1 简介

国家级APT（Advanced Persistent Threat，高级持续性威胁）组织是有国家背景支持的顶尖黑客团伙，专注于针对特定目标进行长期的持续性网络攻击。

2 十大APT

2.1 NSA

美国国家安全局（National Security Agency，简写为NSA）是美国政府机构中最大的情报部门专门负责收集和分析外国及本国通讯资料，隶属于美国国防部，又称国家保密局。

它是1952年根据杜鲁门总统的一项秘密指令，从当时的军事部门中独立出来，用以加强情报通讯工作的，是美国情报机构的中枢。（此次西北工业大学遭网络攻击事件系美国国家安全局（NSA）特定入侵行动办公室（TAO）所为。）

NSA的攻击目的多为窃取机密信息，例如国防军工机密数据、工业领域先进研究成果等，在我国关键基础设施中植入后门，一旦爆发冲突即可造成严重打击；长期对国家政府及要害部门进行持续监视与间谍活动等。也正因为如此，NSA常常会花大量的时间进行潜伏，走的是“放长线钓大鱼”的思路，故而其表现出的活跃度并没有那么高。

凭借着诸多工程化、自动化的网络攻击武器体系，NSA的网络攻击目标遍布全球，其范围大至国家机密，小至个人隐私信息，几乎无所不包，这也和美国军方的全球打击战略相符合。正如业界所说，美国是头号黑客帝国，不仅仅是因为其强大的网络攻击实力，更是因为其庞大的攻击目标范围，也让全球都处于网络攻击的威胁之下，没有谁可以独善其身。

2.2 APT29

APT29隶属于俄罗斯联邦对外情报局，专门负责俄罗斯境外的情报活动。其攻击目标覆盖欧洲、北美、亚洲、非洲的多个地区和国家，主要攻击目标为包含美国、英国等在内的北约成员国以及欧洲地域邻近国家，具体攻击行业目标为政府实体、科研机构、智囊团、高技术企业、通信基础设施供应商等。

2009年因为Dukes早期工具集曝光，APT29组织被曝光，自此至2019年10余年时间内，公开披露的APT29活动中均可看到Dukes工具集的使用，只是后续的Dukes工具集已经扩充成包含PolyglotDuke、RegDuke、MiniDuke、FatDuke、SeaDuke等在内的复杂武器库工具集。

2016年，APT29组织在2016年美国总统大选期间，针对美国民主党全国委员会发起网络攻击，掩护实施间谍活动。该攻击自2015年夏季开始对目标进行渗透，最终凭借美国大选攻击，再次刷新了大家对于网络攻击威力的认知。

2020年7月，全球新冠肺炎疫情局势紧张，一波使用WellMess\WellMail等攻击组件对全球COVID-19 疫苗研制机构的定向攻击活动被关联归因至APT29，同年12月份曝光的Solarwinds供应链攻击活动同样指向APT29，受害者覆盖欧美亚地区4700余个实体机构，破坏力惊人。

2.3 CIA

CIA是美国中央情报局，世界四大情报机构之一，总部位于美国弗吉尼亚州兰利。与俄罗斯联邦安全局、英国军情六处和以色列摩萨德，并称为“世界四大情报组织”。

2021年7月19日，在外交部例行记者会上，发言人赵立坚提到美国中情局下属的APT-C-39网络攻击组织。2017年，维基解密向全球披露了8716份来自美国中央情报局（CIA）网络情报中心的文件，其中包含涉密文件156份，涵盖了CIA黑客部队的攻击手法、目标、工具的技术规范和要求，由此揭开了CIA神秘的面纱，也向全球展示了CIA网络攻击的强大。

2021年，赛门铁克曾发布报告称，之前发生在16个国家的40次以上的网络攻击与维基解密所获得的工具有关，CIA应对全球数十家机构过去遭到的网络攻击负责。和NSA相比，CIA的攻击范围相对来说更小，主要是金融、电信、能源、航空航天、信息技术、教育和自然资源等领域。例如针对我国的网络攻击多为航空组织、科研机构、石油行业、互联网公司和政府机构。而在攻击思路上和NSA保持一致，都是“放长线钓大鱼”，长期潜伏在系统之中，持续从事间谍活动和获取海量机密数据，故而其活跃度比NSA略低一些。

