全球高级持续性威胁（APT）活动2019年中报告.pdf

全球 高级持续性威胁（ APT） 2019 年 中 报告 发布机构： 奇安信 威胁情报中心 2019 年 6 月 26 日 1 序 言 奇安信威胁情报中心 在 2018 年曾公开发布了两篇全球高级持 续性威胁研究 总结 报告 参考链接 ： 2 3，其中总结了高级持续性威 胁背后的攻击组织在过去一年中的攻击活动和战术技术 特点 。 如今， 2019 年已经过去一半，我们在对历史活跃 APT 组织 近 半年 的 攻击活动情况的 持续跟踪过程中，呈现地缘政治特征的国家 背景 黑客组织 作为 观察的重点 ，其实施的网络威胁活动始终穿插在 现实的大国政治和军事博弈过程中 ，网络空间威胁或已成为各国情 报机构和军事行动 达到 其 情报获取或破坏目的所依赖的重要手段 之一。 本报告主要分成两个部分，第一部分主要总结在 APT 威胁来 源的地域特征下主要活跃的 APT 组织，以及其在 2019 年上半年的 主要情况 ；第二部分基于近半年重要的全球高级持续性威胁事件， 对整体威胁态势的总结。 2 研究方法 在此报告的开始，我们列举了本研究报告所依赖的资料来源 与研究方法 ，其中主要包括： 内部和外部的情报来源，其中内部的情报来源包括奇安 信威胁情报中心旗下红 雨滴 团队对 APT威胁的持续分析 跟踪及相关的威胁情报 ；外部的情报来源包括主要发布 APT 类情报 178 个公开数据源，涉及安全厂商、博客、 新闻资讯网站、社交网络等。 MITRE 组织 总结 的 ATT 卡巴披露针对华硕的供应链攻击行动 ShadowHammer，并 且通过匹配用户 mac 地址实施针对特定目标的攻击 36； ESET 披露 BlackTech 组织通过合法证书签名的样本，并 疑似通过供应链攻击华硕 WebStorage37。 我们认为 APT 组织使用供应链攻击通常有着特殊的意图，其 通常可以作为攻击目标人员或组织的一种“曲线攻击”路径 ，通过 对目标相关的供应商或服务商的攻击作为达到最终目标的重要途 径。 二、 国家 公共基础设施 或将成为 网络战的重点 自 2010 年伊朗震网事件和 2015 年乌克兰电网攻击事件，针 对国家公共基础设施 (包括电力、 工业、 能源、医疗等 )的网络攻击 活动 会 对城市和民众日常生活造成 极为 严重的破坏 。 在 2019 年上半年，南美地区 发生多起 异常停电事件， 由于尚 不明确造成 停电 的 原因 ，也被国外新闻媒体联想到是否与网络攻击 或演习有关 ， 而 针对公共基础设施领域的 网络攻击也逐渐作为国与 国之间进行战略性打击和威慑的重要手段。 这里我们也将上半年相关事件时间线进行总结： 21 3 月 6 日， 委内瑞拉全境出现大面积断电 ，委内瑞拉政府 指责是美国蓄意破坏； 6 月 14 日， 连线网披露美国 E-ISAC 发现 Triton 针对美 国境内电网的探测活动 38； 6 月 15 日，纽约时报披露美政府加强对俄电网的数字入 侵 ，而针对其电网控制系统的探测和侦查早在 2012 年就 开始了 25； 6 月 16 日，南美多个国家出现停电事件，主要由于 阿根 廷和乌拉圭的互联电网发生大规模故障 ； 6 月 22 日，伊朗击落美国无人机，美声明将对其采取网 络攻击 39。 三、 APT组织 网络武器库 的 泄露 与扩散 网络武器库和相关资料泄露在过去一直时有发生，这些网络武 器库通常由知名 APT 组织或网络军火商制作和 使用。 2014 年 8 月 4 日，网络军火商 Gamma 40GB 资料泄露； 2015 年 7 月 5 日，网络军火商 Hacking Team 400GB 数据 泄露，包括电子邮件、文件和源代码； 2016 年 8 月 13 日，黑客组织 The Shadow Brokers 公开泄 露和拍卖 NSA 网络武器库，包括针对防火墙、 Linux/类 Unix、 Windows 和 SWIFT 平台攻击武器； 2017 年 3 月 7 日，维基解密网络曝光 CIA CCI 部门的 8761 份机密性文档，涉及其内部针对多个平台网络武器 开发的资料； 2019 年 3 月 27 日，有黑客成员通过 Telegram 渠道披露 APT34 组织的网络武器和相关信息； 2019 年 5 月 7 日，有黑客成员通过 Telegram 渠道披露 MuddyWater 组织相关资料，并进行公开拍卖。 22 网络武器库的泄露向我们 展示了 APT 组织为了实施网络攻击 活动以及为达到其目的进行了长期的攻击能力和技术的积累和筹 备 ， 而数字武器泄露造成扩散的副作用也是无穷的。 