2022年9月，我國(guó)西北工業(yè)大學(xué)遭受境外APT組織網(wǎng)絡(luò)攻擊，引起全網(wǎng)的熱議。據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心披露，西北工業(yè)大學(xué)遭網(wǎng)絡(luò)攻擊事件系美國(guó)國(guó)家安全局（NSA）特定入侵行動(dòng)辦公室（TAO）所為。

在針對(duì)該校的網(wǎng)絡(luò)攻擊中，NSA使用了40余種專(zhuān)屬網(wǎng)絡(luò)攻擊武器，持續(xù)開(kāi)展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。其中，名為“飲茶”的嗅探竊密類(lèi)網(wǎng)絡(luò)武器是導(dǎo)致大量敏感數(shù)據(jù)遭竊的最直接“罪魁禍?zhǔn)住敝弧?/p>

隨著調(diào)查的逐步深入，技術(shù)團(tuán)隊(duì)還在西北工業(yè)大學(xué)之外的其他機(jī)構(gòu)網(wǎng)絡(luò)中發(fā)現(xiàn)了“飲茶”的攻擊痕跡，很可能是TAO利用“飲茶”對(duì)我國(guó)發(fā)動(dòng)大規(guī)模的網(wǎng)絡(luò)攻擊活動(dòng)。

而這僅僅是國(guó)家級(jí)APT組織針對(duì)他國(guó)政府、關(guān)鍵基礎(chǔ)設(shè)施、重要企業(yè)發(fā)起網(wǎng)絡(luò)攻擊的一個(gè)縮影。

國(guó)家級(jí)APT組織殺傷力極大

近年來(lái)，隨著地緣沖突和貿(mào)易摩擦不斷加劇，網(wǎng)絡(luò)攻擊作為一種低投入高回報(bào)的入侵手段，不受時(shí)間、空間的條件限制，所有網(wǎng)絡(luò)覆蓋的區(qū)域都可成為網(wǎng)絡(luò)攻擊的目標(biāo)，因此越來(lái)越多的國(guó)家級(jí)APT組織處于活躍狀態(tài)。例如美國(guó)就是建設(shè)和運(yùn)用國(guó)家級(jí)APT組織的代表國(guó)家，多次通過(guò)后門(mén)、漏洞、工具等對(duì)他國(guó)地區(qū)廣泛發(fā)起網(wǎng)絡(luò)攻擊。

每個(gè)國(guó)家級(jí)APT組織的目的都不盡相同，最常見(jiàn)的是利用網(wǎng)絡(luò)攻擊從事間諜活動(dòng)，或竊取機(jī)密數(shù)據(jù)，或破壞他國(guó)關(guān)鍵基礎(chǔ)設(shè)施等。而伊朗針對(duì)以色列的網(wǎng)絡(luò)攻擊多是破壞性行為，也讓雙方之間的仇恨進(jìn)一步緊張。此外還有不少是針對(duì)虛擬貨比，如對(duì)加密貨比平臺(tái)進(jìn)行攻擊獲取收益。

據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測(cè)發(fā)現(xiàn)，自2022年2月下旬以來(lái)，我國(guó)互聯(lián)網(wǎng)持續(xù)遭受境外網(wǎng)絡(luò)攻擊，境外組織通過(guò)攻擊控制我境內(nèi)計(jì)算機(jī)，進(jìn)而對(duì)俄羅斯、烏克蘭、白俄羅斯進(jìn)行網(wǎng)絡(luò)攻擊。經(jīng)分析，這些攻擊地址主要來(lái)自美國(guó)，僅來(lái)自紐約州的攻擊地址就有10余個(gè)，攻擊流量峰值達(dá)36Gbps，87%的攻擊目標(biāo)是俄羅斯，也有少量攻擊地址來(lái)自德國(guó)、荷蘭等國(guó)家。

2021年10月，微軟發(fā)布了第二版《數(shù)字化防護(hù)報(bào)告》。該《報(bào)告》根據(jù)微軟從2020年7月到2021年6月間觀察到的所有黑客行動(dòng)數(shù)據(jù)進(jìn)行制作?！秷?bào)告》指出，這段時(shí)間內(nèi)國(guó)家級(jí)APT組織最為活躍的是俄羅斯，占所有國(guó)家級(jí)攻擊的58%，第二是韓國(guó)占23%，伊朗占11%。

