今日腦洞：5月20日，廣州市公安局天河區(qū)分局發(fā)布《警情通報》稱，廣州市某科技公司遭境外黑客網(wǎng)絡攻擊，警方開展立案調(diào)查。警方透露，相關攻擊具有明顯的政治背景，帶有明顯的網(wǎng)絡戰(zhàn)痕跡。

如今，我們每天一睜眼就要用手機把自己接入互聯(lián)網(wǎng)，但互聯(lián)網(wǎng)上的組織性攻伐，對吃瓜群眾來說還是神秘的新鮮事。事實上，帶有政治意圖的征伐混雜在越來越頻繁的商業(yè)敲詐行為中，信息網(wǎng)絡已經(jīng)成為當代攻防的重要陣地。

主角登場——神秘的APT組織。

一．神秘的黑客軍團

APT是Advanced Persistent Threat的首字母縮寫，直譯過來就是高級持續(xù)性威脅——由具備高技術能力、豐富資源及明確政治/經(jīng)濟動機的攻擊者發(fā)動的復雜網(wǎng)絡攻擊活動。簡單地說，APT組織就是在網(wǎng)絡上發(fā)動成建制進攻的武裝軍團。它區(qū)別于散兵游勇、小打小鬧的黑客個人行為，具有高度組織化的特征。

APT的數(shù)量和分布很難精確統(tǒng)計。從披露和偵辦的有限信息來看，過去幾年至少有超過50個黑客組織對中國的國家級網(wǎng)絡進行了數(shù)千次攻擊。來聽聽這些組織的名字——魔鼠、藍色魔眼、旺刺、蕪瓊洞、偽獵者……。

基于其灰色屬性，可想而知

APT的攻擊無孔不入，零Day漏洞利用、網(wǎng)絡釣魚、AI欺騙、虛假錯誤信息擾亂，甚至供應鏈攻擊、假冒產(chǎn)品植入、內(nèi)部人員威脅等，不斷有新型手段出現(xiàn)。

如果說，20年前你上網(wǎng)時中招病毒，大多因為賣殺毒軟件的公司在開發(fā)市場。到了今天，你不慎點了釣魚攻擊郵件、泄露了個人賬戶或者下載了木馬程序的話，秘密控制你電子郵箱的，很可能是所圖非小的APT組織了。

這樣的事情，實實在在發(fā)生在中國的軍工單位、能源企業(yè)。國家安全機關曾在技術安全檢查時，發(fā)現(xiàn)某能源公司的網(wǎng)頁服務器、域控服務器、文件共享服務器等多臺網(wǎng)絡設備均被境外APT組織攻擊控制。還曾有境外APT組織利用特種木馬、通過控制多個境外跳板設備對中國航空系統(tǒng)數(shù)十臺計算機設備實施高強度網(wǎng)絡攻擊。特種木馬平時處于靜默潛伏狀態(tài)，接收到遠程控制指令再激活運行，因此十分隱蔽、難以察覺。

當然，釣魚郵件、漏洞掃描這樣的技術手段，已經(jīng)非常老舊了，大致代表五六年前的水平。現(xiàn)在已經(jīng)發(fā)展為常態(tài)化的AI攻防對抗了。

APT組織總體上以商業(yè)或政治利益為導向，也不乏有專業(yè)追求的。比如伊朗的APT33，熱衷于攻擊石油供應鏈，歐洲、亞洲的石油公司以及關聯(lián)的上下游企業(yè)，在2018、2019年均遭受攻擊。

有的APT組織，專攻中國的重大活動——全年針對中國‘兩會’‘一帶一路’高峰論壇以及新中國成立70周年等重大活動的定向攻擊，多達4000多次。

二．向清華北大敲詐比特幣？

你可能想象不到，幾乎所有數(shù)據(jù)特征顯著的行業(yè)——金融、教育、醫(yī)療、工業(yè)，都早已是APT組織的目標。

2021年5月，境外APT組織針對國家電網(wǎng)發(fā)動攻擊，企圖竊取電力調(diào)度數(shù)據(jù)。攻擊者入侵能源行業(yè)論壇，植入惡意代碼。利用系統(tǒng)漏洞長期潛伏，竊取敏感信息。

