、 水 利 和 通信網(wǎng) 絡(luò) 。 在針對科研 機(jī) 構(gòu) 的攻 擊 中，攻 擊 者重點(diǎn)關(guān) 注 的領(lǐng)域 依 次是 ： 海洋 科 學(xué)、 涉外研 究、 前沿 學(xué) 科 、 通信與 計 算 機(jī)、 社會 科 學(xué) 、 地 質(zhì)科學(xué) 、 生命科 學(xué) 和農(nóng) 業(yè)科學(xué)。 下圖給出了 2020 年 ， 疑似 APT 攻擊目標(biāo)的境 內(nèi) 組 織 機(jī)構(gòu)占比 情 況及被 攻擊領(lǐng)域 的 圖譜分 析 。 三、 APT 攻擊的 時 空分布 根據(jù) 360 威 脅情報 中 心的統(tǒng) 計 顯 示 （不含 港 澳臺地 區(qū) ） ： 國內(nèi)受 APT 攻 擊影響最大 ， 感染專 用 木馬用 戶 最多的 省 級行政 區(qū)依 次是 ： 廣東 、 北 京 、 浙 江 、 江蘇 、 山東 。 而受影 響 最小 ， 專 用 木馬感 染 量 最 小 的 五個 省 級行政 區(qū) 依 次是：新 疆 、海南 、 寧夏、 青 海、西 藏 。 關(guān)于 APT 攻擊在中 國 境內(nèi)的 分 布 情況，詳 見 下圖（ 不 含港澳 臺 地區(qū) ） 。 7 2020 年中 國 高級持 續(xù) 性威 脅 （ APT） 研究報告 下圖給出了 2020 年 以來， APT 攻擊影響中國 境 內(nèi) 用 戶數(shù)量 的 月 度分布 情況。 8 第三章 針對工 業(yè) 系統(tǒng) 的 破壞 從全球范 圍 內(nèi)的 APT 攻擊事件監(jiān)控與研究 情 況來 看 ，絕大多數(shù)的 APT 攻擊是以 竊 取機(jī)密 信 息為主 要 目的 的 ， 而具有 顯 著 破 壞性的 APT 攻擊并不 多見 。 但 2020 年 末至 2020 年以來 ， 在 世界范 圍 內(nèi) 卻 先后發(fā)生 了 數(shù)起引 起 全 球關(guān)注的 ， 具有顯 著 破 壞 性 的 APT 攻擊事件。其 中 尤以針對 工 業(yè)系統(tǒng) 的 破 壞性攻擊 最 為引人 關(guān) 注。 2020 年 12 月 23 日 ， 也 就 是在圣 誕 節(jié)的前 夕 ， 烏 克 蘭 遭遇了大 規(guī) 模停電 事件，數(shù) 萬 “ 災(zāi)民 ” 不得不 在 嚴(yán)寒中 煎 熬； 而 在 2020 年 11 月 17 日晚，也 就是伊斯 蘭 教的大 赦 之夜 ， 沙 特阿拉 伯 又遭 遇 了 的攻擊， 包括 沙特國家 民 航總局 在 內(nèi)的 6 個 重要機(jī) 構(gòu) 的計算 機(jī) 系 統(tǒng) 遭到嚴(yán)重 破 壞 。 似 乎 每 到年末的 時 候 ， 針對工 業(yè) 系統(tǒng) 的 網(wǎng) 絡(luò)攻擊 就 會悄然 來 襲 ， 使 那些可 憐 的受害 者們無法 “ 安心過年 ” 。 一、 烏克蘭 圣 誕大 停 電事件 2020 年 12 月 23 日，也就是 2020 年 的 圣誕節(jié) 前 夕 ， 烏克蘭一 家 電力公 司的辦公 電 腦和 SCADA 系 統(tǒng) （ Supervisory Control And Data Acquisition 系統(tǒng)， 即數(shù)據(jù)采 集 與監(jiān)視 控 制系 統(tǒng) ， 一 般 用來代 指 工業(yè)控 制 系 統(tǒng) ） 遭受到 第 三方非 法入侵 。 事故 導(dǎo) 致伊萬 諾 弗 蘭 科夫斯 克 地區(qū)將 近 一 半 的家庭經(jīng) 歷 了數(shù)小 時 的 電力中 斷 。 起 初 ， 電 力 公司估 計 約 8 萬 名 左右的 用戶 受災(zāi) ， 后 發(fā)現(xiàn)共 有 三種 不同配電 站 的能源 公 司遭受 攻 擊，造 成 各領(lǐng)域約 萬名用戶 的 電 力中斷 。 攻擊事件 發(fā) 生后不久 ， 烏克 蘭 政府官 員 聲稱電 力 中 斷 是由網(wǎng)絡(luò) 攻 擊引起 的 ， 并 指 責(zé)俄羅 斯 國家安 全 部門應(yīng) 為 此事負(fù) 責(zé) 。 美國 政府 ， 以 及許多 的 當(dāng)?shù)? 私營企業(yè) 均 對烏克 蘭 的政府 調(diào) 查人員 施 以援手 ， 協(xié) 助 烏克蘭政 府 對攻擊 事 件 進(jìn)行分析 ， 以確定 故 障的根 本 原因。 2020 年 1 月 3 日 ， 安 全公司 ESET 最 早 披露了 本 次 事 件中的相 關(guān) 惡意代 碼 ， 并 發(fā) 表 文 章 稱 ： 烏 克 蘭 電 力 部 門 感 染 的 惡意 代 碼 為 BlackEnergy。 BlackEnergy 是一種后門程序，攻擊者能夠利用它來遠(yuǎn)程訪問 并 操控電力控 制系統(tǒng)；此外 ， 在烏克蘭境內(nèi)的多家配電公 司 設(shè) 備 中 還檢測出了惡意程序 KillDisk， 其 主 要作 用 是破 壞 系統(tǒng) 數(shù) 據(jù)以 延 緩系 統(tǒng) 的 恢 復(fù)過 程 。再 者 ， 研究 人員還在 電 力系統(tǒng) 的 其他服 務(wù) 器上發(fā) 現(xiàn) 了一個 被 添 加 后門的 SSH 服 務(wù) 端程