國(guó)家級(jí)網(wǎng)絡(luò)攻擊也是企業(yè)網(wǎng)絡(luò)威脅的主要來(lái)源之一。調(diào)查數(shù)據(jù)顯示，80%的受訪者擔(dān)心他們的組織會(huì)成為民族國(guó)家網(wǎng)絡(luò)攻擊的受害者，大多數(shù)人表示這種擔(dān)憂在過(guò)去五年中逐漸有所增加。68%的企業(yè)高管認(rèn)為他們的組織做好了應(yīng)對(duì)網(wǎng)絡(luò)攻擊的準(zhǔn)備，但實(shí)際情況是，絕大多數(shù)企業(yè)無(wú)法抵御國(guó)家級(jí)APT組織的攻擊，甚至是無(wú)法發(fā)現(xiàn)他們的攻擊行為。

自SolarWinds供應(yīng)鏈安全事件爆發(fā)以來(lái)，讓企業(yè)再一次看到了有國(guó)家支持的網(wǎng)絡(luò)攻擊的可怕之處。而那些發(fā)動(dòng)攻擊的國(guó)家級(jí)APT組織也在業(yè)界打響了名聲，其中包括美國(guó)NSA、Lazarus、蔓靈花等。

全球十大國(guó)家級(jí)APT組織排行榜

為了讓讀者更好地了解全球國(guó)家級(jí)APT組織的現(xiàn)狀，根據(jù)現(xiàn)在已經(jīng)公開(kāi)的信息，從殺傷力、活躍度兩個(gè)維度，對(duì)全球知名國(guó)家級(jí)APT組織進(jìn)行盤(pán)點(diǎn)和對(duì)比，遴選出全球十大國(guó)家級(jí)APT組織排行榜，以下是榜單具體內(nèi)容：

以下是全球十大國(guó)家級(jí)APT組織的具體信息：

1、NSA

2022年，奇安信和360 共同報(bào)告了美國(guó)國(guó)家安全局（NSA）在我國(guó)發(fā)起的長(zhǎng)達(dá)十余年的網(wǎng)絡(luò)攻擊活動(dòng)，并將NSA及其關(guān)聯(lián)機(jī)構(gòu)命名為APT-C-40。眾所周知，美國(guó)在網(wǎng)絡(luò)攻擊領(lǐng)域可謂一騎絕塵，其強(qiáng)大的攻擊實(shí)力和大規(guī)模高危網(wǎng)絡(luò)作戰(zhàn)武器庫(kù)至今仍然是個(gè)謎。即便在今天被安全公司所監(jiān)測(cè)的到多種武器和攻擊行為，也不過(guò)是冰山一角而已，美國(guó)很有可能掌握著更多更高程度的工程化網(wǎng)絡(luò)攻擊平臺(tái)，故而其網(wǎng)絡(luò)攻擊殺傷力為10。

從現(xiàn)有的資料來(lái)看，NSA的攻擊目的多為竊取機(jī)密信息，例如國(guó)防軍工機(jī)密數(shù)據(jù)、工業(yè)領(lǐng)域先進(jìn)研究成果等，在我國(guó)關(guān)鍵基礎(chǔ)設(shè)施中植入后門(mén)，一旦爆發(fā)沖突即可造成嚴(yán)重打擊；長(zhǎng)期對(duì)國(guó)家政府及要害部門(mén)進(jìn)行持續(xù)監(jiān)視與間諜活動(dòng)等。也正因?yàn)槿绱?，NSA常常會(huì)花大量的時(shí)間進(jìn)行潛伏，走的是“放長(zhǎng)線釣大魚(yú)”的思路，故而其表現(xiàn)出的活躍度并沒(méi)有那么高。

NSA常用的網(wǎng)絡(luò)攻擊武器和工具主要是以QUANTUM（量子）攻擊系統(tǒng)、FOXACID（酸狐貍）0Day漏洞攻擊平臺(tái)、Validator（驗(yàn)證器）后門(mén)、UNITEDRAKE（聯(lián)合耙）后門(mén)系統(tǒng)等武器和平臺(tái)為主。

