2023年4月,由中国信息安全测评中心牵头编写的《全球高级持续性威胁(APT)研究报告》(以下称《报告》)正式发布。
摘录 | 《全球高级持续性威胁(APT)研究报告》
来源 | 中国信息安全测评中心
互联网的快速发展,将网络空间与政治、经济、文化、社会、军事等国家安全领域紧密联系起来。5G、云计算、物联网、工业互联网等新型技术发展助推网络攻击的深化泛化。
随着网络攻击的发展和国际局势的加剧,组织性复杂、计划性高效和针对性明确的攻击活动更趋常态化, 高级持续性威胁(APT)攻击成为网络空间突出风险源。
当前,APT 已是网络空间中社会影响最广、防御难度最高、关联地缘博弈最紧密的斗争形态,直接影响现实国家安全,更是国际关系中的重要议题。
我国是APT主要受害国,不仅面临国家背景的超高能力威胁行为体的现实威胁,还需应对周边地区威胁行为体的常态化挑衅;受害对象涵盖我国政府、军事、经济、教育、科研等重点部门;攻击者手法和目标持续更新升级,目标扩散,攻击深入,尤以美国发动的对华 APT 攻击最甚。
攻击数量持续增加
2022 年针对中国的 APT 攻击呈现持续高发状态,国内安全公司公开发布的受害目标涉及中国的活跃组织分析报告 22 份, 分布情况如图 1 所示。
图1:2022 年度受害目标涉及中国的公开报告数量月度分布
值得注意的是,实际发生在我境内的 APT 攻击事件远高于公开披露数据,仅对我攻击的 APT 组织就达数十之多。相关报告所涉及的 APT 组织除了美国安局“方程式”外, 其余大部分来自我国周边地区。具体情况如表 1 所示。
表1:针对我国的部分 APT 组织
1.境内受控 IP 数量增加
展开全文
2022 年, 我国大量 IP 与多个境外 APT 组织 C2 服务器(Command & Control Server,远控服务器)发生通信行为,攻击高峰为年中、年末两个时期,且年中 5、6 月份的攻击频率显著高于其他时期,6 月份境内疑似受控的 IP 数量甚至达到了 12 月的 2 倍,如图 2 所示。
图2:2022 年中国境内疑似受控 IP 数量月度分布
2022 年,中国境内每月受控 IP 数量与去年同期数据对比如图 3 所示。
图3:2022 年每月受控 IP 数量与 2021 年同期对比
总的来看,2022 年整体趋势与 2021 年大体类似,存在年中年末两个攻击上升时期,但 2021 年疑似受控 IP 数量峰值比 2022 年高,尤其 12 月较为明显;2022 年受境外APT 组织攻击较为密集的时期为 6 月,较 2021 年提前一个月,但 2022 年 5-6 月疑似受控 IP 数量一直保持在较高状态。
2.攻击组织来源多样化
在对我进行网络攻击的活跃组织中,不仅包含在全球大范围实施攻击活动的APT 组织,如,“拉撒路”(Lazarus)、“方程式”(Equation)、APT-C-40(源自美国国家安全局)在针对全球的广泛攻击目标中包含中国;还有在近年攻击活动中专门针对中国目标的 APT 组织,如,“摩诃草”、TA575、“虎木槿”(OperationShadowTiger)、“蔓灵花”等。
2022 年内有数十个境外APT 组织对我国境内 IP 地址发生过非法连接,主要发起攻击的 APT 组织具体占比情况如图 4 所示。
图4:2022年APT组织控制境内IP数量占比及C2服务器数量分布
一方面,我国周边国家地区 APT 组织对我发起频繁攻击,涉及“海莲花”“毒云藤”“蔓灵花”“虎木槿”等组织。“ 海莲花”针对我国关键基础设施部门逐步实施供应链攻击与漏洞攻击;“ 毒云藤”仍深耕网络钓鱼活动,向国内多个目标投递钓鱼邮件。
另一方面,美国将我设定为网络空间最为主要的对手,一直对我实施高级别的网络攻击,凭借其复杂的技术手段,难以窥其全貌。2022 年曝光的美国安局所属的“ 方程式”对我国内重要基础设施发起多起大规模网络攻击,也只是其所实施的网络霸权的“冰山一角”。
攻击手段日益复杂化
1.“专门定制”对我网攻工具
各 APT 组织在长期针对我国网络攻击中逐渐“摸清”我重要行业的薄弱点和风险点,定制相关TTPs。如,“ 海莲花”在 2022 年 5 月针对我国产化系统的定向攻击中专门基于我国产化系统的特点对其攻击载荷进行了定制,特别研发了针对 MIPS 架构的木马程序。“ 摩诃草”在对我攻击活动中所使用的后门程序在连接控制服务器之间会专门检测目标机器的时区设置是否为中国。
AgainstTheWest(ATW)黑客组织早期主要针对 SonarQube 代码质量管理平台进行攻击,在 2022 年初其攻击目标又扩大到我国广泛使用的Gitblit、Gogs 等代码存储管理平台。
2.检测规避手法日益精进
