APT组织的命名
第一个 APT 组织 APT1 是由 Mandiant 在2013 年的一篇文文章中确定的:它标志着商业网络威胁情报的诞生。
APT组织的发现与命名,是APT研究工作的重要组成部分。从世界范围内来看,APT组织的命名虽然并没有统一的规则或规范,但相关机构在命名过程中一般会遵循如下原则:
-
首报原则,谁先发现,谁命名 -
APT组织攻击方式或C2服务器的特点 -
地缘政治,CTI 社区分成两派,一派拒绝将威胁行为者与特定国家联系起来,另一派则采取点名羞辱策略。 -
根据 apt 组织的动机:间谍、经济、破坏,黑客行动主义
尽管“谁先发现,谁命名”是APT组织命名的一般准则,但各研究机构为强调自己对相关APT组织研究的独立性,都会尽可能对新发现的APT组织给出自己的独家命名,即便可能已经有多家其他研究机构对该APT组织给出了不同的命名。
比如,率先披露索伦之眼APT组织的是美国安全公司赛门铁克,该公司给该组织的命名是Strider。赛门铁克发布报告后不到24小时,俄罗斯安全公司卡巴斯基就发布了两份合计长达60页的报告,并将该APT组织命名为Project Sauron,而且这个命名得到了更为广泛的认可和传播。尽管首先披露索伦之眼APT组织的是赛门铁克,但显然卡巴斯基对于该组织的截获,是独立于赛门铁克的相关研究的。不过,一旦某个机构给出的APT组织命名已经得到了绝大多数研究者的认可,则其他研究者也就很少再为该组织进行新的命名了。独立发现与率先披露也是不同的。
受各种客观因素的影响,所有APT研究机构都不会把自己截获的全部APT组织对外披露。一个APT组织究竟是由哪个研究机构率先披露的,往往存在一定的偶然性。
下面我们介绍一下知名网络安全公司是如何给 apt 组织命名的。
Trellix(原火眼Fireeye)
Trellix可能是最早进行APT组织命名的网络安全大厂。APT n是Trellix对据信隶属于某个民族国家的攻击组织的命名法。
-
优点:这种命名法的优点在于其清晰性,它能立即告诉我们,这个组织被认为是隶属于某个国家的; -
缺点:其他全是缺点,我们不知道该组织涉及哪个国家。
随着时间的推移,Mandiant的命名中添加了其他前缀:UNC、TEMP 和 FIN。UNC主要是未分类活动集群的内部名称;TEMP是某个集群的临时名称,该集群已经具备了某些特征;FIN是具有财务动机的公开命名的威胁组织的前缀。
Mandiant(现在是谷歌子公司)
Mandiant通常根据组织的攻击方式、目标、技术特征或其活动的特定地区来命名APT组织。他们使用字母和数字组合,便于识别和分类,比如APT28,DEV-xx。因为错中复杂的收购关系,他们和 Trellix 类似。
微软
Microsoft转向了与天气主题一致的威胁参与者的新命名分类。我们打算使用新的分类法为客户和其他安全研究人员带来更好的清晰度。我们提供一种更有条理、更清晰、更简单的方式来引用威胁参与者,使组织能够更好地确定优先级并保护自己,并帮助安全研究人员应对大量威胁情报数据。比如 Storm-xx。
个人感觉微软做的比较好,比较系统。
CrowdStrike
CrowdStrike有其独到的APT组织命名方法,它的命名既意味深长又能提供更多信息,尤其喜欢使用具有地理特征的动物来命名。比如熊是俄罗斯,千里马是朝鲜,小猫是伊朗,水牛是越南,老虎是印度,猎豹是巴基斯坦,而蜘蛛一般代表犯罪集团。
卡巴斯基
卡巴斯基没有正式的命名规则,通常由从事这项工作的研究人员决定给APT组织起什么名字。但卡巴斯基通常不做直接归因,将攻击者称为活动集群,并规定命名不得暗示任何特定攻击者或由政府支持的攻击团队的归属。
趋势科技
趋势科技对APT组织的命名通常是基于特定的特征、攻击模式或地理位置。这些名称通常以动物、植物或特定地区的名称为基础,以便于识别和分类。例如,某些APT组织可能被称为“熊”(Bear)、“狮子”(Lion)等,这些名称有助于安全研究人员和行业专业人士在讨论和分析时提供清晰的参考。此外,趋势科技还会结合其自身的研究成果和对网络攻击的理解来命名,以便更好地描述这些组织的特征和行为。
360、奇安信
他们内部对 apt有自己的一套代号,360 是 APT-C-xx
,奇安信是 APT-Q-xx
。他们对APT组织及其行动的命名大致可分为三个系列:
一是幻兽系。主要用来命名攻击境外目标的境外APT组织,通常使用各种传说中的或者是虚拟的动物形象来命名,同时结合了地缘及领域特征。如美人鱼、人面狮等。
二是魔株系。主要用来命名攻击境内目标的境外组织,通常使用各种传说中的或者是虚拟的植物形象来命名,同时结合了地缘及领域特征。如上文提及的海莲花、摩诃草、蔓灵花等。
三是超人系。主要用来命名攻击境内目标的境内组织,主要使用各种虚拟的,具有超能力的人体部位来命名,同时结合了地缘及领域特征。
安天
安天对 apt 组织的命名一般为 2 个字,多以动物名称为主。比如白象,秃鹫,游蛇,苦象,灵猫。
究竟有多少APT组织
随着网络空间成为国家间竞争博弈的新战场,网络攻击窃密逐渐成为部分国家和地区实现其目标的利器。有道是常在河边走一定会湿鞋,越来越多的APT组织被安全厂商起底曝光。
目前全球已知的APT组织由于统计口径各不相同,根据ATT&CK 发明者Mitre登记在册的 apt 组织有 152 个。知名研究机构Fraunhofer FKIE的统计是 738 个。
全球APT组织哪家强
1.APT-C-16(索伦之眼)