憑借著諸多工程化、自動(dòng)化的網(wǎng)絡(luò)攻擊武器體系，NSA的網(wǎng)絡(luò)攻擊目標(biāo)遍布全球，其范圍大至國(guó)家機(jī)密，小至個(gè)人隱私信息，幾乎無(wú)所不包，這也和美國(guó)軍方的全球打擊戰(zhàn)略相符合。正如業(yè)界所說(shuō)，美國(guó)是頭號(hào)黑客帝國(guó)，不僅僅是因?yàn)槠鋸?qiáng)大的網(wǎng)絡(luò)攻擊實(shí)力，更是因?yàn)槠潺嫶蟮墓裟繕?biāo)范圍，也讓全球都處于網(wǎng)絡(luò)攻擊的威脅之下，沒(méi)有誰(shuí)可以獨(dú)善其身。

2、APT29

APT29是一個(gè)具有俄羅斯政府背景的國(guó)家級(jí)APT 組織，其最早活躍時(shí)間可以追溯至2008年，是一個(gè)持續(xù)活躍的APT組織，主要攻擊目標(biāo)是以美國(guó)為主的北約成員國(guó)和以烏克蘭、格魯吉亞、哈薩克斯坦、阿塞拜疆為代表的歐洲中部國(guó)家。

2009年因?yàn)镈ukes早期工具集曝光，APT29組織被曝光，自此至2019年10余年時(shí)間內(nèi)，公開(kāi)披露的APT29活動(dòng)中均可看到Dukes工具集的使用，只是后續(xù)的Dukes工具集已經(jīng)擴(kuò)充成包含PolyglotDuke、RegDuke、MiniDuke、FatDuke、SeaDuke等在內(nèi)的復(fù)雜武器庫(kù)工具集。

2016年，APT29組織在2016年美國(guó)總統(tǒng)大選期間，針對(duì)美國(guó)民主黨全國(guó)委員會(huì)發(fā)起網(wǎng)絡(luò)攻擊，掩護(hù)實(shí)施間諜活動(dòng)。該攻擊自2015年夏季開(kāi)始對(duì)目標(biāo)進(jìn)行滲透，最終憑借美國(guó)大選攻擊，再次刷新了大家對(duì)于網(wǎng)絡(luò)攻擊威力的認(rèn)知。

2020年7月，全球新冠肺炎疫情局勢(shì)緊張，一波使用WellMess\WellMail等攻擊組件對(duì)全球COVID-19 疫苗研制機(jī)構(gòu)的定向攻擊活動(dòng)被關(guān)聯(lián)歸因至APT29，同年12月份曝光的Solarwinds供應(yīng)鏈攻擊活動(dòng)同樣指向APT29，受害者覆蓋歐美亞地區(qū)4700余個(gè)實(shí)體機(jī)構(gòu)，破壞力驚人。

3、CIA

2021年7月19日，在外交部例行記者會(huì)上，發(fā)言人趙立堅(jiān)提到美國(guó)中情局下屬的APT-C-39網(wǎng)絡(luò)攻擊組織。2017年，維基解密向全球披露了8716份來(lái)自美國(guó)中央情報(bào)局（CIA）網(wǎng)絡(luò)情報(bào)中心的文件，其中包含涉密文件156份，涵蓋了CIA黑客部隊(duì)的攻擊手法、目標(biāo)、工具的技術(shù)規(guī)范和要求，由此揭開(kāi)了CIA神秘的面紗，也向全球展示了CIA網(wǎng)絡(luò)攻擊的強(qiáng)大。

