魔幻熊、灰熊大草原、蜥蜴小組、拉撒路、洋蔥狗……這些聽起來或魔幻或神秘甚至帶點可愛的名字，都是網絡安全研究人員給全球的主要APT（Advanced Persistent Threats）組織起的名字。這些組織的奇幻的名字究竟是如何命名的，遵循了哪些規律？全球有多少APT組織？如果對APT組織武力值進行排行，到底哪家最強？美國的APT組織有哪些？以下將為您一一道來。

　　APT組織的命名

　　APT組織的發現與命名，是APT研究工作的重要組成部分。從世界范圍內來看，APT組織的命名雖然并沒有統一的規則或規范，但相關機構在命名過程中一般會遵循如下原則：

　　首報原則，誰先發現，誰命名；APT組織攻擊方式或CC服務器的特點；以及APT攻擊組織可能的政治及地緣背景猜測等等。

　　以海蓮花、美人魚、人面獅、摩訶草、蔓靈花等多個由360命名的APT組織為例，其中海蓮花APT組織的“蓮花”二字就是表現了該組織的地緣及文化特征，“海”則主要表現了該組織以海洋領域為主要攻擊目標的活動特征。同屬此類還有摩訶草等等。

　　盡管“誰先發現，誰命名”是APT組織命名的一般準則，但各研究機構為強調自己對相關APT組織研究的獨立性，都會盡可能對新發現的APT組織給出自己的獨家命名，即便可能已經有多家其他研究機構對該APT組織給出了不同的命名。比如，率先披露索倫之眼APT組織的是美國安全公司賽門鐵克，該公司給該組織的命名是Strider。賽門鐵克發布報告后不到24小時，俄羅斯安全公司卡巴斯基就發布了兩份合計長達60頁的報告，并將該APT組織命名為Project Sauron，而且這個命名得到了更為廣泛的認可和傳播。盡管首先披露索倫之眼APT組織的是賽門鐵克，但顯然卡巴斯基對于該組織的截獲，是獨立于賽門鐵克的相關研究的。不過，一旦某個機構給出的APT組織命名已經得到了絕大多數研究者的認可，則其他研究者也就很少再為該組織進行新的命名了。獨立發現與率先披露也是不同的。受各種客觀因素的影響，所有APT研究機構都不會把自己截獲的全部APT組織對外披露。一個APT組織究竟是由哪個研究機構率先披露的，往往存在一定的偶然性。

　　下面我們介紹一下美國老牌網安企業---火眼公司、網安全球市值一哥---crowdstrike公司、俄羅斯網安一哥卡巴斯基、中國網安大廠360是如何為APT組織命名的。

　　火眼/Mandiant

　　Mandiant可能是最早進行APT組織命名的網絡安全大廠，APT n是Mandiant對據信隸屬于某個民族國家的攻擊組織的命名法。這種命名法的優勢在于其清晰性：它能立即告訴我們，這個組織被認為是隸屬于某個國家的；其弱點在于它沒有告訴我們其他任何事情，我們不知道該組織涉及哪個民族國家。隨著時間的推移，Mandiant的命名中添加了其他前綴：UNC、TEMP 和 FIN。UNC主要是未分類活動集群的內部名稱；TEMP是某個集群的臨時名稱，該集群已經具備了某些特征；FIN是具有財務動機的公開命名的威脅組織的前綴。

　　CrowdStrike

　　CrowdStrike是全球市值最高的網絡安全廠商，該公司也有其獨到的APT組織命名方法，它的命名既意味深長又能提供更多信息，尤其喜歡使用具有地理特征的動物來命名。比如熊是俄羅斯，千里馬是朝鮮，小貓是伊朗，水牛是越南，老虎是印度，獵豹是巴基斯坦，而蜘蛛一般代表犯罪集團。

　　卡巴斯基

　　卡巴斯基沒有正式的命名規則，通常由從事這項工作的研究人員決定給APT組織起什么名字。但卡巴斯基通常不做直接歸因，將攻擊者稱為活動集群，并規定命名不得暗示任何特定攻擊者或由政府支持的攻擊團隊的歸屬。

　　360公司

　　360對APT組織及其行動的命名大致可分為三個系列：

　　一是幻獸系。主要用來命名攻擊境外目標的境外APT組織，通常使用各種傳說中的或者是虛擬的動物形象來命名，同時結合了地緣及領域特征。如美人魚、人面獅等。

　　二是魔株系。主要用來命名攻擊境內目標的境外組織，通常使用各種傳說中的或者是虛擬的植物形象來命名，同時結合了地緣及領域特征。如上文提及的海蓮花、摩訶草、蔓靈花等。

　　三是超人系。主要用來命名攻擊境內目標的境內組織，主要使用各種虛擬的，具有超能力的人體部位來命名，同時結合了地緣及領域特征。

　　究竟有多少APT組織

　　隨著網絡空間成為國家間競爭博弈的新戰場，網絡攻擊竊密逐漸成為部分國家和地區實現其目標的利器。有道是常在河邊走一定會濕鞋，越來越多的APT組織被安全廠商起底曝光。

　　目前全球已知的APT組織大約有300多個， 2020年7月，泰國CERT發布了威脅組織與黑產組織百科全書---《威脅行為者的百科全書》，全文435頁，收錄了迄今為止各大網絡安全廠商發現的近300個APT組織以及網絡犯罪組織。