CIA同样拥有多个高度工程化的网络攻击武器和平台，其中最有名的莫过于Vault7。据悉，Vault7是专门针对我国打造的网络攻击武器，包含多种工具和间谍软件，号称是全球最大规模的网络间谍武器兵工厂，可在多设备上实现超大范围监听。此外还有臭名昭著的Athena（雅典娜），可提供远程信标和程序加载的木马程序，以及此前卡巴斯基报告的高度复杂的Lamberts工具等，并针对不同国家进行一定程度的定制化。

2.4 海莲花OceanLotus

海莲花（OceanLotus）是一个具有东南亚背景的国家级APT组织，其攻击活动最早可追溯到2012年4月。在首次披露的攻击活动中，攻击目标涵盖了中国海事机构、海域建设部门、科研院所和航运企业。自披露以来，海莲花一直处于活跃状态，其活跃度在国家级APT组织中排在前列，且破坏力不容小觑。

海莲花持续在我国发起针对性网络攻击活动，涉及政府部门、科研院所、境内高校和金融投资机构。此外，东南亚地区和欧洲地区也是在海莲花的攻击范围之内。海莲花的攻击目的不仅是窃取国家机密信息，在商业情报获取上同样不遗余力，曾在2019年发起多次网络攻击，窃取了丰田、现代、宝马等老牌车企的敏感数据。2020年以来，海莲花还会进行加密货币挖矿，例如曾对法国和越南政府部门进行攻击，并部署挖矿程序。

海莲花拥有非常高的社会工程学技巧，常用鱼叉攻击和水坑攻击，在近年来的攻击活动中还采用了供应链攻击手法对高价值目标进行渗透。其攻击武器覆盖多平台，已知具有针对Windows和Mac OS系统的攻击工具，疑似具备针对Android和Linux平台的恶意软件，该组织擅长结合公开的商业或开源工具实施攻击活动，比如Cobalt Strike，Mimikatz。

2.5 摩诃草

摩诃草（白象）是一个具有南亚背景的国家级APT组织，活跃时间超过8年，其最早活跃时间可追溯至2009年11月，和蔓灵花、海莲花一样具有惊人的活跃度。摩诃草组织攻击涉及范围非常广泛，除我国和巴基斯坦等主要目标，还包括以色列、孟加拉国、美国、英国、日本、韩国等国及中东和东南亚地区，并针对目标国家的政府、军事、电力、工业、外交和经济进行网络间谍活动，窃取敏感信息。

其在针对中国地区的攻击中，主要针对政府机构、科研教育领域进行攻击。具有 Windows、Android、Mac OS 多系统攻击的能力。

2.6 Lazarus

Lazarus Group又名HIDDEN COBRA、Guardians of Peace等，是东亚某国支持的最活跃的APT组织之一，具有非常高的网络攻击能力，并且得到该国情报部门的大力支持。Lazarus早期多利用僵尸网络对目标进行DDos攻击；中后期主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法，还针对不同人员采取定向社会工程学攻击。

和大多数国家级APT组织不同的是，Lazarus发起网络攻击的主要目的是获取大量资金，因此其目标主要是银行、比特币交易所等金融机构和个人，堪称全球金融机构尤其是加密货币平台最大的敌人。其次，Lazarus还针对航空航天、工程、技术、政府、媒体、等机构及企业进行渗透，达到窃取重要资料及破坏勒索的目的。

自2009年以来，被报道和Lazarus APT组织相关的网络攻击事件数量持续增长，特别是在2017年后，Lazarus的攻击频率和力度都上了一个新的台阶，并策划了多场著名网络攻击事件，其中包括对波兰和墨西哥银行的攻击、WannaCry病毒爆发以及针对美国承包商的鱼叉式网络钓鱼行动等。