四、 APT组织间的“黑吃黑”游戏 2019 年 6 月 21 日，赛门铁克披露了一份 Turla 组织最新的报 告 40，其中最为有意思的是其发现 Turla 对 APT34 组织基础设施 的 劫持并用于自身的攻击活动。 类似于上述这种 APT 组织间的“黑吃黑”行为在斯诺登泄露的 NSA 机密文档中也曾出现类似的项目 41。通过采用中 间人攻击或 旁观者攻击的方式对其他攻击组织进行攻击，并窃取其使用的工具、 获取的情报甚至接管攻击的目标。 我们更倾向于这类行为在未来的 APT 攻击活动中还会发生， 并且更有可能出现在拥有更高技术能力的 APT 组织。 这种行为往 往能够更好的隐蔽真实的攻击来源和意图，而对被攻击的受害主体 评估其影响和损失造成了迷惑性。 五、 APT狩猎下的中国威胁论 在过去的 APT 研究中，公开声称归属中国 APT 组织的报告也 是层出不穷，甚至有北美安全厂商以 Panda 作为其认为的归属为中 国的 APT 组织命名，而在历史的公开 APT 组织列表中，被认为归 属为中国和伊朗的 APT 组织数量最为众多。 23 近日，一家国外安全厂商披露了一项以全球电信运营商和蜂窝 网络为目标的 APT 行动，其中也将攻击来源归属指向 疑似 中国来 源的 APT 组织 42，而随后部分外媒和国外安全研究人员更倾向 于将其归属指向 APT10 的结论。 在大多数的相关研究报告中，出现以下攻击技术特征通常会被 归属到疑似和中国黑客组织有关： 使用中国菜刀 (China Chopper) Webshell； 将 Poison Ivy RAT 或其变种作为攻击载荷或后门程序； 控制基础设施地理位置在中国境内。 然而， China Chopper 和 Poison Ivy 都是作为公开的攻击工具， 而中国也是历来 APT 活动的主要受害者之一。 我们认为在当前的 APT 活动中， APT 组织在更加注重攻击归 属的隐藏的同时， 也积极引入假旗标志 (False Flag)和模仿其他攻击 组织的战术技术特点。 APT 攻击活动的归属问题变得更加困难，也 依赖于更加严密的分析判断和负责任的披露。 24 总 结 2019 年上半年是不平静的半年，全球的政治局势变得更加风 云变幻，在冲突和博弈之下，网络空间对抗的格局也变得尤为凸显 ， 国家背景的 APT 活动似乎 由过去的隐蔽战线部分转向更加明显的 网络战争对抗的趋势 。 与现实战争不同的是，现代战争可能因为某 些导火索而一触即发，而网络 战争更依赖于对战略性对手的早期侦 查和探测，并实施长期的渗透和潜伏。 我们在此份报告中再次围绕地缘政治博弈主导下的网络空间 APT 组织的主题，对全球主要的 APT 组织近年来的情况进行总结 和介绍 ， 并结合 了 其在上半年的活动 情况 ， APT 已然是国家和情报 机构在网络空间 领域 的战略手段 。 奇安信威胁情报中心和红雨滴 研究 团队也将持续致力于最新 APT 活动的跟踪和研究，以及披露相关 APT 组织、技术能力和网 络武器的情况。 25 附录 1 奇安信 威胁情报中心 奇安信 威胁情报中心 是 北京奇安信科技有限公司（奇安信集团） 旗下 的威胁情报整合专业机构。该中心以业界领先的安全大数据资 源为基础，基于 奇安信 长期积累的核心安全技术，依托亚太地区顶 级的安全人才团队，通过强大的大数据能力，实现全网威胁情报的 即时、全面、深入的整合与分析，为企业和机构提供安全管理与防 护的网络威胁预警与情报。 奇安信 威 胁 情 报 中 心 对外 服 务 平 台 网址 为 基础 ，为安全分析人员及各类企业用户提供基础数据的查询，攻击 线索拓展，事件背景研判 ，攻击 组织解析， 研究报告下载 等多种 维 度的 威胁情报数据与 威胁情报 服务 。 微信公众号：奇安信威胁情报中心 26 附录 2 红雨滴 团队（ RedDrip Team） 奇安信旗下的高级威胁研究团队红雨滴（ RedDrip Team， RedDrip7） ,成立于 2015 年（前身为天眼实验室），持续运营奇 安信威胁情报中心至今 ，专注于 APT 攻击类高级威胁的研究，是 国内首个发布并命名“海莲花”（ APT-C-00， OceanLotus） APT 攻 击团伙的安全研究 团队，也是当前奇安信威胁情报中心的主力威胁 分析技术支持团队。 目前，红雨滴团队拥有数十人的专业分析师和相应的数据运 营和平台开发人员，覆盖威胁情报运营的各个环节：公开情报收集、 自有数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、 追踪溯源，实现安全事件分析的全流程运营。