2021年，賽門(mén)鐵克曾發(fā)布報(bào)告稱(chēng)，之前發(fā)生在16個(gè)國(guó)家的40次以上的網(wǎng)絡(luò)攻擊與維基解密所獲得的工具有關(guān)，CIA應(yīng)對(duì)全球數(shù)十家機(jī)構(gòu)過(guò)去遭到的網(wǎng)絡(luò)攻擊負(fù)責(zé)。和NSA相比，CIA的攻擊范圍相對(duì)來(lái)說(shuō)更小，主要是金融、電信、能源、航空航天、信息技術(shù)、教育和自然資源等領(lǐng)域。例如針對(duì)我國(guó)的網(wǎng)絡(luò)攻擊多為航空組織、科研機(jī)構(gòu)、石油行業(yè)、互聯(lián)網(wǎng)公司和政府機(jī)構(gòu)。而在攻擊思路上和NSA保持一致，都是“放長(zhǎng)線釣大魚(yú)”，長(zhǎng)期潛伏在系統(tǒng)之中，持續(xù)從事間諜活動(dòng)和獲取海量機(jī)密數(shù)據(jù)，故而其活躍度比NSA略低一些。

CIA同樣擁有多個(gè)高度工程化的網(wǎng)絡(luò)攻擊武器和平臺(tái)，其中最有名的莫過(guò)于Vault7。據(jù)悉，Vault7是專(zhuān)門(mén)針對(duì)我國(guó)打造的網(wǎng)絡(luò)攻擊武器，包含多種工具和間諜軟件，號(hào)稱(chēng)是全球最大規(guī)模的網(wǎng)絡(luò)間諜武器兵工廠，可在多設(shè)備上實(shí)現(xiàn)超大范圍監(jiān)聽(tīng)。此外還有臭名昭著的Athena（雅典娜），可提供遠(yuǎn)程信標(biāo)和程序加載的木馬程序，以及此前卡巴斯基報(bào)告的高度復(fù)雜的Lamberts工具等，并針對(duì)不同國(guó)家進(jìn)行一定程度的定制化。

4、海蓮花

海蓮花（OceanLotus）是一個(gè)具有東南亞背景的國(guó)家級(jí)APT組織，其攻擊活動(dòng)最早可追溯到2012年4月。在首次披露的攻擊活動(dòng)中，攻擊目標(biāo)涵蓋了中國(guó)海事機(jī)構(gòu)、海域建設(shè)部門(mén)、科研院所和航運(yùn)企業(yè)。自披露以來(lái)，海蓮花一直處于活躍狀態(tài)，其活躍度在國(guó)家級(jí)APT組織中排在前列，且破壞力不容小覷。

海蓮花持續(xù)在我國(guó)發(fā)起針對(duì)性網(wǎng)絡(luò)攻擊活動(dòng)，涉及政府部門(mén)、科研院所、境內(nèi)高校和金融投資機(jī)構(gòu)。此外，東南亞地區(qū)和歐洲地區(qū)也是在海蓮花的攻擊范圍之內(nèi)。海蓮花的攻擊目的不僅是竊取國(guó)家機(jī)密信息，在商業(yè)情報(bào)獲取上同樣不遺余力，曾在2019年發(fā)起多次網(wǎng)絡(luò)攻擊，竊取了豐田、現(xiàn)代、寶馬等老牌車(chē)企的敏感數(shù)據(jù)。2020年以來(lái)，海蓮花還會(huì)進(jìn)行加密貨幣挖礦，例如曾對(duì)法國(guó)和越南政府部門(mén)進(jìn)行攻擊，并部署挖礦程序。

海蓮花擁有非常高的社會(huì)工程學(xué)技巧，常用魚(yú)叉攻擊和水坑攻擊，在近年來(lái)的攻擊活動(dòng)中還采用了供應(yīng)鏈攻擊手法對(duì)高價(jià)值目標(biāo)進(jìn)行滲透。其攻擊武器覆蓋多平臺(tái)，已知具有針對(duì)Windows和Mac OS系統(tǒng)的攻擊工具，疑似具備針對(duì)Android和Linux平臺(tái)的惡意軟件，該組織擅長(zhǎng)結(jié)合公開(kāi)的商業(yè)或開(kāi)源工具實(shí)施攻擊活動(dòng)，比如Cobalt Strike，Mimikatz。