2.7 SandCat

2018年，卡巴斯基首次发现了名为“SandCat”的APT组织，并确认它已经存在了一段时间。SandCat是乌兹别克斯坦支持的国家级APT 组织，其发起网络攻击的主要目的是窃取机密情报和从事各种间谍活动，其目标范围主要集中在中东地区，包括但不限于沙特阿拉伯。

SandCat APT组织的破坏力极高，几乎可以和美国NSA、CIA相媲美，而且该组织颇为神秘，仅有寥寥几次攻击被网络安全公司监控，因此表现出的活跃度非常低。

一直以来，SandCat都在使用FinFisher/FinSpy 间谍软件和 CHAINSHOT框架，且非常擅长利用各种零日漏洞。例如在之前针对中东和非洲的网络攻击中就曾使用过一个高危的Windows 零日漏洞。而在另外一次已知的攻击中使用了CVE-2018-8589 和 CVE-2018-8611 Windows 两个零日漏洞。

2.8 蔓灵花

蔓灵花（BITTER）是一个具有南亚背景的国家级APT组织，其攻击活动最早可以追溯到2013年，其政治背景十分强烈。2016年，国外安全厂商Forcepoint首次披露该组织。蔓灵花的攻击目标主要是窃取机密数据，其攻击范围主要是我国和巴基斯坦，涉及政府部门、电力、军工业相关单位。

该组织至少自 2013 年 11 月开始活跃，长期 针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击，窃取敏感资料。

根据目前观察到的信息，蔓灵花主要在Windows和Android平台进行攻击活动，使用的数字武器包括ArtraDownloader，BitterRAT，也会结合商业或开源RAT实施攻击活动，比如Async RAT，Warzone RAT，再借助各类零日漏洞，破坏力不容小觑。

2.9 Turla

Turla是一个具有俄语国家背景的APT组织，隶属于该国情报机构，2014年首次被卡巴斯基发现，最早活动甚至可以追溯到1996年。根据现有披露的信息，Turla所掌握武器和利用方式最复杂的组织之一，拥有Carbon`ComRat·Karzuar等后门套件，不仅功能丰富且易于扩展，且长期以来保持着更新和版本迭代。

Turla在业界可谓是凶名赫赫，其已被发现的攻击活动涉及45个国家，主要针对外交部门、政府机构、军事机构、科研机构等组织窃取重要情报和从事间谍活动。目前已知的受害者包括美国中央司令部、德国外交部、瑞士军工企业RUAG等，被认为是活跃度和破坏力均排在前列的APT组织之一。

2021年年初，国外的安全研究者发现Turla开始将Iron Python纳入自身攻击武器的一环，通过给受害计算机安装Iron Python·Turla组织成员得以运行python编写的恶意脚本，且能在python代码中直接调用.net平台的API，功能十分强大。

Turla在历史攻击活动中使用工具包括数据收集和shell执行功能的后门、具有远控和监控功能的组件以及开源工具等。 Turla使用的后门及工具种类繁多且难以追踪，不仅拥有丰富的军火库还拥有大量开发人员，能够及时进行技术更新。

2.10 响尾蛇

2018年4月，卡巴斯基发布“APT Trends report Q1 2018”报告，并指出“响尾蛇（Sidewinder）”APT组织是南亚地区一个常年活跃的国家级网络犯罪团伙。响尾蛇自2012年开始出现在人们视野中，至今已有十年，主要针对巴基斯坦、中国、阿富汗、尼泊尔、孟加拉等国家展开攻击，旨在窃取政府外交机构、国防军事部门、高等教育机构等领域的机密信息，具有强烈的政治目的。

响尾蛇（SideWinder）组织是一支近两年比较活跃的APT攻击组织。该组织采用一系列高级攻击技术，如利用Nday漏洞、PowerShell、代码混淆技术等，以及利用开源武器代码，针对性地编写涉及中国和巴基斯坦军事边界、疫情等主题的中英文网络钓鱼邮件。

除此之外，还有针对Android系统的恶意软件。这些攻击手段都非常隐蔽，很难被普通用户察觉。因此，除了提高平时的安全意识外，用户还需要对网络安全保持高度的警觉性，防止被攻击和利用。

3 参考