2022年9月，我國西北工業(yè)大學遭受境外APT組織網(wǎng)絡攻擊，引起全網(wǎng)的熱議。據(jù)國家計算機病毒應急處理中心披露，西北工業(yè)大學遭網(wǎng)絡攻擊事件系美國國家安全局（NSA）特定入侵行動辦公室（TAO）所為。

在針對該校的網(wǎng)絡攻擊中，NSA使用了40余種專屬網(wǎng)絡攻擊武器，持續(xù)開展攻擊竊密，竊取該校關鍵網(wǎng)絡設備配置、網(wǎng)管數(shù)據(jù)、運維數(shù)據(jù)等核心技術數(shù)據(jù)。其中，名為“飲茶”的嗅探竊密類網(wǎng)絡武器是導致大量敏感數(shù)據(jù)遭竊的最直接“罪魁禍首”之一。

隨著調(diào)查的逐步深入，技術團隊還在西北工業(yè)大學之外的其他機構網(wǎng)絡中發(fā)現(xiàn)了“飲茶”的攻擊痕跡，很可能是TAO利用“飲茶”對我國發(fā)動大規(guī)模的網(wǎng)絡攻擊活動。

而這僅僅是國家級APT組織針對他國政府、關鍵基礎設施、重要企業(yè)發(fā)起網(wǎng)絡攻擊的一個縮影。

國家級APT組織殺傷力極大

近年來，隨著地緣沖突和貿(mào)易摩擦不斷加劇，網(wǎng)絡攻擊作為一種低投入高回報的入侵手段，不受時間、空間的條件限制，所有網(wǎng)絡覆蓋的區(qū)域都可成為網(wǎng)絡攻擊的目標，因此越來越多的國家級APT組織處于活躍狀態(tài)。例如美國就是建設和運用國家級APT組織的代表國家，多次通過后門、漏洞、工具等對他國地區(qū)廣泛發(fā)起網(wǎng)絡攻擊。

每個國家級APT組織的目的都不盡相同，最常見的是利用網(wǎng)絡攻擊從事間諜活動，或竊取機密數(shù)據(jù)，或破壞他國關鍵基礎設施等。而伊朗針對以色列的網(wǎng)絡攻擊多是破壞性行為，也讓雙方之間的仇恨進一步緊張。此外還有不少是針對虛擬貨比，如對加密貨比平臺進行攻擊獲取收益。

據(jù)國家互聯(lián)網(wǎng)應急中心監(jiān)測發(fā)現(xiàn)，自2022年2月下旬以來，我國互聯(lián)網(wǎng)持續(xù)遭受境外網(wǎng)絡攻擊，境外組織通過攻擊控制我境內(nèi)計算機，進而對俄羅斯、烏克蘭、白俄羅斯進行網(wǎng)絡攻擊。經(jīng)分析，這些攻擊地址主要來自美國，僅來自紐約州的攻擊地址就有10余個，攻擊流量峰值達36Gbps，87%的攻擊目標是俄羅斯，也有少量攻擊地址來自德國、荷蘭等國家。

2021年10月，微軟發(fā)布了第二版《數(shù)字化防護報告》。該《報告》根據(jù)微軟從2020年7月到2021年6月間觀察到的所有黑客行動數(shù)據(jù)進行制作?！秷蟾妗分赋?，這段時間內(nèi)國家級APT組織最為活躍的是俄羅斯，占所有國家級攻擊的58%，第二是韓國占23%，伊朗占11%。

國家級網(wǎng)絡攻擊也是企業(yè)網(wǎng)絡威脅的主要來源之一。調(diào)查數(shù)據(jù)顯示，80%的受訪者擔心他們的組織會成為民族國家網(wǎng)絡攻擊的受害者，大多數(shù)人表示這種擔憂在過去五年中逐漸有所增加。68%的企業(yè)高管認為他們的組織做好了應對網(wǎng)絡攻擊的準備，但實際情況是，絕大多數(shù)企業(yè)無法抵御國家級APT組織的攻擊，甚至是無法發(fā)現(xiàn)他們的攻擊行為。

自SolarWinds供應鏈安全事件爆發(fā)以來，讓企業(yè)再一次看到了有國家支持的網(wǎng)絡攻擊的可怕之處。而那些發(fā)動攻擊的國家級APT組織也在業(yè)界打響了名聲，其中包括美國NSA、Lazarus、蔓靈花等。