2022年10月，勒索軟件團伙攻擊某銀行核心系統(tǒng)，竊取10萬條客戶信息并索要1000萬美元。他們偽造銀行官網(wǎng)鏈接，誘導客戶輸入賬號密碼，并利用Windows系統(tǒng)漏洞，繞過安全防護。

2023年8月，境外黑客組織針對某汽車制造企業(yè)工業(yè)控制系統(tǒng)發(fā)動攻擊，入侵設備供應商系統(tǒng)，植入惡意固件，篡改工業(yè)協(xié)議數(shù)據(jù)，干擾生產(chǎn)流程。導致生產(chǎn)線癱瘓3小時。

錯誤碼：44 刷新

視頻加載失敗，請刷新頁面再試

2024年11月，勒索軟件團伙針對清華大學、北京大學等高校發(fā)起攻擊，竊取科研數(shù)據(jù)，并索要比特幣。黑客先通過偽造學術會議邀請函，誘導研究人員點擊惡意鏈接，再利用高校內(nèi)網(wǎng)漏洞，橫向擴散至核心服務器。

這類商業(yè)對攻或者流氓敲詐行為，在APT里算比較low的，但也在快速推動專業(yè)級的網(wǎng)絡安全市場。中國的工業(yè)互聯(lián)網(wǎng)安全市場規(guī)模已突破200億元，年增速超30%。金融安全市場規(guī)模突破了500億元，年增速25%。教育安全市場規(guī)模突破100億元，年增速15%。醫(yī)療安全市場規(guī)模突破50億元，年增速10%。

國家安全部有關人員曾對媒體表示：境外APT攻擊目標涵蓋了連接互聯(lián)網(wǎng)的各類設備乃至整個網(wǎng)絡空間，從各種服務器、聯(lián)網(wǎng)計算機，到電子郵箱、移動介質(zhì)，再到各種網(wǎng)絡設備、移動智能終端、工業(yè)控制系統(tǒng)和物聯(lián)設備，總體上形成從單機到網(wǎng)絡、從硬件到軟件、從外網(wǎng)到內(nèi)網(wǎng)的全網(wǎng)覆蓋。

三．國家間的網(wǎng)絡戰(zhàn)場

黑客論壇FreeBuf根據(jù)公開信息，從殺傷力、活躍度兩個維度，對全球知名國家級APT組織進行盤點和對比，遴選出全球十大國家級APT組織排行榜。

在這張榜單上，美國國家安全局坐在無可爭議的頭牌交椅上，殺傷力指數(shù)和活躍度指數(shù)都可謂一騎絕塵。

就在今年2月，第九屆亞冬會期間，美國國家安全局（NSA）針對賽事信息系統(tǒng)及黑龍江省能源、交通、國防科研等關鍵領域發(fā)動27萬次攻擊，企圖竊取運動員生物特征數(shù)據(jù)并制造社會混亂。

而且，這次攻擊“與時俱進”，首次采用了AI生成攻擊代碼技術，實現(xiàn)多目標無差別掃描和漏洞利用。中國的反擊也通過AI算法攔截17萬次攻擊、封禁12,602個惡意IP，并溯源至3名NSA特工。

從此以后，對關鍵設施的網(wǎng)絡攻擊，在中國被列為間諜行為。

此前的2025年1月，某境外組織嘗試阻斷中國西北能源基地的數(shù)據(jù)傳輸，意圖引發(fā)區(qū)域性停電事故。他們?nèi)肭至四茉雌髽I(yè)供應商系統(tǒng)，植入惡意代碼篡改DNS配置，并利用加密隧道與境外C2服務器通信，逃避安全檢測。

