高级长期威胁
高级长期威胁(英语:advanced persistent threat,缩写:APT),又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。[1]
APT发起方,如政府,通常具备持久而有效地针对特定主体的能力及意图。此术语一般指网络威胁,尤其是指使用众多情报收集技术来获取敏感信息的网络间谍活动,[2]但也适用于传统的间谍活动之类的威胁。[3]其他攻击面包括受感染的媒介、入侵供应链、社会工程学。个人,如个人黑客,通常不被称作APT,因为即使个人有意攻击特定目标,他们也通常不具备高级和长期这两个条件。[4]
历史
2005年时,英国及美国的一些计算机应急响应组织发布报告,提醒人们注意某些针对性的钓鱼电子邮件会释放木马,外泄敏感信息,但“APT”一词还未被使用。[5]普遍认为“高级长期威胁”这个术语是在2006年由美国空军创造,[6]而格雷格·拉特雷上校一般被认为是该术语的发明人。[7]
震网蠕虫是APT的一个例子,此蠕虫专门针对伊朗核设施的电脑硬件。此事件中,伊朗政府可能就把震网蠕虫的创造者视为一个高级长期威胁。
在计算机安全社群及媒体中,此术语常指针对政府、公司、政治活跃分子的长期而复杂的黑客攻击,也指发起这些攻击幕后团体的活动特征。日趋频繁的高级长期威胁(APT)可能会逐渐只用于指代计算机黑客入侵。据《PC World》杂志统计,从2010年到2011年,针对性的高级电脑黑客攻击增长了81%。[8]
对于APT的一个常见误解[谁?]是,APT仅仅针对西方政府。虽然针对西方政府的APT事件在西方广为流传,但许多国家的黑客也会通过网络空间收集个人或一群个人的情报。[9][10][11]美国网战司令部负责协调美国军方对网络攻击作出的响应。
有说法称一些APT团体直属于或受雇于民族国家。[12][13][14] 掌握大量可辨识的个人身份信息的行业极有可能遭受高级长期威胁,如:[2]
- 高等教育[15]
- 金融机构
术语
- 高级:威胁的幕后操纵者对情报收集技术有着全面的掌控能力。其中可包括电脑入侵技术和传统情报收集技术(如电话监听技术、卫星成像技术)。攻击中使用的各个组件本身可能并不能算特别“高级”(例如,利用公开的恶意软件生成工具生成的恶意软件,或是一些容易获得的漏洞利用材料),但是操纵者往往可以按需开发出更高级的工具。他们一般会使用多种针对方式、工具和技术以入侵目标,并保持访问权限。操纵者也可能会特别注意行动中的安全,这一点和“不那么高级”的威胁有所不同。
- 长期:操纵者注重一个特定的任务,而不是盲目搜寻信息。这一区别暗示攻击者受到外部力量指示。为了达到预定目的,攻击者会持续监控目标,并做出反应。这并不表示攻击者会经常发动攻击、频繁更新恶意软件。事实上,“放长线”的方法会更为成功。如果操纵者失去了对目标的访问权,他们一般会重新尝试入侵,也往往会成功。操纵者的目的之一就是对目标保有长期的访问权,而不是一次性的访问权。
- 威胁:APT之所以成为威胁,是因为发起方既有此能力,又有此意图。APT攻击是由一群有组织的人发起的。操纵者有特定的目标,且技术精湛、资金雄厚。
特点
Bodmer、Kilger、Carpenter和Jones的研究将APT的标准定义如下:[17]
- 目标 – 威胁的最终目标,即你的对手
- 时间 – 调查、入侵所花的时间
- 资源 – 所涉及的知识面及工具(技能和方法也有所影响)
- 风险承受能力 – 威胁能在多大程度上不被发觉
- 技能与方法 – 所使用的工具及技术
- 行动 – 威胁中采取的具体行动
- 攻击源头 – 攻击来源的数量
- 牵涉数量 – 牵涉到多少内部或外部系统,多少人的系统具有不同重要性
- 信息来源 – 是否能通过收集在线信息识别出某个威胁
趋势科技定义 APT 基本要素与特点如下:
生命周期
APT的幕后黑手会对组织团体的金融财产、知识产权及名誉造成持续变化的威胁,[21]其过程如下:
- 因一个目标开始盯上特定组织团体
- 试图入侵到其环境中(如发送钓鱼邮件)
- 利用入侵的系统来访问目标网络
- 部署实现攻击目标所用的相关工具
- 隐藏踪迹以便将来访问
2013年,美国网络安全公司麦迪安(Mandiant)发布了关于2004至2013年间疑似来源于中国的APT攻击的研究结果,[22]其中的生命周期与上述相似:
- 初始入侵 – 使用社会工程学、钓鱼式攻击、零日攻击,通过邮件进行。在受害者常去的网站上植入恶意软件(挂马)也是一种常用的方法。
- 站稳脚跟 – 在受害者的网络中植入远程访问工具,打开网络后门,实现隐蔽访问。
- 提升特权 – 通过利用漏洞及破解密码,获取受害者电脑的管理员特权,并可能试图获取Windows域管理员特权。
- 内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。
- 横向发展 – 将控制权扩展到其他工作站、服务器及设施,收集数据。
- 保持现状 – 确保继续掌控之前获取到的访问权限和凭据。
- 任务完成 – 从受害者的网络中传出窃取到的数据。