5、摩訶草

摩訶草（白象）是一個(gè)具有南亞背景的國(guó)家級(jí)APT組織，活躍時(shí)間超過(guò)8年，其最早活躍時(shí)間可追溯至2009年11月，和蔓靈花、海蓮花一樣具有驚人的活躍度。摩訶草組織攻擊涉及范圍非常廣泛，除我國(guó)和巴基斯坦等主要目標(biāo)，還包括以色列、孟加拉國(guó)、美國(guó)、英國(guó)、日本、韓國(guó)等國(guó)及中東和東南亞地區(qū)，并針對(duì)目標(biāo)國(guó)家的政府、軍事、電力、工業(yè)、外交和經(jīng)濟(jì)進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，竊取敏感信息。

摩訶草主要針對(duì)Windows系統(tǒng)進(jìn)行攻擊，也會(huì)針對(duì)Android、Mac OS系統(tǒng)進(jìn)行攻擊。在實(shí)施攻擊的過(guò)程中常常使用大量的漏洞，其中至少包括一個(gè)零日漏洞，因此它的破壞力也非常強(qiáng)。

摩訶草攻擊活動(dòng)常以魚(yú)叉郵件開(kāi)始，偶爾也會(huì)利用水坑攻擊，并結(jié)合社會(huì)工程學(xué)技巧，以熱點(diǎn)問(wèn)題為誘餌主題，將自身偽裝為目標(biāo)國(guó)家、目標(biāo)領(lǐng)域的相關(guān)人員發(fā)起定向攻擊。近年來(lái)，摩訶草組織還被發(fā)現(xiàn)利用VBA宏文檔、偽裝圖標(biāo)PE等技術(shù)進(jìn)行攻擊。

6、Lazarus

Lazarus Group又名HIDDEN COBRA、Guardians of Peace等，是東亞某國(guó)支持的最活躍的APT組織之一，具有非常高的網(wǎng)絡(luò)攻擊能力，并且得到該國(guó)情報(bào)部門(mén)的大力支持。Lazarus早期多利用僵尸網(wǎng)絡(luò)對(duì)目標(biāo)進(jìn)行DDos攻擊；中后期主要攻擊手段轉(zhuǎn)為魚(yú)叉攻擊、水坑攻擊、供應(yīng)鏈攻擊等手法，還針對(duì)不同人員采取定向社會(huì)工程學(xué)攻擊。

和大多數(shù)國(guó)家級(jí)APT組織不同的是，Lazarus發(fā)起網(wǎng)絡(luò)攻擊的主要目的是獲取大量資金，因此其目標(biāo)主要是銀行、比特幣交易所等金融機(jī)構(gòu)和個(gè)人，堪稱(chēng)全球金融機(jī)構(gòu)尤其是加密貨幣平臺(tái)最大的敵人。其次，Lazarus還針對(duì)航空航天、工程、技術(shù)、政府、媒體、等機(jī)構(gòu)及企業(yè)進(jìn)行滲透，達(dá)到竊取重要資料及破壞勒索的目的。

自2009年以來(lái)，被報(bào)道和Lazarus APT組織相關(guān)的網(wǎng)絡(luò)攻擊事件數(shù)量持續(xù)增長(zhǎng)，特別是在2017年后，Lazarus的攻擊頻率和力度都上了一個(gè)新的臺(tái)階，并策劃了多場(chǎng)著名網(wǎng)絡(luò)攻擊事件，其中包括對(duì)波蘭和墨西哥銀行的攻擊、WannaCry病毒爆發(fā)以及針對(duì)美國(guó)承包商的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)行動(dòng)等。

7、SandCat

2018年，卡巴斯基首次發(fā)現(xiàn)了名為“SandCat”的APT組織，并確認(rèn)它已經(jīng)存在了一段時(shí)間。SandCat是烏茲別克斯坦支持的國(guó)家級(jí)APT 組織，其發(fā)起網(wǎng)絡(luò)攻擊的主要目的是竊取機(jī)密情報(bào)和從事各種間諜活動(dòng)，其目標(biāo)范圍主要集中在中東地區(qū)，包括但不限于沙特阿拉伯。

SandCat APT組織的破壞力極高，幾乎可以和美國(guó)NSA、CIA相媲美，而且該組織頗為神秘，僅有寥寥幾次攻擊被網(wǎng)絡(luò)安全公司監(jiān)控，因此表現(xiàn)出的活躍度非常低。

