360：atp20xx年中国高级持续性威胁研究报告(编辑修改稿)

360：atp20xx年中国高级持续性威胁研究报告(编辑修改稿)内容摘要：

一定程度上反应全球 APT 研究的关注点和 发 展趋 势。 在 2020 年 360 威胁 情 报中心 监 测到的 APT 报告中 ， 被提及次 数 最多的 被攻击国 家 依次 是 ： 中 国 、 美 国 、 印 度 、 俄罗 斯 、 乌 克 兰 、 巴 基 斯坦 、 伊朗、 韩国、日 本 、以色 列 、土耳 其 、埃及 和 沙特阿 拉 伯这 13 国家。 3 2020 年中 国 高级持 续 性威 胁 （ APT） 研究报告 被攻击 目标国家 所属 地区 相关报 告数量 攻击组 织数量 主要被攻击领域 中国 亚洲 26 9 政府 、 基础设施 、 教 育 、 科 研 、 大 型企业 美国 北美 15 9 政府 、 金 融 、 基 础设 施 、 大 型 企业 印度 亚洲 15 7 政府、军 事 、商业 组 织 俄罗斯 欧洲 15 6 政府、能 源 、军事 、 外交、 金 融 乌克兰 欧洲 14 5 政府、军 事 、电力 、 金融 巴基斯坦 亚洲 13 3 政府、军 事 、外交 、 能源、 教 育、 科研 伊朗 亚洲 12 3 政府、外 交 、能源 韩国 亚洲 8 4 政府、大 型 企业 日本 亚洲 3 3 基础设施 、 组织机 构 、大型 企 业 以色列 亚洲 3 3 政府、军 事 、金融 土耳其 亚洲 3 2 政府、军事 沙特阿拉伯 亚洲 2 2 军事、金融 埃及 非洲 2 2 政府、军 事 、金融 表 2 全球 APT 研究关注被攻击国家排行 从上表中 可 以看出 ， 无论是 从 相关研 究 报告的 数 量 来 看 ， 还是 从 攻击组 织的数量 来 看，中 国 都是 全 球 APT 攻击的第一目 标 国。 各家 报 告披露 的 攻 击美国的 APT 组织数量与中 国 相同 ， 也是 9 个。 同 时，盯上 印 度、俄 罗 斯 和乌克兰的 APT 组织也都超 过 了 5 个。 另外 ， 在 2020 年 360 威 胁情报 中 心监测 到 的 APT 报 告中 ， 我们还 能 看 到 ： 攻击政府 和 外交领 域 的 APT 组织最多 ， 达 21 个； 其次是金融 领 域 ， 15 个 ； 接 下 来以商 业 和技术 机 密为目 的 ， 攻 击 大型 企业 、 商业 组 织和技 术 组织 的 APT 组织 ， 共 14 个 ； 攻击军事 、 部 队或其 他 国防 机 构的 APT 组织 13 个； 攻击能 源 、 交 通 、 电 力 、 医疗等 基 础设 施 的 APT 组织也有 12 个。 有 趣 的是， 还有 3 个 APT 组织会专门 针 对特定 的 个人发 起 攻 击 ，这些被 攻 击的个 人 大 多为政治 异 见者或 媒 体从业 人 员。 最 后 是 攻击 教 育 、 科 研领域的 组 织共 2 个。 排行 APT 攻击领域 攻击组织数量 1 政府、外交 21 2 金融 15 3 大型企业、商业 组 织、技术组织 14 4 军事、部队、国防 13 5 能源、交通、电 力 、医疗等基 础 设施 12 6 特殊个人 3 7 教育、科研 2 表 3 全球 APT 研究关注的 APT 组织攻击领域 4 还有一点 值 得注意 ： APT 组织的攻击 虽 然具有 很 强 的 针对性 ， 但 其攻击 目标也并 不 一定是 单 一的。 有 的 APT 组织只攻击 特 定国家特 定 领 域 的 目标 （仅从目 前 已经披 露 的情况看 ） ， 但 也 有很多 APT 组织会对多 个 国 家 的 不同 领域目标 展 开攻 击。 下图 给 出了 2020 年全球 各 国 研 究 机构发 布 的 APT 研究 报告中， 披露 APT 组织攻击目标 的 所 属 国家、 领 域 数 量分析。 三、 主要 APT 组 织的 活 跃时间 结合 360 威胁 情 报中心 的 大数据 监 测分 析 ， 以及 2020 年以 来 全球各研 究机构与 安 全专家 发 布的 APT 研究报告 ， 我 们 给出了 2020 年部分 APT 组织 主要活跃 时 间的分 析 （精确 到 月 ） ，详 见 下图。 