麦迪安所分析的这起入侵事件中,攻击者对受害者的网络保有控制权的平均时间为一年,最长时间为五年。[22] 此次渗透攻击据称是位于上海的中国人民解放军61398部队所为。中国官方否认参与了这些攻击。[23]
缓解策略
恶意软件的变种数以千万计,因此要保护组织团体免于APT攻击极为困难。虽然APT活动十分隐蔽,但与APT相关的命令与控制网络流量却可以在网络层由精密的方法检测。深入的日志分析和比对有助于检测APT活动。尽管要从正常流量中分离出异常流量有一定难度,但这一工作可以借助完善的日志分析工具来完成,以便安全专家调查异常流量。[1]
终端使用者
- 不随意开启未知来源的邮件附加档案
- 安装已知品牌软体,定期系统更新,安装扫描病毒软体并定期扫毒
企业资讯人员
- 建立监控软体,寻找是否有可疑终端电脑或装置
- 使用多层次资安防御软体,加强防护纵深
- 订立企业内部敏感资讯的监控与存取政策
- 教育员工关于社交工程的资讯安全意识[19]
相关组织
中国
自 2012 年习近平出任中共中央总书记以来,中国国家安全部在网络间谍活动方面承担了比中国人民解放军更大的责任,目前负责监管各种 APT 组织。[24] 安全研究员蒂莫·斯蒂芬斯 (Timo Steffens) 表示:“中国的网络威胁格局采用‘全国性’的方式,利用了大学、个人以及私营和公共部门等的技术。” [25]
- APT1 是中国人民解放军61398部队。
- APT2 是中国人民解放军61486部队。
- APT3 (又名Boyusec) 是中国国家安全部广东省国家安全厅。[26]
- APT10 (又名Red Apollo), 是中国国家安全部天津市国家安全局。
- APT12 (又名Numbered Panda) 是解放军所属身份不明组织。
- APT17 (又名DeputyDog) 是中国政府所属身份不明单位。[27]
- APT18 (又名Dynamite Panda或Scandium) 是解放军海军所属部队之一。[28]
- APT19 (又名Deep Panda或C0d0so0 Team) 是中国政府所属身份不明单位。
- APT20 (又名Violin Panda或Wocao) 是中国政府所属身份不明单位。[29][30]
- APT22 (又名Suckfly) 是中国政府所属身份不明单位。
- APT26 (又名Turbine Panda) 是中国国家安全部江苏省国家安全厅。
- APT27 (又名Emissary Panda) 是中国政府所属身份不明单位。[31]
- APT30 (又名Naikon) 是中国人民解放军78020部队。
- APT31 (又名Zirconium或Hurricane Panda) 是中国国家安全部湖北省国家安全厅[32][33][34][35]
- APT40 是中国国家安全部海南省国家安全厅。
- Hafnium (组织)与APT40 密切相关。[36][37][38]
- APT41 (又名Double Dragon、Winnti Group或Barium) 是中国国家安全部所属单位之一,位于中国成都。[39][40][41][42][28]
- LightBasin[43][44] (又名UNC1945)
- Dragonbridge[45]
- Tropic Trooper[46][47]
- Volt Typhoon[48]
- Flax Typhoon[49]
- Charcoal Typhoon (又名CHROMIUM)[50][51]
- Salmon Typhoon (又名SODIUM)[50][51]
- 盐台风(Salt Typhoon,又名GhostEmperor或FamousSparrow)[52][53]
伊朗
- Charming Kitten (又名 APT35)
- Elfin Team (又名 APT33)
- Helix Kitten (又名 APT34)
- Pioneer Kitten[54]
- Remix Kitten (又名 APT39, ITG07, 或 Chafer)[55][56]
北朝鲜
- Kimsuky
- Lazarus 组织 (又名 APT38)
- Ricochet Chollima (又名 APT37)
俄罗斯
- Berserk Bear
- Cozy Bear (又名 APT29)
- Fancy Bear (又名 APT28)
- FIN7
- Gamaredon[57] (又名 Primitive Bear) [a]
- Sandworm
- Venomous Bear[60]
土耳其
- StrongPity (又名 APT-C-41 或 PROMETHIUM)[61]
美国
乌兹别克斯坦
越南
- OceanLotus (又名 APT32)[64][65]
注
参考文献
- ^ 1.0 1.1 https://www.cademia.edu/6309905/Advanced_Persistent_Threat_-_APT[永久失效链接]
- ^ 2.0 2.1 Anatomy of an Advanced Persistent Threat (APT). Dell SecureWorks. [2012-05-21]. (原始内容存档于2012-07-12).