团队对外输出机读威 胁情报数据支持奇安信自有和第三方的检测类安全产品，实现高效 的威胁发现、损失评估及处置建议提供，同时也为公众和监管方输 出事件和团伙层面的全面高级威胁分析报告。 依托全球领先的安全大数据能力、多维度多来源的安全数据和 专业分析师的丰富经验，红雨滴团队自 2015 年持续发现多个包括 海莲花在内的 APT 团伙在中国境内的长期活动，并发布国内首个 团伙层面的 APT 事件揭露报告，开创了国内 APT 攻击类高级威胁 体系化揭露的先河，已经成为国家级网络攻防的焦点。 团队 LOGO： 关注二维码： 27 附录 参考链接 1. 2. 924e26fc2318fb.pdf 3. 8f511e24d9b84a.pdf 4.attack.mitre/ 5.misp-project/galaxy.html 6. O_Son4Gx0YOIzlcBWMsdvePFX68EKU/pubhtml# 7. justice.gov/opa/press- release/file/1092091/download 8. companies-hacked/ 9. blog.alyac.co.kr/ 10. introduces-bluetooth-harvester/90729/ 11. 12. 13. first/resources/papers/tallinn2019/Linking_South_Asi an_cyber_espionnage_groups-to-publish.pdf 14. continuously-improving-advanced-threat-creation-toolkit/ 15. leverages-new-modular-malware-framework-south-asia/ 16. content/uploads/sites/43/2018/03/07180251/Penquins_Moonlit_Maze_ PDF_eng.pdf 17. content/uploads/2018/10/ESET_GreyEnergy.pdf 18. pany/research/apt28-and-upcoming- elections-possible-interference-signals/ 28 19. securityaffairs.co/wordpress/82772/apt/russian-apt- groups-may-elections.html 20. securityaffairs.co/wordpress/81445/apt/apt28- institutions-europe.html 21. salad/90680/ 22. ordered-wave-of-cyberattacks-against-iran.html 23. galaxy/68750/ 24. media.defense.gov/2018/Sep/18/2002041658/-1/- 1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF 25. cyber-russia-grid.html 26. dns-hijacking-campaign-dns-record-manipulation-at-scale.html 27. activity-targets-multiple-sectors/ 28. campaign-targets-middle-east.html 29. research/2017/12/targeted-attack-in-middle-east-by-apt34.html 30. oilrig/ 31. out-karkoff.html 32. water-targeted-attacks-in-the-middle-east/ 33. muddywater-new-weapon-muddyc3-code-leak-and-analysis 34. 35. scope-attackers-asia/ 29 36. 37. mitm-asus-webstorage/ 38. grid/ 39. cyber-attacks.html 40. intelligence/waterbug-espionage-governments 41. eff/files/2015/01/27/20150117-spiegel- overview_of_methods_for_nsa_integrated_cyber_operations_0.pdf 42. worldwide-campaign-against-telecommunications-providers