全球十大國家級APT組織排行榜

為了讓讀者更好地了解全球國家級APT組織的現(xiàn)狀，根據(jù)現(xiàn)在已經(jīng)公開的信息，從殺傷力、活躍度兩個維度，對全球知名國家級APT組織進行盤點和對比，遴選出全球十大國家級APT組織排行榜，以下是榜單具體內(nèi)容：

以下是全球十大國家級APT組織的具體信息：

1、NSA

2022年，奇安信和360 共同報告了美國國家安全局（NSA）在我國發(fā)起的長達十余年的網(wǎng)絡攻擊活動，并將NSA及其關聯(lián)機構命名為APT-C-40。眾所周知，美國在網(wǎng)絡攻擊領域可謂一騎絕塵，其強大的攻擊實力和大規(guī)模高危網(wǎng)絡作戰(zhàn)武器庫至今仍然是個謎。即便在今天被安全公司所監(jiān)測的到多種武器和攻擊行為，也不過是冰山一角而已，美國很有可能掌握著更多更高程度的工程化網(wǎng)絡攻擊平臺，故而其網(wǎng)絡攻擊殺傷力為10。

從現(xiàn)有的資料來看，NSA的攻擊目的多為竊取機密信息，例如國防軍工機密數(shù)據(jù)、工業(yè)領域先進研究成果等，在我國關鍵基礎設施中植入后門，一旦爆發(fā)沖突即可造成嚴重打擊；長期對國家政府及要害部門進行持續(xù)監(jiān)視與間諜活動等。也正因為如此，NSA常常會花大量的時間進行潛伏，走的是“放長線釣大魚”的思路，故而其表現(xiàn)出的活躍度并沒有那么高。

NSA常用的網(wǎng)絡攻擊武器和工具主要是以QUANTUM（量子）攻擊系統(tǒng)、FOXACID（酸狐貍）0Day漏洞攻擊平臺、Validator（驗證器）后門、UNITEDRAKE（聯(lián)合耙）后門系統(tǒng)等武器和平臺為主。

憑借著諸多工程化、自動化的網(wǎng)絡攻擊武器體系，NSA的網(wǎng)絡攻擊目標遍布全球，其范圍大至國家機密，小至個人隱私信息，幾乎無所不包，這也和美國軍方的全球打擊戰(zhàn)略相符合。正如業(yè)界所說，美國是頭號黑客帝國，不僅僅是因為其強大的網(wǎng)絡攻擊實力，更是因為其龐大的攻擊目標范圍，也讓全球都處于網(wǎng)絡攻擊的威脅之下，沒有誰可以獨善其身。

2、APT29

APT29是一個具有俄羅斯政府背景的國家級APT 組織，其最早活躍時間可以追溯至2008年，是一個持續(xù)活躍的APT組織，主要攻擊目標是以美國為主的北約成員國和以烏克蘭、格魯吉亞、哈薩克斯坦、阿塞拜疆為代表的歐洲中部國家。

2009年因為Dukes早期工具集曝光，APT29組織被曝光，自此至2019年10余年時間內(nèi)，公開披露的APT29活動中均可看到Dukes工具集的使用，只是后續(xù)的Dukes工具集已經(jīng)擴充成包含PolyglotDuke、RegDuke、MiniDuke、FatDuke、SeaDuke等在內(nèi)的復雜武器庫工具集。

2016年，APT29組織在2016年美國總統(tǒng)大選期間，針對美國民主黨全國委員會發(fā)起網(wǎng)絡攻擊，掩護實施間諜活動。該攻擊自2015年夏季開始對目標進行滲透，最終憑借美國大選攻擊，再次刷新了大家對于網(wǎng)絡攻擊威力的認知。

2020年7月，全球新冠肺炎疫情局勢緊張，一波使用WellMess\WellMail等攻擊組件對全球COVID-19 疫苗研制機構的定向攻擊活動被關聯(lián)歸因至APT29，同年12月份曝光的Solarwinds供應鏈攻擊活動同樣指向APT29，受害者覆蓋歐美亞地區(qū)4700余個實體機構，破壞力驚人。