一直以來(lái)，SandCat都在使用FinFisher/FinSpy 間諜軟件和 CHAINSHOT框架，且非常擅長(zhǎng)利用各種零日漏洞。例如在之前針對(duì)中東和非洲的網(wǎng)絡(luò)攻擊中就曾使用過(guò)一個(gè)高危的Windows 零日漏洞。而在另外一次已知的攻擊中使用了CVE-2018-8589 和 CVE-2018-8611 Windows 兩個(gè)零日漏洞。

8、蔓靈花

蔓靈花（BITTER）是一個(gè)具有南亞背景的國(guó)家級(jí)APT組織，其攻擊活動(dòng)最早可以追溯到2013年，其政治背景十分強(qiáng)烈。2016年，國(guó)外安全廠商Forcepoint首次披露該組織。蔓靈花的攻擊目標(biāo)主要是竊取機(jī)密數(shù)據(jù)，其攻擊范圍主要是我國(guó)和巴基斯坦，涉及政府部門(mén)、電力、軍工業(yè)相關(guān)單位。

和海蓮花一樣，蔓靈花一直處于活躍狀態(tài)，其活躍度在國(guó)家級(jí)APT組織中排在前列。有意思的是，在多份報(bào)告中均有指出，蔓靈花組織跟疑似南亞某國(guó)的多個(gè)攻擊組織，包括摩訶草（Patchwork）、魔羅桫、肚腦蟲(chóng)（donot）等存在著千絲萬(wàn)縷的關(guān)系。

根據(jù)目前觀察到的信息，蔓靈花主要在Windows和Android平臺(tái)進(jìn)行攻擊活動(dòng)，使用的數(shù)字武器包括ArtraDownloader，BitterRAT，也會(huì)結(jié)合商業(yè)或開(kāi)源RAT實(shí)施攻擊活動(dòng)，比如Async RAT，Warzone RAT，再借助各類(lèi)零日漏洞，破壞力不容小覷。

9、Turla

Turla是一個(gè)具有俄語(yǔ)國(guó)家背景的APT組織，隸屬于該國(guó)情報(bào)機(jī)構(gòu)，2014年首次被卡巴斯基發(fā)現(xiàn)，最早活動(dòng)甚至可以追溯到1996年。根據(jù)現(xiàn)有披露的信息，Turla所掌握武器和利用方式最復(fù)雜的組織之一，擁有Carbon`ComRat·Karzuar等后門(mén)套件，不僅功能豐富且易于擴(kuò)展，且長(zhǎng)期以來(lái)保持著更新和版本迭代。

Turla在業(yè)界可謂是兇名赫赫，其已被發(fā)現(xiàn)的攻擊活動(dòng)涉及45個(gè)國(guó)家，主要針對(duì)外交部門(mén)、政府機(jī)構(gòu)、軍事機(jī)構(gòu)、科研機(jī)構(gòu)等組織竊取重要情報(bào)和從事間諜活動(dòng)。目前已知的受害者包括美國(guó)中央司令部、德國(guó)外交部、瑞士軍工企業(yè)RUAG等，被認(rèn)為是活躍度和破壞力均排在前列的APT組織之一。

2021年年初，國(guó)外的安全研究者發(fā)現(xiàn)Turla開(kāi)始將Iron Python納入自身攻擊武器的一環(huán)，通過(guò)給受害計(jì)算機(jī)安裝Iron Python·Turla組織成員得以運(yùn)行python編寫(xiě)的惡意腳本，且能在python代碼中直接調(diào)用.net平臺(tái)的API，功能十分強(qiáng)大。

Turla在歷史攻擊活動(dòng)中使用工具包括數(shù)據(jù)收集和shell執(zhí)行功能的后門(mén)、具有遠(yuǎn)控和監(jiān)控功能的組件以及開(kāi)源工具等。 Turla使用的后門(mén)及工具種類(lèi)繁多且難以追蹤，不僅擁有豐富的軍火庫(kù)還擁有大量開(kāi)發(fā)人員，能夠及時(shí)進(jìn)行技術(shù)更新。