5 2020 年中 国 高级持 续 性威 胁 （ APT） 研究报告 第二章 针对中 国 的 APT 攻击 一、 攻击中国的 APT 组织 截至 2020 年 12 月底 ， 360 威 胁情报 中 心已累 计 监 测 到的针对 中 国境内 目标发动 攻 击的境 内 外 APT 组织 36 个。 在这 36 个 APT 组织中 ， 针 对 中国境 内 目标的 攻 击 最 早可以追 溯 到 2020 年。 而最 近 三个 月 （ 2020 年 9 月 11 月 ） 内仍 然 处 于 活跃状态的 APT 组织至 少有 13 个。 统计显示 ， 仅仅在 过 去的 12 个月中 ， 这些 APT 组织发动的攻 击 行动， 至少影响 了 中国境 内 超过万 台 电脑， 攻 击范围 遍 布 国 内 31 个省 级 行政区。 下表给出 了 部分针 对 中国境 内 目标发 动 攻击的 APT 组织互动情 况。 APT 组织 APT 行动 首先披露 报告厂商 最早活动 时间 最近活动 时间 APT28 APT28 Fireeye 2020 年 2020 年 11 月 APTC12 APTC12 360 2020 年 2020 年 10 月 OceanLotus （ APTC00） OceanLotus 360 2020 年 2020 年 11 月 蔓灵花 蔓灵花 Forcepoint 2020 年 2020 年 11 月 索伦之眼 索伦之眼 Symantec 2020 年 2020 年 8 月 摩诃草 摩诃草 Norman 2020 年 2020 年 11 月 表 4 针对中国境内目标攻击的部分 APT 组织活动情况 二、 疑似 APT 攻 击的 目标 本报告定 义 以下组 织 机构为 疑 似 APT 攻击目标： 若 某个恶 意 程 序样本 或 Camp。 C 服务器已 经 被确定 为 特定 APT 组织专用 ， 且 某组织机 构 的 内部 系统 中出现了 该 恶意程 序 或与该 Camp。 C 服 务 器有异 常 通 信 等状况发 生 时 ， 则 称该 组织机构 为 疑似 APT 攻击目标。 通过对 360 威 胁情报 中 心截 获 的 36 个 APT 组织专 用 木马的全 网 检测分 析发现 ， 截 至 2020 年 12 月 ， 国内 疑 似 APT 攻击目标的组织机 构 近 200 个。 若按照机 构 的数量 统 计 ， 大 学 占比最 高 ，为 %； 其次是企 业 ，占比 %； 再次是 政 府及事 业 单位 ， 占比 %； 还 有 科 研机构占比 %， 其 他机构或 个 人，占比 %。 若按照机 构 内设备 感 染专用 木 马 的 数 量 统计 ， 则 企 业 是第一大 疑 似攻击 6 目标 ， 占 比 为 %； 其 次是大 学 ， 占比 %； 政 府及 事业单位 占 比 %， 科研机构占 比 %；其 他 机构或 个 人占比 %。 APT 组织攻击不同类 型 的境 内 机构， 其 攻击领 域 和 目 的也有所 不 同。 例如，在针 对 大学的 攻 击中 ， 攻 击者除了 会 攻击大 量 的综合性大 学 外， 还会专门 攻 击通信 与 计算机 、 军事与 国 防、涉 外 学 科 等专业领 域 的 院校。 在针对企 业 的攻击 中 ， 攻 击 者重点 关 注的领 域 依次 是 ： 通信 网 络 、 电子 电器、海 洋 与港口、能 源 化工、交通运输、 航 空 航 天和网络安 全 ，且疑似 APT 攻击目标的企业 以 网络 运 维、工 程 建设和 制 造 业 企业居多。 在针对政府 机 构和事 业 单位的 攻 击 中 ，攻 击 者重点 关 注的领域依 次 是： 涉外机构 、 海洋、 教 育 、 国 土 与地质 、 农业、 水 利 和 通信网 络。 在针对科研 机 构 的攻 击 中，攻 击 者重点关 注 的领域 依 次是 ： 海洋 科 学、 涉外研 究、 前沿 学 科 、 通信与 计 算 机、 社会 科 学 、 地 质科学 、 生命科 学 和农 业科学。 