3、CIA

2021年7月19日，在外交部例行記者會上，發(fā)言人趙立堅提到美國中情局下屬的APT-C-39網(wǎng)絡攻擊組織。2017年，維基解密向全球披露了8716份來自美國中央情報局（CIA）網(wǎng)絡情報中心的文件，其中包含涉密文件156份，涵蓋了CIA黑客部隊的攻擊手法、目標、工具的技術規(guī)范和要求，由此揭開了CIA神秘的面紗，也向全球展示了CIA網(wǎng)絡攻擊的強大。

2021年，賽門鐵克曾發(fā)布報告稱，之前發(fā)生在16個國家的40次以上的網(wǎng)絡攻擊與維基解密所獲得的工具有關，CIA應對全球數(shù)十家機構過去遭到的網(wǎng)絡攻擊負責。和NSA相比，CIA的攻擊范圍相對來說更小，主要是金融、電信、能源、航空航天、信息技術、教育和自然資源等領域。例如針對我國的網(wǎng)絡攻擊多為航空組織、科研機構、石油行業(yè)、互聯(lián)網(wǎng)公司和政府機構。而在攻擊思路上和NSA保持一致，都是“放長線釣大魚”，長期潛伏在系統(tǒng)之中，持續(xù)從事間諜活動和獲取海量機密數(shù)據(jù)，故而其活躍度比NSA略低一些。

CIA同樣擁有多個高度工程化的網(wǎng)絡攻擊武器和平臺，其中最有名的莫過于Vault7。據(jù)悉，Vault7是專門針對我國打造的網(wǎng)絡攻擊武器，包含多種工具和間諜軟件，號稱是全球最大規(guī)模的網(wǎng)絡間諜武器兵工廠，可在多設備上實現(xiàn)超大范圍監(jiān)聽。此外還有臭名昭著的Athena（雅典娜），可提供遠程信標和程序加載的木馬程序，以及此前卡巴斯基報告的高度復雜的Lamberts工具等，并針對不同國家進行一定程度的定制化。

4、海蓮花

海蓮花（OceanLotus）是一個具有東南亞背景的國家級APT組織，其攻擊活動最早可追溯到2012年4月。在首次披露的攻擊活動中，攻擊目標涵蓋了中國海事機構、海域建設部門、科研院所和航運企業(yè)。自披露以來，海蓮花一直處于活躍狀態(tài)，其活躍度在國家級APT組織中排在前列，且破壞力不容小覷。

海蓮花持續(xù)在我國發(fā)起針對性網(wǎng)絡攻擊活動，涉及政府部門、科研院所、境內(nèi)高校和金融投資機構。此外，東南亞地區(qū)和歐洲地區(qū)也是在海蓮花的攻擊范圍之內(nèi)。海蓮花的攻擊目的不僅是竊取國家機密信息，在商業(yè)情報獲取上同樣不遺余力，曾在2019年發(fā)起多次網(wǎng)絡攻擊，竊取了豐田、現(xiàn)代、寶馬等老牌車企的敏感數(shù)據(jù)。2020年以來，海蓮花還會進行加密貨幣挖礦，例如曾對法國和越南政府部門進行攻擊，并部署挖礦程序。

海蓮花擁有非常高的社會工程學技巧，常用魚叉攻擊和水坑攻擊，在近年來的攻擊活動中還采用了供應鏈攻擊手法對高價值目標進行滲透。其攻擊武器覆蓋多平臺，已知具有針對Windows和Mac OS系統(tǒng)的攻擊工具，疑似具備針對Android和Linux平臺的惡意軟件，該組織擅長結合公開的商業(yè)或開源工具實施攻擊活動，比如Cobalt Strike，Mimikatz。

5、摩訶草

摩訶草（白象）是一個具有南亞背景的國家級APT組織，活躍時間超過8年，其最早活躍時間可追溯至2009年11月，和蔓靈花、海蓮花一樣具有驚人的活躍度。摩訶草組織攻擊涉及范圍非常廣泛，除我國和巴基斯坦等主要目標，還包括以色列、孟加拉國、美國、英國、日本、韓國等國及中東和東南亞地區(qū)，并針對目標國家的政府、軍事、電力、工業(yè)、外交和經(jīng)濟進行網(wǎng)絡間諜活動，竊取敏感信息。

摩訶草主要針對Windows系統(tǒng)進行攻擊，也會針對Android、Mac OS系統(tǒng)進行攻擊。在實施攻擊的過程中常常使用大量的漏洞，其中至少包括一個零日漏洞，因此它的破壞力也非常強。