　　全球APT組織哪家強

　　美國網絡安全公司Crowdstrike根據“突破時間”這項指標對APT組織進行了排名，并于2019年2月發布了相關統計數據：第一名是俄羅斯，第二名是朝鮮，第三名是中國……當然，由于是美國安全公司總結出的排名，所以該排名并未包括美國。

　　“突破時間”是指一個黑客團隊從獲得對受害者計算機的初始訪問權限到通過其網絡橫向移動所花費的時間。這包括攻擊者掃描本地網絡和部署漏洞利用的套件以升級其對附近其他計算機的訪問權限的時間。“突破時間”指標對于防守方來說至關重要。因為他們必須在突破時間之內檢測出感染情況、隔離失陷主機，這樣才能避免由一個簡單的入侵轉變為對整個網絡的侵害。

　　根據2018年針對APT組織開展調查收集的數據，CrowdStrike認為，俄羅斯黑客是最高產和最有效率的黑客組織，平均突破時間為18分49秒。其他國家黑客組織的數據為：朝鮮APT組織千里馬（Chollimas）為2小時20分鐘，伊朗APT組織小貓（Kittens）為5小時9分鐘，網絡犯罪團伙蜘蛛（Spiders）大約需要9小時42分鐘。

　　按突破時間排名是一種評估主要威脅組織能力水平的有趣方式，但突破時間肯定不是判斷復雜程度的唯一指標。APT組織能力參差不齊，真正能稱為“頂級”的APT組織少之又少。那么“頂級”APT組織具備哪些能力呢？安全廠商卡巴斯基給出了一些主要特征：零日漏洞的利用；未知或從未確定的感染媒介；已入侵了多個國家的多個政府組織；已成功竊取信息多年才被發現；具備從氣隙網絡中竊取數據的能力；具有支持多種協議的多個隱蔽滲漏通道；只存在于內存中而不觸及磁盤的惡意軟件模塊；不尋常的持久化技術，有時使用未記錄的操作系統功能；

　　根據卡巴斯基的標準，美國和俄羅斯團隊無疑穩坐APT攻擊領域的頭把交椅。但美俄兩國APT組織的特點也并不一樣，甚至在某些地方截然相反。

　　首先是美國，美國APT組織的三個突出特征就是技術牛，武器多，還低調。目前業界公認為是王中王級別的兩個APT組織---方程式（Equation）和索倫之眼，其背后都被普遍認為有NSA（美國國家安全局）的影子。引起2017年WannaCry災難的永恒之藍漏洞利用工具，僅僅是影子經紀人泄露的方程式組織武器庫中的一件武器而已。但永恒之藍曾經被用于攻擊什么目標，至今全球都沒有明確的結論。索倫之眼組織（APT-C-16），又名Sauron、Strider。該組織主要針對中國、俄羅斯等多個國家進行網絡間諜活動，其中以竊取敏感信息為主。相關的攻擊活動最早可以追溯到2010年，至今仍然非常活躍。該組織的整個攻擊過程高度隱蔽，且針對性極強，對特定目標采用定制的惡意程序或通信設施，不會重復使用相關攻擊資源。相關惡意代碼復雜度可以與方程式媲美，其綜合能力更不弱于其他知名APT組織。

　　與之相反，俄羅斯的APT組織就有很多高調而大手筆的作為了，而且往往政治目的非常明顯。其攻擊注重實效，不出手則已，一出手甚至可以改變世界格局。

　　此處不得不提的就是2014年被發現的APT28威脅組織花式熊（Fancy Bear）了，目前普遍認為其背后的大佬是俄羅斯軍事情報機構（GRU）。如果你對這個組織不那么熟悉，可以回想下直接改變世界歷史走向的希拉里郵件門事件，APT28還曾幫助親俄分裂分子追蹤烏克蘭部隊，造成炮兵部隊損失一半以上武器。

　　找出美國APT攻擊關乎國家安危

　　對美國及其盟國的網絡安全廠商來說，技術中立是要讓位給“政治正確”的。無論是披露俄羅斯、朝鮮、伊朗等國所謂的APT組織，還是在網絡空間充當美國政府的蒙面打手和馬前卒，對這些廠商來說既能夠彰顯自身所謂的技術實力，又能獲得政府項目，得到公司上市和股價拉升等好處。對于美國政府來說，手里則多了能指哪兒打哪兒、來無影去無蹤的有力暗器。

　　隨著網絡空間成為大國博弈的新戰場，APT攻擊已成為業界公認的后果嚴重又影響深遠的高級網絡威脅。中國也是APT攻擊的主要受害國之一。依據國內網絡威脅情報廠商天際友盟RedQueen平臺2018年數據，北京、廣州、臺灣、香港地區是受APT攻擊影響程度最深的重災區。2020年，360公司捕獲了美國中央情報局CIA攻擊組織（APT-C-39）對我國進行的長達十一年的網絡攻擊滲透。在此期間，我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等多個部門均遭到不同程度的攻擊。目前只有少數公司具備發現美國APT攻擊的能力。發現和斬斷以美國為首的APT組織攻擊黑手，關乎國家安危，對我們來說至關重要。