部分 APT 组织为实现更深层次的控制和隐蔽,不断更新迭代武器库,采用多种技术、手法进行伪装、混淆和隐藏,以实现规避、绕过网络、主机等层面检测。
如,“ 摩诃草”在 2022 年的攻击活动中,使用窃取的签名对其恶意代码进行伪装,以降低在主机端暴露的风险;引入开源加密库,更新加密算法,以实现在流量层面的隐藏;攻击载荷中增加对重点API 调用监控的功能, 以绕过部分安全产品的检测。
3.攻击凭借日益复杂隐蔽
利用零日漏洞、开源软件供应链等较为复杂隐蔽的手段渗透到我国目标系统的攻击事件高发。Log4j 作为近两年来影响最严重的开源软件漏洞,在 2022 年仍然受到各类涉华 APT 组织青睐。
攻击目标呈现弥散特点
涉华 APT 组织重点关注政府、科研、金融等关键信息基础设施,具有信息窃取、经济获利、情报刺探、物理破坏等多种攻击意图。
1.重点攻击政府、科研、金融等关键信息基础设施
涉华 APT 攻击活动中,目标涉及政府、金融、科研、能源、医疗、电力、电信等关键信息基础设施和重要信息系统(如图 5 所示),旨在进行敏感信息窃取、物理破坏以影响系统正常运行。
图5:2022 年高级威胁事件涉及境内行业分布情况
涉华 APT 组织在长期攻击活动中形成一定的行业倾向,如表 2 所示。
表2:针对我国境内目标的活跃 APT 组织及其关注的行业领域
2.经济发达省份和政治中心仍是主要目标地区
2022 年,中国境内疑似连接过境外 APT 组织 C2 服务器的 IP 地址数量较多的前 10 个省份地域如图 6 所示。可以看出,经济发达省份和政治中心是境外 APT 组织重点攻击的主要目标地区,其中,北京市是 APT 组织的重点目标地区,其次是广东、上海、福建、安徽等地区。
图6:2022 年中国境内疑似受控 IP 地域分布
针对北京市进行攻击的境外 APT 组织依然主要来自我国周边国家地区,具体活跃排名如表 3 所示。
表3:攻击北京市内目标的境外 APT 组织排名
美国对我网攻愈演愈烈
美国将中国视为最主要的“战略竞争对手”,在现实社会和网络空间中同步打压。拜登政府上台以来,持续实施“前置防御”“前沿狩猎”等进攻性网络行动,瞄准目标国家开展大量的数据窃取、后门部署、网络攻击等活动,其中 APT 是重要手段。
2022 年曝光的美国对我 APT 攻击事件中,显示美对我开展大规模、长时间、系统性的网络攻击,潜伏时间长、“后门”利用多、跳板部署广,对我国国防安全、关键基础设施安全、金融安全以及公民个人信息造成严重危害。
1.潜伏时间长
隶属于美国的 APT 组织技术复杂、溯源难度大,在针对目标对象的攻击活动中善于长远规划,潜伏长达十余年。近年来,随着我国网络攻击溯源技术的提升,美国对我实施的网络攻击的图景正逐渐揭开“迷雾”。
2022 年公开披露的美对我攻击案例中,均是潜伏多年的老练APT 组织,APT-C-40 针对系列行业龙头企业长达十余年时间的攻击活动就是美对我长期开展网络情报刺探的典型例证。
2.“后门”利用多
美国囤有大量的网络漏洞和武器平台,具有大量打击目标国家的“弹药”和“发射器”。2022 年,前有美“方程式”组织制造的顶级后门程序“ 电幕行动”(Bvp47)曝光,后有美 NSA 特定入侵行动办公室(TAO)的漏洞攻击武器平台“ 酸狐狸”揭开神秘面纱, 广泛入侵包括我国在内的全球数十个国家和地区,美国成为网络空间最大的不稳定因素。
3.攻击目标“精”
随着美对华网络对抗的国家安全化,美在网络空间逐渐采取一种更为精进的攻击策略,即从传统基于全领域全平台的攻击逐渐转向特定重点目标,嵌入我重要供应链、关键基础设施以及重要技术领域,2022 年 3 月份曝光的美国国家安全局(NSA)针对中国境内目标所使用的 Quantum(量子)攻击平台就是例证。
更加聚焦的攻击目标以及更高级的手段运用也是美国区别于其他国家APT 组织的典型例证。
4.跳板部署广
盟友是美网络霸权的关键支柱,在高级复杂的网络攻击活动中,美国各级别的盟友在攻击链中占据关键节点。2022 年 6 月曝光的 美入侵西北工业大学行动中,先后使用了 54 台跳板机和代理服务器,广泛分布在日本、韩国、瑞典、波兰、乌克兰等 17 个国家,其中 70% 位于中国周边国家。
可以看出,“五眼联盟”此类在传统地缘中结成的联盟在网络空间依然联结紧密。美通过此举不仅可掩盖发起网络攻击的真实网络协议地址,增加溯源难度,还可将盟友纳入美网络攻击环,实施所谓网络空间集体行动。
*本转载文章出于非商业性的教育和科研目的,如涉及版权等问题,请立即联系我们予以更改或删除。
END
投稿邮箱:editor@ha.edu.cn。在《河南教育信息化》电子期刊发表的文章,可参评我省教育信息化优秀成果奖论文类成果(详情请查看《河南省教育厅办公室 关于开展2023年度河南省教育信息化优秀成果奖申报工作的通知》)。