10、響尾蛇

2018年4月，卡巴斯基發(fā)布“APT Trends report Q1 2018”報(bào)告，并指出“響尾蛇（Sidewinder）”APT組織是南亞地區(qū)一個(gè)常年活躍的國(guó)家級(jí)網(wǎng)絡(luò)犯罪團(tuán)伙。響尾蛇自2012年開(kāi)始出現(xiàn)在人們視野中，至今已有十年，主要針對(duì)巴基斯坦、中國(guó)、阿富汗、尼泊爾、孟加拉等國(guó)家展開(kāi)攻擊，旨在竊取政府外交機(jī)構(gòu)、國(guó)防軍事部門(mén)、高等教育機(jī)構(gòu)等領(lǐng)域的機(jī)密信息，具有強(qiáng)烈的政治目的。

響尾蛇曾多次發(fā)起針對(duì)我國(guó)的網(wǎng)絡(luò)攻擊，基本利用的是Office遠(yuǎn)程代碼執(zhí)行漏洞（cve-2017-11882），以網(wǎng)絡(luò)釣魚(yú)攻擊的形式投放誘餌并竊取機(jī)密信息，另外一個(gè)Office邏輯漏洞（CVE-2017-0199）也經(jīng)常被用于在該組織的網(wǎng)絡(luò)攻擊之中。

在近年來(lái)針對(duì)巴基斯坦的攻擊中，響尾蛇使用了新的LNK文件路徑的目標(biāo)劫持攻擊手段，通過(guò)郵件或其他方式投放虛假的快捷方式文件，一旦用戶(hù)訪問(wèn)了該快捷方式屬性中所帶有的鏈接，就會(huì)下載惡意軟件，進(jìn)而盜取電腦內(nèi)所有的文件信息等。

和NSA、CIA高度工程化的武器庫(kù)相比，響尾蛇的作戰(zhàn)設(shè)施相對(duì)更溫和一些，且大多數(shù)都是以網(wǎng)絡(luò)釣魚(yú)攻擊作為起手，誘騙用戶(hù)點(diǎn)擊釣魚(yú)網(wǎng)站，并獲得賬號(hào)密碼等登錄憑證信息，最終實(shí)現(xiàn)竊取機(jī)密數(shù)據(jù)的目的。

國(guó)家級(jí)APT攻擊威脅必將愈演愈烈

當(dāng)下，全球都處于數(shù)字化轉(zhuǎn)型的關(guān)鍵時(shí)期，可以肯定的是，誰(shuí)放棄數(shù)字化轉(zhuǎn)型誰(shuí)就放棄了未來(lái)。但隨著越來(lái)越的資產(chǎn)和組織進(jìn)行數(shù)字化轉(zhuǎn)型，也就意味著將社會(huì)運(yùn)轉(zhuǎn)、老百姓的衣食住行都架構(gòu)在網(wǎng)絡(luò)、數(shù)據(jù)和軟件之上，此時(shí)網(wǎng)絡(luò)攻擊所展現(xiàn)出來(lái)的威力將難以想象。

在國(guó)家和地區(qū)的大力支持下，國(guó)家級(jí)APT組織實(shí)力正在急劇上升，單個(gè)企業(yè)、政府部門(mén)、基礎(chǔ)設(shè)施難以應(yīng)對(duì)，勢(shì)必導(dǎo)致國(guó)家級(jí)APT組織的產(chǎn)出投入比持續(xù)增加，而這也將進(jìn)一步刺激國(guó)家加大對(duì)這些APT組織和網(wǎng)絡(luò)攻擊方面的投入。

這是一個(gè)無(wú)解的正循環(huán)。此外，當(dāng)其他國(guó)家和地區(qū)支持的APT組織在網(wǎng)絡(luò)空間中為所欲為時(shí)，也將刺激受攻擊的國(guó)家和地區(qū)發(fā)展官方APT組織。這不禁讓人想到了冷戰(zhàn)時(shí)期美蘇爭(zhēng)霸瘋狂的軍備競(jìng)賽，或許我們未來(lái)也可以見(jiàn)到一場(chǎng)國(guó)家級(jí)APT組織的“瘋狂競(jìng)賽”。

真到了那個(gè)時(shí)期，APT攻擊威脅將籠罩在全球，網(wǎng)絡(luò)安全之路道阻且長(zhǎng)。