APT的攻擊事件從2009年開(kāi)始曝光(實(shí)際上APT攻擊在多年前就已經(jīng)發(fā)生)，逐漸被全世界所認(rèn)識(shí)。首先是2009年公布的“極光門”事件，黑客通過(guò)APT手段滲透進(jìn)了Google的內(nèi)網(wǎng)，控制了服務(wù)器，對(duì)敏感的郵件進(jìn)行篩選并竊取了大量的機(jī)密信息。最后美國(guó)政府調(diào)查并聲稱，不僅是Google，一共有30多家美國(guó)高科技公司被同一伙人用同樣手法入侵，竊取了大量的信息。

在2010年的時(shí)候，發(fā)生了一個(gè)真正的世界級(jí)的APT攻擊，就是伊朗的核電站被震網(wǎng)病毒攻擊，導(dǎo)致離心機(jī)超速運(yùn)轉(zhuǎn)并損毀。2011年，知名的網(wǎng)絡(luò)安全公司——RSA公司被專業(yè)的黑客滲透進(jìn)去，竊取了部分客戶的身份認(rèn)證信息，攻擊者利用這些信息再去滲透美國(guó)最大的軍火承包商的系統(tǒng)，竊取相應(yīng)的敏感信息。2012年，美國(guó)NASA的實(shí)驗(yàn)室被黑客用APT的手法入侵，竊取了大量的最先進(jìn)的技術(shù)資料。

這些受害單位包括頂級(jí)的IT公司、頂級(jí)的安全公司、國(guó)家最頂級(jí)的機(jī)密公司，為什么他們都被黑客輕易的滲透，沒(méi)有攔住這樣的攻擊?是他們的安全做的不好嗎?如果他們的安全都做的不好，還有哪個(gè)單位比他們做的更好，我們能夠阻擋住這樣的APT攻擊嗎?

實(shí)際上我們需要考慮IT環(huán)境到底發(fā)生了怎樣的變化。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)上的資產(chǎn)不斷在變化，我們的對(duì)手也不斷變得更加專業(yè)，更加有組織，更加有資產(chǎn)，攻擊也變得更加的專業(yè)。有些人說(shuō)是不是只有重要的機(jī)構(gòu)、涉及國(guó)計(jì)民生的行業(yè)和大型組織才需要擔(dān)憂APT攻擊呢?理論上來(lái)說(shuō)APT攻擊確實(shí)只針對(duì)這三種目標(biāo)，但并不意味著不會(huì)攻擊中小型組織、企業(yè)和個(gè)人，因?yàn)榇笮推髽I(yè)有供應(yīng)鏈，實(shí)際上它很多的產(chǎn)品也是靠中小企業(yè)來(lái)提供的，我們重要的信息資產(chǎn)實(shí)際上一般也是由個(gè)人來(lái)掌握、讀取的。攻擊者可以通過(guò)搞定你相信的人，再來(lái)搞定你;可以通過(guò)搞定供應(yīng)鏈上的一個(gè)小企業(yè)，再來(lái)搞定大型企業(yè)，所以說(shuō)所有人都可能成為APT攻擊的目標(biāo)，當(dāng)然他最終鎖定的價(jià)值目標(biāo)可能是大的團(tuán)體。

APT攻擊產(chǎn)生了什么樣的危害呢?目前國(guó)內(nèi)沒(méi)有相應(yīng)的評(píng)估，我們可以看一下美國(guó)的評(píng)估。今年一月份，在國(guó)會(huì)的聽(tīng)證會(huì)上，美國(guó)參議員的評(píng)估損失是，美國(guó)每年數(shù)字資產(chǎn)的損失高達(dá)3000億美金，占美國(guó)GDP的2%，這個(gè)數(shù)字可能不是很準(zhǔn)確，但離事實(shí)也不遠(yuǎn)。

是不是只有美國(guó)才遭受了這種威脅，只有美國(guó)才在擔(dān)心這種威脅，而我們只是旁觀者呢?實(shí)際情況并不是這樣，有一些案例可以和大家分享一下。一個(gè)案例就是針對(duì)國(guó)內(nèi)一個(gè)很大的IT公司來(lái)發(fā)起的。攻擊者首先調(diào)研了公司的主管，然后給這些選定的IT主管發(fā)送了一封郵件，郵件里面有URL，說(shuō)這個(gè)地址里面有很多最新的、國(guó)內(nèi)最先進(jìn)的免費(fèi)技術(shù)資料，你可以上來(lái)看。這些主管當(dāng)然很高興，就上去看。里面也確實(shí)有很多免費(fèi)的、好的技術(shù)資料，但這個(gè)網(wǎng)站呢同時(shí)還做一件事，這件事并不是種植木馬。用戶登錄該網(wǎng)站，網(wǎng)站就知道這個(gè)郵箱賬戶使用了什么操作系統(tǒng)、瀏覽器的版本，上面的JAVA是什么版本，甚至他還探測(cè)到用戶是否安裝了殺毒軟件，安裝了哪些殺毒軟件、安全軟件。這樣攻擊者就掌握了大量的受害目標(biāo)的主機(jī)應(yīng)用、應(yīng)用版本，裝了哪些防護(hù)軟件等信息。攻擊者可能掌握了一個(gè)IE9的零日漏洞，同時(shí)又做了一個(gè)木馬，能夠控制360軟件，那么電腦上裝有這兩個(gè)軟件的用戶就成攻擊者下一步的選定目標(biāo)。于是這樣的用戶就中了招，電腦被植入木馬被攻擊者控制。攻擊者再用受害者的身份去攻擊公司的總裁，比如說(shuō)科研主管向總裁提交報(bào)告的時(shí)候，在這個(gè)報(bào)告中再嵌入基于漏洞攻擊的代碼，那么總裁也就很容易中招。而控制了總裁的電腦之后，就從中獲得了大量的公司商業(yè)機(jī)密或技術(shù)機(jī)密信息，最后攻擊者把這些信息發(fā)給了國(guó)外某政府。

另一個(gè)案例是針對(duì)國(guó)內(nèi)一個(gè)科研院所的攻擊。攻擊者知道了郵件系統(tǒng)管理人員的一個(gè)郵箱，并給這個(gè)郵箱發(fā)了一個(gè)釣魚郵件，其中包含一個(gè)觸發(fā)漏洞的PDF文件。管理人員打開(kāi)郵件中，觸發(fā)漏洞，主機(jī)被植入木馬。攻擊者利用所控制的管理人員的主機(jī)，獲得了內(nèi)部郵件的權(quán)限，然后攻擊者使用領(lǐng)導(dǎo)的郵件賬戶身份，發(fā)送郵件給內(nèi)部專家，讓他們提交相應(yīng)的科研技術(shù)資料。部分專家將保密資料發(fā)到了領(lǐng)導(dǎo)的郵箱，但是這時(shí)領(lǐng)導(dǎo)的郵箱實(shí)際上被攻擊者控制著，攻擊者將涉密資料轉(zhuǎn)發(fā)到外部郵箱，竊取了資料。