APT是一種針對性、隱蔽性、持續(xù)性極強(qiáng)的網(wǎng)絡(luò)攻擊行為，其攻擊目標(biāo)為政府、大學(xué)、醫(yī)療、企業(yè)、科研等信息基礎(chǔ)設(shè)施運(yùn)維單位等重要組織機(jī)構(gòu)。

　　目前已發(fā)現(xiàn)的絕大多數(shù)APT組織都具有國家或政府背景，相關(guān)攻擊行為通常由某個(gè)與特定國家政府關(guān)聯(lián)的實(shí)體機(jī)構(gòu)具體實(shí)施。

　　過去數(shù)年，360公司持續(xù)跟蹤美國APT組織及其活動情況，發(fā)現(xiàn)美國頂尖APT組織對全球各國的政府機(jī)構(gòu)、重要組織和信息基礎(chǔ)設(shè)施實(shí)施了復(fù)雜、精密、持續(xù)性的APT攻擊行動。本次針對美國代表性APT組織編制《美相關(guān)APT組織分析報(bào)告》，針對美國代表性APT組織架構(gòu)、攻擊武器、實(shí)施過程展開分析，全面印證美國APT組織憑借高度自動化、工程化的先進(jìn)網(wǎng)絡(luò)武器裝備發(fā)起無差別網(wǎng)絡(luò)攻擊，給全球帶來無窮的安全隱憂。

　　一、APT-C-16（索倫之眼）

　　索倫之眼（Project Sauron）組織，又名Strider、Sauron、APT-C-16、神行客，最早活躍于2011年，并一直活躍至2016年8月。其不僅是一個(gè)頂級黑客組織，而是一個(gè)擁有精密技術(shù)的頂級間諜模型平臺。

　　該組織攻擊過的目標(biāo)包括中國、俄羅斯、比利時(shí)、伊朗、瑞典、盧旺達(dá)等 30 多個(gè)國家，以竊取敏感信息為主要目的。受該組織攻擊的機(jī)構(gòu)包括國防部門、大使館、金融機(jī)構(gòu)、政府部門、電信公司、軍事和基礎(chǔ)設(shè)施領(lǐng)域以及科技研究中心等。

　　其攻擊武器是一款名為Remsec的遠(yuǎn)程控制軟件，能夠在受感染計(jì)算機(jī)上打開后門，記錄用戶點(diǎn)擊的按鍵，并盜取相關(guān)文件主要用來暗中監(jiān)視和控制目標(biāo)。Remsec在攻擊方式、攻擊效果和攻擊隱蔽性等方面具有領(lǐng)先能力。

　　二、APT-C-39（CIA）

　　美國中央情報(bào)局（Central Intelligence Agency，簡稱 CIA）是美國聯(lián)邦政府主要情報(bào)機(jī)構(gòu)之一，下設(shè)情報(bào)處（DI）、秘密行動處（NCS）、科技處（DS&T）、支援處（DS）四個(gè)部門。長期以來，CIA在世界各地秘密實(shí)施“和平演變”和“顏色革命”，持續(xù)進(jìn)行間諜竊密活動。

　　CIA 網(wǎng)絡(luò)武器使用了極其嚴(yán)格的間諜技術(shù)規(guī)范，各種攻擊手法前后呼應(yīng)、環(huán)環(huán)相扣，現(xiàn)已覆蓋全球幾乎所有互聯(lián)網(wǎng)和物聯(lián)網(wǎng)資產(chǎn)，可以隨時(shí)隨地控制別國網(wǎng)絡(luò)，盜取別國重要、敏感數(shù)據(jù)。

　　Vault7（穹窿7）黑客工具是CIA從事網(wǎng)絡(luò)戰(zhàn)的重要武器，能夠結(jié)合多種計(jì)算機(jī)病毒、惡意軟件、木馬程序，對蘋果、安卓手機(jī)系統(tǒng)、Windows 電腦操作系統(tǒng)進(jìn)行攻擊。

　　CIA還使用了Fluxwire（磁通線）后門程序平臺、Athena（雅典娜）程序、Grasshopper（蚱蜢）后門程序、AfterMidnight（午夜之后）后門程序、ChimayRed（智美紅帽）漏洞利用工具、HIVE（蜂巢）網(wǎng)絡(luò)攻擊平臺等攻擊武器。

　　三、APT-C-40（NSA）

　　美國國家安全局（NSA）是完全隸屬于美國軍方的組織，專注于電子情報(bào)和網(wǎng)絡(luò)戰(zhàn)，下屬包括16個(gè)單位。

　　NSA針對中國各行業(yè)龍頭企業(yè)，政府、大學(xué)、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)，甚至關(guān)乎國計(jì)民生的重要信息基礎(chǔ)設(shè)施運(yùn)維單位等機(jī)構(gòu)實(shí)施了長達(dá)十余年時(shí)間的秘密黑客攻擊活動，竊取了海量重要數(shù)據(jù)，造成的潛在威脅難以評估。

　　NSA組織架構(gòu)

　　NSA 的實(shí)戰(zhàn)化網(wǎng)絡(luò)攻擊武器體系極其復(fù)雜，在攻擊過程中會植入的不同階段會針對特定目標(biāo)植入不同和類型的后門木馬程序。

　　NSA 針對全球發(fā)起網(wǎng)絡(luò)攻擊事件中使用的武器類別主要分為五大類，分別是：漏洞攻擊突破類武器，如“剃須刀”、“孤島”、“酸狐貍”武器平臺、Validator驗(yàn)證器等；持久化控制類武器，如“二次約會”、“NOPEN”木馬、“怒火噴射”、“狡詐異端犯”、“堅(jiān)忍外科醫(yī)生”等；嗅探竊密類武器，如“飲茶”、“敵后行動”系列武器等；隱蔽消痕類武器，如“吐司面包”等；以及攻擊平臺類武器，如Quantum（量子）攻擊系統(tǒng)。

　　四、總結(jié)

　　通過對美代表性APT組織分析，我們發(fā)現(xiàn)：美國APT組織網(wǎng)絡(luò)武器攻擊已完全實(shí)現(xiàn)了工程化、自動化；為實(shí)施并制勝網(wǎng)絡(luò)戰(zhàn)，美國政府充分利用一切先進(jìn)技術(shù)和網(wǎng)絡(luò)資源；美國 APT 組織的網(wǎng)絡(luò)攻擊屬于無差別攻擊，目標(biāo)是全球范圍，甚至包括美國盟友；美國的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略，或不僅限于網(wǎng)絡(luò)竊密。

　　來源：“國際安全智庫”微信公眾號