實際上，NSA老早就在明火執(zhí)仗地通過定向網(wǎng)絡攻擊竊取軍事情報了。

2022年，360發(fā)布《西北工業(yè)大學遭美國NSA網(wǎng)絡攻擊事件調(diào)查報告》，將一場持續(xù)性的定向網(wǎng)絡滲透，展現(xiàn)在世人面前。美國國家安全局（NSA）長期滲透西北工業(yè)大學?網(wǎng)絡，使用超過40種專屬網(wǎng)絡武器（如“飲茶”嗅探工具），竊取該校核心網(wǎng)絡設備配置、運維數(shù)據(jù)及科研資料。此次攻擊暴露了美國利用學術機構(gòu)掩護網(wǎng)絡戰(zhàn)的新模式，攻擊鏈覆蓋全球多國網(wǎng)絡節(jié)點。

由此，我們得以看到美國國家性APT組織的冰山一角。

攻擊活動源自美國國家安全局（NSA）的“特定入侵行動辦公室”（Office of Tailored Access Operation，后文簡稱TAO），它下屬于信息情報部（代號S）數(shù)據(jù)偵察局（代號S3），系統(tǒng)內(nèi)的代號是S32。該部門成立于1998年，其力量部署主要依托美國國家安全局（NSA）在美國和歐洲的各密碼中心。TAO是美國政府專門從事對他國實施大規(guī)模網(wǎng)絡攻擊竊密活動的戰(zhàn)術實施單位，由2000多名軍人和文職人員組成。

NSA竊密期間的TAO負責人是羅伯特·喬伊斯（Robert Edward Joyce）。此人1967年9月13日出生，曾就讀于漢尼拔高中，1989年畢業(yè)于克拉克森大學，獲學士學位，1993年畢業(yè)于約翰·霍普金斯大學，獲碩士學位。1989年進入美國國家安全局工作。曾經(jīng)擔任過TAO副主任，2013年至2017年擔任TAO主任。2017年10月開始擔任代理美國國土安全顧問。2018年4月至5月，擔任美國白宮國務安全顧問，后回到NSA擔任美國國家安全局局長網(wǎng)絡安全戰(zhàn)略高級顧問。

經(jīng)技術團隊溯源分析發(fā)現(xiàn)，美國國家安全局TAO部門對西北工業(yè)大學的網(wǎng)絡攻擊行動先后使用了49臺跳板機，這些跳板機均經(jīng)過精心挑選，所有IP均歸屬于非“五眼聯(lián)盟”國家，而且大部分選擇了中國周邊國家（如日本、韓國等）的IP，約占70%。

TAO的網(wǎng)絡攻擊武器裝備針對性強，得到了美國互聯(lián)網(wǎng)巨頭的鼎力支持。

一直以來，美國國家安全局（NSA）針對我國各行業(yè)龍頭企業(yè)、政府、大學、醫(yī)療機構(gòu)、科研機構(gòu)甚至關乎國計民生的重要信息基礎設施運維單位等機構(gòu)長期進行秘密黑客攻擊活動。

據(jù)分析，美國國家安全局“特定入侵行動辦公室”（TAO）以上述手法，利用相同的武器工具組合，“合法”控制了全球不少于80個國家的電信基礎設施網(wǎng)絡。

監(jiān)測顯示，對西北工業(yè)大學的網(wǎng)絡攻擊行動，98%集中在北京時間21時至凌晨4時之間，這正是美國東部時間9時至16時——美國國內(nèi)的上班時間。而且，美國時間的全部周末、美國獨有的節(jié)假日（“陣亡將士紀念日”3天假期，美國“獨立日”1天假期）中，攻擊方都沒有實施任何攻擊竊密行動。歷年圣誕節(jié)期間，所有攻擊活動都處于靜默狀態(tài)。

只能說，美國國家安全局的社畜們，真是一分鐘多余的班都不上。肆無忌憚，毫不掩飾。

本文部分內(nèi)容引自《西北工業(yè)大學遭美國NSA網(wǎng)絡攻擊事件調(diào)查報告》

歡迎討論