摩訶草攻擊活動常以魚叉郵件開始，偶爾也會利用水坑攻擊，并結合社會工程學技巧，以熱點問題為誘餌主題，將自身偽裝為目標國家、目標領域的相關人員發(fā)起定向攻擊。近年來，摩訶草組織還被發(fā)現(xiàn)利用VBA宏文檔、偽裝圖標PE等技術進行攻擊。

6、Lazarus

Lazarus Group又名HIDDEN COBRA、Guardians of Peace等，是東亞某國支持的最活躍的APT組織之一，具有非常高的網(wǎng)絡攻擊能力，并且得到該國情報部門的大力支持。Lazarus早期多利用僵尸網(wǎng)絡對目標進行DDos攻擊；中后期主要攻擊手段轉為魚叉攻擊、水坑攻擊、供應鏈攻擊等手法，還針對不同人員采取定向社會工程學攻擊。

和大多數(shù)國家級APT組織不同的是，Lazarus發(fā)起網(wǎng)絡攻擊的主要目的是獲取大量資金，因此其目標主要是銀行、比特幣交易所等金融機構和個人，堪稱全球金融機構尤其是加密貨幣平臺最大的敵人。其次，Lazarus還針對航空航天、工程、技術、政府、媒體、等機構及企業(yè)進行滲透，達到竊取重要資料及破壞勒索的目的。

自2009年以來，被報道和Lazarus APT組織相關的網(wǎng)絡攻擊事件數(shù)量持續(xù)增長，特別是在2017年后，Lazarus的攻擊頻率和力度都上了一個新的臺階，并策劃了多場著名網(wǎng)絡攻擊事件，其中包括對波蘭和墨西哥銀行的攻擊、WannaCry病毒爆發(fā)以及針對美國承包商的魚叉式網(wǎng)絡釣魚行動等。

7、SandCat

2018年，卡巴斯基首次發(fā)現(xiàn)了名為“SandCat”的APT組織，并確認它已經(jīng)存在了一段時間。SandCat是烏茲別克斯坦支持的國家級APT 組織，其發(fā)起網(wǎng)絡攻擊的主要目的是竊取機密情報和從事各種間諜活動，其目標范圍主要集中在中東地區(qū)，包括但不限于沙特阿拉伯。

SandCat APT組織的破壞力極高，幾乎可以和美國NSA、CIA相媲美，而且該組織頗為神秘，僅有寥寥幾次攻擊被網(wǎng)絡安全公司監(jiān)控，因此表現(xiàn)出的活躍度非常低。

一直以來，SandCat都在使用FinFisher/FinSpy 間諜軟件和 CHAINSHOT框架，且非常擅長利用各種零日漏洞。例如在之前針對中東和非洲的網(wǎng)絡攻擊中就曾使用過一個高危的Windows 零日漏洞。而在另外一次已知的攻擊中使用了CVE-2018-8589 和 CVE-2018-8611 Windows 兩個零日漏洞。

8、蔓靈花

蔓靈花（BITTER）是一個具有南亞背景的國家級APT組織，其攻擊活動最早可以追溯到2013年，其政治背景十分強烈。2016年，國外安全廠商Forcepoint首次披露該組織。蔓靈花的攻擊目標主要是竊取機密數(shù)據(jù)，其攻擊范圍主要是我國和巴基斯坦，涉及政府部門、電力、軍工業(yè)相關單位。

和海蓮花一樣，蔓靈花一直處于活躍狀態(tài)，其活躍度在國家級APT組織中排在前列。有意思的是，在多份報告中均有指出，蔓靈花組織跟疑似南亞某國的多個攻擊組織，包括摩訶草（Patchwork）、魔羅桫、肚腦蟲（donot）等存在著千絲萬縷的關系。

根據(jù)目前觀察到的信息，蔓靈花主要在Windows和Android平臺進行攻擊活動，使用的數(shù)字武器包括ArtraDownloader，BitterRAT，也會結合商業(yè)或開源RAT實施攻擊活動，比如Async RAT，Warzone RAT，再借助各類零日漏洞，破壞力不容小覷。

9、Turla

Turla是一個具有俄語國家背景的APT組織，隸屬于該國情報機構，2014年首次被卡巴斯基發(fā)現(xiàn)，最早活動甚至可以追溯到1996年。根據(jù)現(xiàn)有披露的信息，Turla所掌握武器和利用方式最復雜的組織之一，擁有Carbon`ComRat·Karzuar等后門套件，不僅功能豐富且易于擴展，且長期以來保持著更新和版本迭代。