- ^ 3.0 3.1 Are you being targeted by an Advanced Persistent Threat?. Command Five Pty Ltd. [2011-03-31]. (原始内容存档于2011年4月6日).
- ^ 4.0 4.1 The changing threat environment .... Command Five Pty Ltd. [2011-03-31]. (原始内容存档于2012-07-24).
- ^ Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (PDF). Lockheed Martin Corporation Abstract. [March 13, 2013]. (原始内容存档 (PDF)于2015-02-05).
- ^ Assessing Outbound Traffic to Uncover Advanced Persistent Threat (PDF). SANS Technology Institute. [2013-04-14]. (原始内容存档 (PDF)于2013-02-24).
- ^ Introducing Forrester's Cyber Threat Intelligence Research. Forrester Research. [2014-04-14]. (原始内容存档于2014-04-15).
- ^ Olavsrud, Thor. Targeted Attacks Increased, Became More Diverse in 2011. PCWorld. [2015-01-22]. (原始内容存档于2019-04-10).
- ^ An Evolving Crisis. BusinessWeek. April 10, 2008 [2010-01-20]. (原始内容存档于2010-01-10).
- ^ The New E-spionage Threat. BusinessWeek. April 10, 2008 [2011-03-19]. (原始内容存档于2011-04-18).
- ^ Google Under Attack: The High Cost of Doing Business in China. Der Spiegel. 2010-01-19 [2010-01-20]. (原始内容存档于2010-01-21).
- ^ Under Cyberthreat: Defense Contractors. BusinessWeek. July 6, 2009 [2010-01-20]. (原始内容存档于2010-01-11).
- ^ Understanding the Advanced Persistent Threat. Tom Parker. February 4, 2010 [2010-02-04]. (原始内容存档于2010-02-18).
- ^ Advanced Persistent Threat (or Informationized Force Operations) (PDF). Usenix, Michael K. Daly. November 4, 2009 [2009-11-04]. (原始内容存档 (PDF)于2011-05-13).
- ^ Ingerman, Bret. Top-Ten IT Issues, 2011. Educause Review. [2015-01-22]. (原始内容存档于2015-04-07).
- ^ What's an APT? A Brief Definition. Damballa. January 20, 2010 [2010-01-20]. (原始内容存档于2010-02-11).
- ^ Bodmer, Kilger, Carpenter, & Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. New York: McGraw-Hill Osborne Media. ISBN 0-07-177249-9, ISBN 978-0-07-177249-5
- ^ Trend Labs 趋势科技全球技术支援与研发中心. 什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?. 资安趋势部落格. 2011-09-13 [2019-03-09]. (原始内容存档于2020-05-16) (中文(台湾)).
- ^ 19.0 19.1 Trend Labs 趋势科技全球技术支援与研发中心. 認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT). 资安趋势部落格. 2012-03-07 [2019-03-09]. (原始内容存档于2012-11-14) (中文(台湾)).
- ^ Trend Labs 趋势科技全球技术支援与研发中心. 淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例. 资安趋势部落格. 2012-09-19 [2019-03-09]. (原始内容存档于2013-07-09) (中文(台湾)).
- ^ Advanced Persistent Threats: Higher Education Security Risks. Dell SecureWorks. [2012-09-15]. (原始内容存档于2015-09-24).
- ^ 22.0 22.1 APT1: Exposing One of China's Cyber Espionage Units. Mandiant. 2013 [2015-01-22]. (原始内容存档于2015-02-02).