下图给出了 2020 年 ， 疑似 APT 攻击目标的境 内 组 织 机构占比 情 况及被 攻击领域 的 图谱分 析。 三、 APT 攻击的 时 空分布 根据 360 威 胁情报 中 心的统 计 显 示 （不含 港 澳台地 区 ） ： 国内受 APT 攻 击影响最大 ， 感染专 用 木马用 户 最多的 省 级行政 区依 次是 ： 广东 、 北 京 、 浙 江 、 江苏 、 山东。 而受影 响 最小 ， 专 用 木马感 染 量 最 小 的 五个 省 级行政 区 依 次是：新 疆 、海南 、 宁夏、 青 海、西 藏。 关于 APT 攻击在中 国 境内的 分 布 情况，详 见 下图（ 不 含港澳 台 地区 ）。 7 2020 年中 国 高级持 续 性威 胁 （ APT） 研究报告 下图给出了 2020 年 以来， APT 攻击影响中国 境 内 用 户数量 的 月 度分布 情况。 8 第三章 针对工 业 系统 的 破坏 从全球范 围 内的 APT 攻击事件监控与研究 情 况来 看 ，绝大多数的 APT 攻击是以 窃 取机密 信 息为主 要 目的 的 ， 而具有 显 著 破 坏性的 APT 攻击并不 多见。 但 2020 年 末至 2020 年以来 ， 在 世界范 围 内 却 先后发生 了 数起引 起 全 球关注的 ， 具有显 著 破 坏 性 的 APT 攻击事件。 其 中 尤以针对 工 业系统 的 破 坏性攻击 最 为引人 关 注。 2020 年 12 月 23 日 ， 也 就 是在圣 诞 节的前 夕 ， 乌 克 兰 遭遇了大 规 模停电 事件，数 万 “ 灾民 ” 不得不 在 严寒中 煎 熬； 而 在 2020 年 11 月 17 日晚，也 就是伊斯 兰 教的大 赦 之夜 ， 沙 特阿拉 伯 又遭 遇 了 的攻击， 包括 沙特国家 民 航总局 在 内的 6 个 重要机 构 的计算 机 系 统 遭到严重 破 坏。 似 乎 每 到年末的 时 候 ， 针对工 业 系统 的 网 络攻击 就 会悄然 来 袭 ， 使 那些可 怜 的受害 者们无法 “ 安心过年 ”。 一、 乌克兰 圣 诞大 停 电事件 2020 年 12 月 23 日，也就是 2020 年 的 圣诞节 前 夕 ， 乌克兰一 家 电力公 司的办公 电 脑和 SCADA 系 统 （ Supervisory Control And Data Acquisition 系统， 即数据采 集 与监视 控 制系 统 ， 一 般 用来代 指 工业控 制 系 统 ） 遭受到 第 三方非 法入侵。 事故 导 致伊万 诺 弗 兰 科夫斯 克 地区将 近 一 半 的家庭经 历 了数小 时 的 电力中 断。 起 初 ， 电 力 公司估 计 约 8 万 名 左右的 用户 受灾 ， 后 发现共 有 三种 不同配电 站 的能源 公 司遭受 攻 击，造 成 各领域约 万名用户 的 电 力中断。 攻击事件 发 生后不久 ， 乌克 兰 政府官 员 声称电 力 中 断 是由网络 攻 击引起 的 ， 并 指 责俄罗 斯 国家安 全 部门应 为 此事负 责。 美国 政府 ， 以 及许多 的 当地 私营企业 均 对乌克 兰 的政府 调 查人员 施 以援手 ， 协 助 乌克兰政 府 对攻击 事 件 进行分析 ， 以确定 故 障的根 本 原因。 2020 年 1 月 3 日 ， 安 全公司 ESET 最 早 披露了 本 次 事 件中的相 关 恶意代 码 ， 并 发 表 文 章 称 ： 乌 克 兰 电 力 部 门 感 染 的 恶意 代 码 为 BlackEnergy。 BlackEnergy 是一种后门程序，攻击者能够利用它来远程访问 并 操控电力控 制系统；此外 ， 在乌克兰境内的多家配电公 司 设 备 中 还检测出了恶意程序 KillDisk， 其 主 要作 用 是破 坏 系统 数 据以 延 缓系 统 的 恢 复过 程。 再 者 ， 研究 人员还在 电 力系统 的 其他服 务 器上发 现 了一个 被 添 加 后门的 SSH 服 务 端程。