Turla在業(yè)界可謂是兇名赫赫，其已被發(fā)現(xiàn)的攻擊活動涉及45個國家，主要針對外交部門、政府機構、軍事機構、科研機構等組織竊取重要情報和從事間諜活動。目前已知的受害者包括美國中央司令部、德國外交部、瑞士軍工企業(yè)RUAG等，被認為是活躍度和破壞力均排在前列的APT組織之一。

2021年年初，國外的安全研究者發(fā)現(xiàn)Turla開始將Iron Python納入自身攻擊武器的一環(huán)，通過給受害計算機安裝Iron Python·Turla組織成員得以運行python編寫的惡意腳本，且能在python代碼中直接調(diào)用.net平臺的API，功能十分強大。

Turla在歷史攻擊活動中使用工具包括數(shù)據(jù)收集和shell執(zhí)行功能的后門、具有遠控和監(jiān)控功能的組件以及開源工具等。 Turla使用的后門及工具種類繁多且難以追蹤，不僅擁有豐富的軍火庫還擁有大量開發(fā)人員，能夠及時進行技術更新。

10、響尾蛇

2018年4月，卡巴斯基發(fā)布“APT Trends report Q1 2018”報告，并指出“響尾蛇（Sidewinder）”APT組織是南亞地區(qū)一個常年活躍的國家級網(wǎng)絡犯罪團伙。響尾蛇自2012年開始出現(xiàn)在人們視野中，至今已有十年，主要針對巴基斯坦、中國、阿富汗、尼泊爾、孟加拉等國家展開攻擊，旨在竊取政府外交機構、國防軍事部門、高等教育機構等領域的機密信息，具有強烈的政治目的。

響尾蛇曾多次發(fā)起針對我國的網(wǎng)絡攻擊，基本利用的是Office遠程代碼執(zhí)行漏洞（cve-2017-11882），以網(wǎng)絡釣魚攻擊的形式投放誘餌并竊取機密信息，另外一個Office邏輯漏洞（CVE-2017-0199）也經(jīng)常被用于在該組織的網(wǎng)絡攻擊之中。

在近年來針對巴基斯坦的攻擊中，響尾蛇使用了新的LNK文件路徑的目標劫持攻擊手段，通過郵件或其他方式投放虛假的快捷方式文件，一旦用戶訪問了該快捷方式屬性中所帶有的鏈接，就會下載惡意軟件，進而盜取電腦內(nèi)所有的文件信息等。

和NSA、CIA高度工程化的武器庫相比，響尾蛇的作戰(zhàn)設施相對更溫和一些，且大多數(shù)都是以網(wǎng)絡釣魚攻擊作為起手，誘騙用戶點擊釣魚網(wǎng)站，并獲得賬號密碼等登錄憑證信息，最終實現(xiàn)竊取機密數(shù)據(jù)的目的。

國家級APT攻擊威脅必將愈演愈烈

當下，全球都處于數(shù)字化轉型的關鍵時期，可以肯定的是，誰放棄數(shù)字化轉型誰就放棄了未來。但隨著越來越的資產(chǎn)和組織進行數(shù)字化轉型，也就意味著將社會運轉、老百姓的衣食住行都架構在網(wǎng)絡、數(shù)據(jù)和軟件之上，此時網(wǎng)絡攻擊所展現(xiàn)出來的威力將難以想象。

在國家和地區(qū)的大力支持下，國家級APT組織實力正在急劇上升，單個企業(yè)、政府部門、基礎設施難以應對，勢必導致國家級APT組織的產(chǎn)出投入比持續(xù)增加，而這也將進一步刺激國家加大對這些APT組織和網(wǎng)絡攻擊方面的投入。

這是一個無解的正循環(huán)。此外，當其他國家和地區(qū)支持的APT組織在網(wǎng)絡空間中為所欲為時，也將刺激受攻擊的國家和地區(qū)發(fā)展官方APT組織。這不禁讓人想到了冷戰(zhàn)時期美蘇爭霸瘋狂的軍備競賽，或許我們未來也可以見到一場國家級APT組織的“瘋狂競賽”。

真到了那個時期，APT攻擊威脅將籠罩在全球，網(wǎng)絡安全之路道阻且長。