丁爸 - 【資料】APT組織情報研究年鑑－鑽石舞台

今天給大家推送綠盟2021年發布的《APT組織情報年鑑》。

關於綠盟科技

綠盟科技集團股份有限公司（以下簡稱綠盟科技），成立於2000年4月，總部位於北京。公司於2014年1月29日在深圳證券交易所創業板上市，證券代碼：300369。綠盟科技在國內設有50餘個分支機構，為政府、金融、運營商、能源、交通、科教文衛等行業用戶與各類型企業用戶，提供全線網絡安全產品、全方位安全解決方案和體系化安全運營服務。公司在美國硅谷、日本東京、英國倫敦、新加坡及巴西聖保羅設立海外子公司和辦事處，深入開展全球業務，打造全球網絡安全行業的中國品牌。

官網地址：https://www.nsfocus.com.cn/

綠盟科技平行實驗室、伏影實驗室和威脅情報實驗室，聯合廣州大學網絡空間先進技術研究院聯合發布《APT組織情報研究年鑑》，藉助網絡空間威脅建模知識圖譜和大數據複合語義追蹤技術，對全球372個APT組織活動進行大數據追蹤，從而對2021年度新增和活躍的APT組織的攻擊活動方式進行分析。整個APT年鑑以情報、監視和偵察（ISR）體系為總體思路，將整個報告主體分為情報篇、監視篇和偵察篇三個部分，可以相對全面地將綠盟科技圍繞《APT組織情報研究年鑑》進行的相關工作進行概括。

卷首語

近年來，網絡空間安全威脅發生巨大的變化，攻擊者從傳統帶有惡作劇與技術炫耀性質逐步轉變為利益化、商業化、集團化。自2009年12月針對谷歌公司的極光攻擊事件曝光開始，以APT （Advanced Persistent Threat）攻擊為代表的網絡空間高隱蔽未知威脅日益猖獗：

2010年7月成功破壞伊朗布什爾核電站設備的震網攻擊事件；2013年3月20日韓國銀行遭遇APT攻擊事件；2015年12月23日烏克蘭伊萬諾弗蘭科夫斯克地區聖誕大停電事件；2016年孟加拉國央行8100 萬海外存款失竊事件；2018年，俄羅斯支持的APT28（Fancy Bear）組織多次影響美國大選和法國大選，誕生一個「選舉安全」的新詞彙；2019年初，朝鮮APT組織Lazarus 鎖定以色列國防公司，預謀竊取以方的軍事和商業機密；同期，委內瑞拉指責美國策劃了一起極為嚴重的網絡攻擊事件，導致全境大面積停水斷電，國民生產生活陷入癱瘓，國家接近崩潰的邊緣；

2021年4月，外媒曝光APT28組織攻擊烏克蘭大選；2021年6月，《紐約時報》披露美國政府欲加強對俄羅斯電網的數字入侵。2021年6月，阿根廷、烏拉圭等南美國家遭受網絡攻擊，大規模斷電斷網席捲南美；2021年7月，委內瑞拉再度因網絡攻擊而導致大規模停電，首都亦未能倖免，全境陷入「末日」般的悲慘世界；2021年10月，烏克蘭外交官、政府和軍事官員以及執法部門人員，遭遇APT組織Gamaredon的武器化文件定向打擊；2021年11月，印度獨立網絡核電站 Kudankulam遭遇疑似朝鮮APT組織 Lazarus 的攻擊，據傳攻擊已滲透至核心系統；2021年12月，IBM 披露中東工業和能源行業，遭伊朗APT34（Oilrig）惡意數據擦除軟件ZeroCleare的摧毀性攻擊。

APT攻擊有着複雜度高、對抗性強、特徵隱蔽等特點，通常由有國家背景的相關攻擊組織發起，實施竊取國家機密、重要企業的有價值商業信息、破壞網絡基礎設施等活動，具有強烈的政治和經濟目的。網絡空間安全的格局雖不斷變化，但隱藏在迷霧背後的，是國家間的博弈與較量。

隨着我國國際地位不斷崛起，各種與我國有關的政治、經濟、軍事、科技情報搜集對專業黑客組織有極大吸引力，使我國成為全球網絡攻擊的主要受害國之一。實際上，自2018年起，針對我國的網絡攻擊活動從未間斷，多個以國家力量為背景的攻擊組織，包括：海蓮花（Ocean Lotus）、響尾蛇（Side Winder）、奇幻熊（APT28）、污水（Muddy Water）、蔓靈花（BITTER）、白象（Hang Over）、寄生獸（Dark Hotel）等，利用漏洞滲透輪番攻擊我國政府、軍事、能源、貿易、金融、科研教育等機構，給我國信息安全帶來極大的挑戰。不僅如此，我國周邊的國家以及中國的「一帶一路」國家，也成為攻擊組織重點關注的對象。這僅是目前能夠發現和統計的信息，實際形勢可能更為嚴峻。

事實證明，傳統網絡安全防禦手段以識別並阻斷網絡攻擊為核心，力求拒威脅於內網之外，但隨着APT攻擊等高隱蔽未知威脅的出現和演進，越來越多的研究者相信網絡攻擊難以避免。

我國政府對網絡安全問題高度重視，先後頒布了《國家信息化領導小組關於信息安全保障工作的意見》、《國家中長期科學和技術發展規劃綱要》、《國家網絡安全事件應急預案》等相關政策文件，明確要求「做好網絡安全事件日常預防工作，減少和避免網絡安全事件的發生及危害，提高應對網絡安全事件的能力」。習總書記在網絡安全和信息化工作座談會上指出「網絡安全是動態的而不是靜態的」、「網絡安全的本質在對抗，對抗的本質在攻防兩端的能力較量」。探索如何積極主動地感知未知威脅、持續不斷地追蹤已知威脅，形成戰略威懾，方能最終提升對重要信息系統的防護能力，捍衛國家網絡空間主權。

綜上，在網絡空間高度對抗的今天，開展APT攻擊為代表的高隱蔽未知威脅智能檢測與溯源技術相關研究是網絡空間安全的重要發展方向。在我國重要信息系統不斷成為滲透目標的背景下，綠盟科技平行實驗室、伏影實驗室和威脅情報實驗室，聯合廣州大學網絡空間先進技術研究院，定位於服務國家重大安全需求，以「主動防禦、溯源反制、戰略威懾」為理念，藉助基於知識圖譜網絡空間威脅建模平台，將過去一年多的APT新發現組織和APT活躍組織進行分門別類的梳理，並以年報方式撰寫了本年鑑，將每個APT組織採用經典的鑽石模型和知識圖譜知識圖方式，以圖鑑方式予以展現，年鑑中同時收錄了實驗室相關的研究論文及專利的概要內容，涵蓋情報生產、攻擊組織歸因、上下文複合語義追蹤等方面，供讀者研究參考。該年鑑對於提升我國重要信息系統防護水平，為我國網絡空間戰略威懾能力和防禦能力建設提供有力支撐，有非常重要的現實意義。

編者：田志宏廣州大學網絡空間先進技術研究院院長、教授、博士生導師