俄乌冲突背后的网络暗战：APT组织是什么？破坏力有多惊人？

每经记者：朱成祥

俄乌冲突引发全世界关注。双方在战场上交火的同时，没有硝烟的网络对抗也早已开始，不同利益方的黑客组织、APT组织进入公众视野。

2月25日，新华社报道称，国际黑客团体“匿名者”于2月24日针对俄罗斯在乌克兰的军事行动对俄发起“网络战争”，并承认攻击了今日俄罗斯电视台网站。

据环球时报引述英国独立报报道，在俄罗斯在乌克兰采取特别军事行动之际，俄克里姆林宫网站出现故障。

较黑客更严密，APT组织是什么？

俄乌冲突之外，当下最炙手可热的半导体设计公司英伟达也被黑客组织盯上了。

2月26日上午，有相关报道称，网络攻击使得英伟达部分业务至少中断两天。因为被网络恶意入侵后的应对与遏制措施，英伟达内部的电邮系统与开发工具在此期间不能使用。

随即，2月26日下午，新兴的网络勒索组织Lapsus$在自己的社交软件频道组里宣布，成功突破英伟达的网络防火墙，窃取到了近1TB数据。这是一家南美的黑客组织，曾对巴西邮政、葡萄牙最大的电视台和报纸媒体Impresa进行攻击。

没想到英伟达很快反击，2月27日，Lapsus$突然宣称，英伟达竟然把自己用来黑英伟达的电脑给黑了。

说起网络对抗，必须提及APT组织。对俄发起网络攻击的黑客组织“匿名者”，严格意义上来说，不算APT组织，因为其没有APT组织那么深入长期。

所谓的APT攻击，也叫作高级可持续威胁攻击，相对于普通的黑客攻击工具，针对性、攻击复杂程度更高，往往具有持续性，且隐蔽性更强。而APT组织，其目的主要是以获取政治、经济利益为出发点，窃取目标的核心资料，或者破坏对方关键基础设施。

也就是说，APT攻击的影响不仅仅局限在虚拟的网络世界，物理世界也会受到影响。

比如2021年2月发生的美国佛罗里达州水厂投毒事件，佛罗里达州Oldsmar水处理厂成为黑客网络攻击的目标，攻击者试图采用技术手段对供水给该地区15000人的供水系统投毒。攻击者远程访问了奥尔兹马水厂的系统，并试图将氢氧化钠的含量提高到足以使公众面临中毒风险的程度。幸好被工作人员及时监测到系统异常，并立即修正，从而制止了灾难的发生。

与普通的黑客组织相比，APT组织技术能力更强，一些APT组织的技术能力可以说是领先世界的，其组织严密性相较于普通黑客群体更加严谨，很多APT组织都有国家背景。攻击目的方面，有国家背景的APT组织往往以国家利益为主导发起攻击，也有以经济利益为主导的APT组织。而普通黑客群体，往往以商业利益、经济利益为主。

那么，哪些行业受APT攻击影响较大呢？安恒信息发布的《2021高级威胁态势研究报告》显示，2021年，政府、国防、金融、航空、医疗卫生部门受APT攻击比例分别为15.52%、6.16%、5.91%、4.43%和3.69%，排名靠前。

步步惊心：APT攻击方式层出不穷

记者了解到，目前APT攻击方式有水坑攻击、网络钓鱼和鱼叉式网络钓鱼、零日（0day）攻击、社会工程学攻击等。比如0day攻击就是利用还没有打补丁的漏洞发起攻击，而社会工程学攻击则是利用人性的弱点进行攻击，主要运用欺骗和伪装，通过突破受害者的心理防线，利用受害者的好奇心、信任关系、心理弱点等进行攻击。

较为常见的手段中，如伪装为来自合作伙伴的邮件，邮件内容及附件被精心设计，如果受害者被内容欺骗，而点击运行了精心制作的附件文件，那么此时受害者电脑很有可能就失陷了。

业内较为闻名的乌克兰断电事件，便是社会工程学攻击的典型案例。2015年12月，攻击者首先通过主题为“乌克兰总统对部分动员令”的钓鱼邮件进行投递，受害者因好奇心点击并启动BlackEnergy（一种用于创建僵尸网络，进行DDoS攻击的恶意软件）的恶意宏文档。之后，BlackEnergy在获取了相关凭证后，便开始进行网络资产探测，横向移动，并最终获得了系统的控制能力。

此次攻击造成乌克兰首都基辅部分地区和乌克兰西部的140万名居民遭遇了一次长达数小时的大规模停电，至少三个电力区域被攻击。

另外，拉撒路（Lazarus）组织使用推特等社交媒体针对不同公司和组织从事漏洞研究和开发的安全研究人员的持续渗透活动，攻击者在推特等社交媒体上建立了一系列社交账号，这些账号会发布一些安全相关动态，同时会互相评论转发以扩大影响。

在有一定的影响力后，攻击者会主动寻找安全研究人员交流，询问安全研究人员的研究领域及兴趣范畴。在确定安全研究人员的研究领域后，如果存在重叠，攻击者会以学习交流为诱因向研究人员发送poc、exp等工程文件。整个过程感觉十分真实，伪装内容非常贴合受害者的工作内容，所以极有可能一不留意落入圈套。

如何防护APT攻击？

Lazarus组织是2021年全球APT攻击数量最多的APT组织。根据安恒信息发布的《2021高级威胁态势研究报告》，Lazarus组织、Kimsuky组织以及APT29组织的攻击数量位列前三，这几个组织的攻击受地缘政治因素影响，体现出高度针对性和复杂性。

对于Lazarus等APT组织在社交媒体上惯用的社会工程学攻击，我们应该如何应对呢？

首先，作为个人应当时刻保持警惕，不轻易打开邮件附件，不随意点击未知链接，对不熟悉的社交对象保持警惕，时刻注重个人隐私，不随意将一些重要的个人信息发布到社交媒体上，在一些需要填写真实信息内容的地方需要谨慎确认。

企业、机构方面，也要及时培训相关的网络安全意识，以及对一些网络安全相关技术的了解，让企业员工能够更好地理解和预防。

针对APT组织的攻击，企业、政府机构并不能百分之百发现和防御，只能尽可能地完善防御体系。具体措施包括需要定期对设施进行补丁升级及安全测试，尽可能减少弱点；在攻击面的各个环节部署监测设备，并建立立体化的纵深防御体系，及时掌握威胁情报，提前做出预防和决策。

值得一提的是，2021年也涌现出大量针对ios和Android操作系统的新型移动设备恶意软件，灰黑产网络犯罪分子很容易通过银行木马等移动恶意软件获利，APT组织也可以在受害目标的移动设备上安装间谍软件、键盘记录器等，从而监控和窃取受害者的信息。因此，今年针对移动设备的攻击显著增加，且攻击手法更加复杂。

那么，APT攻击会对普通人的手机带来哪些危害呢？这些组织是否会以手机作为入口，侵入公司、机构内部网络，从而窃取机密信息、瘫痪网络等？

对此，安恒信息一业内人士表示：“普通大众一般来说不太会成为APT攻击的对象，APT攻击的目标往往具有针对性，比如某某重点机构的人员、某某科技公司的人员、某军工单位的人员等。”

另外，“一般来说，APT组织攻击手机端，以手机作为入口侵入公司、机构内部网络等情况具有一定的操作复杂性，虽然并不常见，但也并不是不可能。”上述业内人士补充道。

据安恒信息发布的《2021高级威胁态势研究报告》预测，随着新冠疫情持续，医疗行业信息化迅速发展，但一些国家的数字化医疗系统尚不完善，因此成为攻击的重灾区。因此，医学研究将持续成为威胁攻击者的目标。

除此之外，ICS（工业控制系统）工业环境面临的威胁将持续增长。比如，发生在2021年上半年的Colonial管道公司攻击事件充分体现出ICS环境存在的安全风险。需要注意的是，ICS是关键基础设施的核心，一旦遭到攻击，国家的正常运转将受到严重影响。由于ICS环境缺乏健全的网络防护方案，因此容易成为攻击者入侵的目标，针对工业控制系统的攻击将持续增加。

行业数据概览

统计数据显示，2022年1月境内计算机恶意程序传播次数达到2.2亿次之多，2月较1月小幅上涨约1.43%。2月每周的境内计算机恶意传播次数呈上涨趋势，第4周最高，达到7211.9万。境内感染计算机恶意程序主机数量来看，1月数据为558.5万，2月达到603.6万，环比上涨8.08%。恶意程序会损坏文件、造成系统异常、窃取数据等，对计算机伤害很大，一定要高度重视。

从境内被植入后门网站总数来看，2月1792个，较1月2130个下降18.86%，其中政府网站数量2月13个，较1月2个上涨明显，政府类还是网络攻击首选。

从仿冒网站、漏洞数量来看，2月较1月都有明显下降。其中，仿冒网站从1月的460个到2月的355个，仿冒网站数量下降也归功于全国反诈工作较为成功。而漏洞数量从1月的2045个到2月的1685个，环比下降21.36%，其中高危漏洞也有明显减少。针对安全漏洞问题，一定要在正规途径下载应用，并即时更新，不可心存侥幸。

数据解码APT攻击：政府部门受影响最大

根据安恒猎影实验室的监测情况，2021年发生了约201起APT攻击事件。2021年APT组织活动主要集中在南亚和中东，其次是东亚地区，东南亚地区的APT组织攻击有所放缓。

2021年的APT攻击事件组织分布统计如下图：

从攻击事件所属国家分布来看，出现了一些新的受害国家，例如阿富汗、哥伦比亚、格鲁吉亚、拉脱维亚等。这可能表示APT组织正尝试扩大其活动范围。

2021年APT攻击受害国家分布图如下：

从行业分布来看，政府部门仍是其主要的针对目标，其次是国防、金融、航空，以及医疗卫生部门。

2021年APT攻击受害行业分布图如下：

另外，据安恒猎影实验室统计，截至2021年11月，全年一共披露主流厂商的在野0-day漏洞58个。其中CVE-2021-1732和CVE-2021-33739两个在野0-day漏洞由安恒猎影实验室捕获并披露。

什么是0-day漏洞？0-day漏洞，又称“零日漏洞”（zero-day），是已经被发现（有可能未被公开），而官方还没有相关补丁的漏洞。除了发现者还没有其他人知道这个漏洞的存在。一旦被攻击者发现并加以有效利用，将会造成巨大的破坏。

安恒猎影实验室梳理了2021年在野0-day漏洞和具体使用它们的APT组织关联情况，如下：

从2018年到2021年披露的在野0-day漏洞数量变化趋势来看，近年来在野0-day漏洞数量逐年增多。2021年的增长趋势最为明显，2021全年披露数量超过2020年全年披露数量的两倍。

从在野0-day漏洞涉及厂商的分布情况来看，2021年被披露最多的厂商是微软，其次是谷歌和苹果。

从在野0-day漏洞产品类型的分布来看，2021年最受在野0-day漏洞“青睐”的是浏览器漏洞，其次是操作系统漏洞。

从在野0-day漏洞所属漏洞类型分布来看，2021年占比最多的是远程代码执行漏洞，其次是权限提升漏洞。

扫描二维码或点击「阅读原文」下载《2021高级威胁态势研究报告》：

记者|朱成祥

编辑|梁枭

校对|卢祥勇