- ^ China says U.S. hacking accusations lack technical proof. Reuters. 2013 [2015-01-22]. (原始内容存档于2014-12-30).
- ^ Mozur, Paul; Buckley, Chris. Spies for Hire: China's New Breed of Hackers Blends Espionage and Entrepreneurship. The New York Times. 2021-08-26 [2021-08-27]. ISSN 0362-4331. (原始内容存档于27 August 2021) (美国英语).
- ^ Stone, Jeff. Foreign spies use front companies to disguise their hacking, borrowing an old camouflage tactic. cyberscoop.com. Cyberscoop. October 5, 2020 [11 October 2020]. (原始内容存档于22 March 2021).
- ^ Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak. Symantec. 2019-05-07 [2019-07-23]. (原始内容存档于2019-05-07).
- ^ APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tactic (PDF). FireEye. May 2015 [21 March 2021]. (原始内容 (PDF)存档于24 November 2023).
- ^ 28.0 28.1 China-Based Threat Actors (PDF). U.S. Department of Health and Human Services Office of Information Security. August 16, 2023 [29 April 2024]. (原始内容存档 (PDF)于29 December 2023).
- ^ van Dantzig, Maarten; Schamper, Erik. Wocao APT20 (PDF). fox-it.com. NCC Group. 2019-12-19 [23 December 2019]. (原始内容 (PDF)存档于22 March 2021).
- ^ Vijayan, Jai. China-Based Cyber Espionage Group Targeting Orgs in 10 Countries. www.darkreading.com. Dark Reading. December 19, 2019 [12 January 2020]. (原始内容存档于7 May 2021).
- ^ Lyngaas, Sean. Chinese hackers posed as Iranians to breach Israeli targets, FireEye says. www.cyberscoop.com. 10 August 2021 [15 August 2021]. (原始内容存档于29 November 2023).
- ^ Treasury Sanctions China-Linked Hackers for Targeting U.S. Critical Infrastructure. U.S. Department of the Treasury. 2024-03-19 [2024-03-25]. (原始内容存档于25 March 2024) (英语).
- ^ Lyngaas, Sean. Google offers details on Chinese hacking group that targeted Biden campaign. Cyberscoop. October 16, 2020 [16 October 2020]. (原始内容存档于7 May 2021).
- ^ Hui, Sylvia. US and UK announce sanctions over China-linked hacks on election watchdog and lawmakers. Associated Press. 2024-03-25 [2024-03-25]. (原始内容存档于25 March 2024) (英语).
- ^ Lyngaas, Sean. Right country, wrong group? Researchers say it wasn't APT10 that hacked Norwegian software firm. www.cyberscoop.com. Cyberscoop. February 12, 2019 [16 October 2020]. (原始内容存档于7 May 2021).
- ^ Naraine, Ryan. Microsoft: Multiple Exchange Server Zero-Days Under Attack by Chinese Hacking Group. securityweek.com. Wired Business Media. 2021-03-02 [2021-03-03]. (原始内容存档于6 July 2023) (English).
- ^ Burt, Tom. New nation-state cyberattacks. blogs.microsoft.com. Microsoft. 2021-03-02 [2021-03-03]. (原始内容存档于2 March 2021) (English).
- ^ Gatlan, Sergiu. US and allies officially accuse China of Microsoft Exchange attacks. Bleeping Computer. 2021-07-19 [25 March 2024]. (原始内容存档于25 March 2024).
- ^ Double Dragon APT41, a dual espionage and cyber crime operation. FireEye. 2019-10-16 [2020-04-14]. (原始内容存档于7 May 2021).
- ^ Bureau names ransomware culprits. www.taipeitimes.com. Taipei Times. May 17, 2020 [22 May 2020]. (原始内容存档于22 March 2021).
- ^ Tartare, Mathieu; Smolár, Martin. No "Game over" for the Winnti Group. www.welivesecurity.com. We Live Security. 21 May 2020 [22 May 2020]. (原始内容存档于22 March 2021).
- ^ Greenberg, Andy. Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry. Wired. August 6, 2020 [7 August 2020]. (原始内容存档于22 March 2021).
- ^ Nichols, Shaun. 'LightBasin' hackers spent 5 years hiding on telco networks. TechTarget. 2021-10-20 [2022-04-08]. (原始内容存档于29 November 2023).
- ^ Ilascu, Ionut. LightBasin hacking group breaches 13 global telecoms in two years. Bleeping Computer. 2021-10-19 [2022-04-08]. (原始内容存档于24 July 2023).