索伦之眼(Project Sauron)组织,又名Strider、Sauron、APT-C-16、神行客,最早活跃于2011年,并一直活跃至2016年8月。其不仅是一个顶级黑客组织,而是一个拥有精密技术的顶级间谍模型平台。
该组织攻击过的目标包括中国、俄罗斯、比利时、伊朗、瑞典、卢旺达等 30 多个国家,以窃取敏感信息为主要目的。受该组织攻击的机构包括国防部门、大使馆、金融机构、政府部门、电信公司、军事和基础设施领域以及科技研究中心等。
其攻击武器是一款名为Remsec的远程控制软件,能够在受感染计算机上打开后门,记录用户点击的按键,并盗取相关文件主要用来暗中监视和控制目标。Remsec在攻击方式、攻击效果和攻击隐蔽性等方面具有领先能力。
2.APT-C-39(CIA)
美国中央情报局(Central Intelligence Agency,简称 CIA)是美国联邦政府主要情报机构之一,下设情报处(DI)、秘密行动处(NCS)、科技处(DS&T)、支援处(DS)四个部门。长期以来,CIA在世界各地秘密实施“和平演变”和“颜色革命”,持续进行间谍窃密活动。
CIA 网络武器使用了极其严格的间谍技术规范,各种攻击手法前后呼应、环环相扣,现已覆盖全球几乎所有互联网和物联网资产,可以随时随地控制别国网络,盗取别国重要、敏感数据。
Vault7(穹窿7)黑客工具是CIA从事网络战的重要武器,能够结合多种计算机病毒、恶意软件、木马程序,对苹果、安卓手机系统、Windows 电脑操作系统进行攻击。
CIA还使用了Fluxwire(磁通线)后门程序平台、Athena(雅典娜)程序、Grasshopper(蚱蜢)后门程序、AfterMidnight(午夜之后)后门程序、ChimayRed(智美红帽)漏洞利用工具、HIVE(蜂巢)网络攻击平台等攻击武器。
3.APT-C-40(NSA)
美国国家安全局(NSA)是完全隶属于美国军方的组织,专注于电子情报和网络战,下属包括16个单位。
NSA针对中国各行业龙头企业,政府、大学、医疗机构、科研机构,甚至关乎国计民生的重要信息基础设施运维单位等机构实施了长达十余年时间的秘密黑客攻击活动,窃取了海量重要数据,造成的潜在威胁难以评估。
NSA 的实战化网络攻击武器体系极其复杂,在攻击过程中会植入的不同阶段会针对特定目标植入不同和类型的后门木马程序。
NSA 针对全球发起网络攻击事件中使用的武器类别主要分为五大类,分别是:漏洞攻击突破类武器,如“剃须刀”、“孤岛”、“酸狐狸”武器平台、Validator验证器等;持久化控制类武器,如“二次约会”、“NOPEN”木马、“怒火喷射”、“狡诈异端犯”、“坚忍外科医生”等;嗅探窃密类武器,如“饮茶”、“敌后行动”系列武器等;隐蔽消痕类武器,如“吐司面包”等;以及攻击平台类武器,如Quantum(量子)攻击系统。
根据卡巴斯基的标准,美国和俄罗斯团队无疑稳坐APT攻击领域的头把交椅。但美俄两国APT组织的特点也并不一样,甚至在某些地方截然相反。
首先是美国,美国APT组织的三个突出特征就是技术牛,武器多,还低调。目前业界公认为是王中王级别的两个APT组织---方程式(Equation)和索伦之眼,其背后都被普遍认为有NSA(美国国家安全局)的影子。引起2017年WannaVry灾难的永恒之蓝漏洞利用工具,仅仅是影子经纪人泄露的方程式组织武器库中的一件武器而已。但永恒之蓝曾经被用于攻击什么目标,至今全球都没有明确的结论。索伦之眼组织主要针对中国、俄罗斯等多个国家进行网络间谍活动,其中以窃取敏感信息为主。相关的攻击活动最早可以追溯到2010年,至今仍然非常活跃。该组织的整个攻击过程高度隐蔽,且针对性极强,对特定目标采用定制的恶意程序或通信设施,不会重复使用相关攻击资源。相关恶意代码复杂度可以与方程式媲美,其综合能力更不弱于其他知名APT组织。
与之相反,俄罗斯的APT组织就有很多高调而大手笔的作为了,而且往往政治目的非常明显。其攻击注重实效,不出手则已,一出手甚至可以改变世界格局。
此处不得不提的就是2014年被发现的APT28威胁组织花式熊(Fancy Bear)了,目前普遍认为其背后的大佬是俄罗斯军事情报机构(GRU)。如果你对这个组织不那么熟悉,可以回想下直接改变世界历史走向的希拉里邮件门事件,APT28还曾帮助亲俄分裂分子追踪乌克兰部队,造成炮兵部队损失一半以上武器。
个人能力有限,如有错误,烦请指出
参考:
-
https://malpedia.caad.fkie.fraunhofer.de/actors -
https://mp.weixin.qq.com/s/KEi0kWSq5fvbDIMYkST80g -
https://attack.mitre.org/groups/ -
https://www.infosecurityeurope.com/en-gb/blog/threat-vectors/understanding-threat-actor-naming-conventions.html -
https://cdn.isc.360.com/iscvideo-bucket/APT_organization_analysis.pdf -
https://learn.microsoft.com/zh-cn/defender-xdr/microsoft-threat-actor-naming
原文始发于微信公众号(独眼情报):起底 apt 组织命名方式与实力
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论