- ^ Sabin, Sam. New pro-China disinformation campaign targets 2022 elections: Report. Axios. October 26, 2022 [October 27, 2022]. (原始内容存档于26 October 2022).
- ^ Chen, Joey. Tropic Trooper's Back: USBferry Attack Targets Air-gapped Environments. blog.trendmicro.com. Trend Micro. 12 May 2020 [16 May 2020]. (原始内容存档于22 March 2021).
- ^ Cimpanu, Catalin. Hackers target the air-gapped networks of the Taiwanese and Philippine military. ZDnet. [16 May 2020]. (原始内容存档于22 March 2021).
- ^ Intelligence, Microsoft Threat. Volt Typhoon targets US critical infrastructure with living-off-the-land techniques. Microsoft Security Blog. 2023-05-24 [2023-05-26]. (原始内容存档于17 January 2024) (美国英语).
- ^ Tucker, Eric. FBI disrupts Chinese cyber operation targeting critical infrastructure in the US. Associated Press. 2024-09-18 [2024-09-18]. (原始内容存档于September 24, 2024) (英语).
- ^ 50.0 50.1 Disrupting malicious uses of AI by state-affiliated threat actors. February 14, 2024 [February 16, 2024]. (原始内容存档于February 16, 2024).
- ^ 51.0 51.1 Staying ahead of threat actors in the age of AI. Microsoft. February 14, 2024 [February 16, 2024]. (原始内容存档于February 16, 2024).
- ^ Krouse, Sarah; McMillan, Robert; Volz, Dustin. China-Linked Hackers Breach U.S. Internet Providers in New 'Salt Typhoon' Cyberattack . The Wall Street Journal. September 25, 2024 [September 25, 2024].
- ^ Krouse, Sarah; Volz, Dustin; Viswanatha, Aruna; McMillan, Robert. U.S. Wiretap Systems Targeted in China-Linked Hack . The Wall Street Journal. October 5, 2024 [October 5, 2024]. (原始内容存档于October 5, 2024).
- ^ Montalbano, Elizabeth. Pioneer Kitten APT Sells Corporate Network Access. Threat Post. September 1, 2020 [3 September 2020]. (原始内容存档于22 March 2021).
- ^ APT39, ITG07, Chafer, Remix Kitten, Group G0087 | MITRE ATT&CK®. attack.mitre.org. [2022-12-30]. (原始内容存档于30 December 2022).
- ^ Crowdstrike Global Threat Report 2020 (PDF). crowdstrike.com. 2020 [2020-12-30]. (原始内容存档 (PDF)于2020-03-14).
- ^ Kyle Alspach. Microsoft discloses new details on Russian hacker group Gamaredon. VentureBeat. 4 February 2022 [22 March 2022]. (原始内容存档于6 February 2022).
- ^ 58.0 58.1 Charlie Osborne. Ukraine warns of InvisiMole attacks tied to state-sponsored Russian hackers. ZDNet. 21 March 2022 [22 March 2022]. (原始内容存档于22 March 2022).
- ^ Warren Mercer; Vitor Ventura. Gamaredon - When nation states don't pay all the bills. Cisco. 23 February 2021 [22 March 2022]. (原始内容存档于19 March 2022).
- ^ Adversary: Venomous Bear - Threat Actor. Crowdstrike Adversary Universe. [2022-03-22] (美国英语).
- ^ Warren Mercer; Paul Rascagneres; Vitor Ventura. PROMETHIUM extends global reach with StrongPity3 APT. Cisco. 29 June 2020 [22 March 2022]. (原始内容存档于22 March 2022).
- ^ Equation: The Death Star of Malware Galaxy. Kaspersky Lab. 2015-02-16 [2019-07-23]. (原始内容存档于2019-07-11).
- ^ Gallagher, Sean. Kaspersky finds Uzbekistan hacking op… because group used Kaspersky AV. arstechnica.com. Ars Technica. 3 October 2019 [5 October 2019]. (原始内容存档于22 March 2021).
- ^ Panda, Ankit. Offensive Cyber Capabilities and Public Health Intelligence: Vietnam, APT32, and COVID-19. thediplomat.com. The Diplomat. [29 April 2020]. (原始内容存档于22 March 2021).
- ^ Tanriverdi, Hakan; Zierer, Max; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do. Nierle, Verena; Schöffel, Robert; Wreschniok, Lisa , 编. Lined up in the sights of Vietnamese hackers. Bayerischer Rundfunk. October 8, 2020 [11 October 2020]. (原始内容存档于22 March 2021).
In Bui's case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots.