高级长期威胁 (英语:advanced persistent threat ,缩写:APT ),又称高级持续性威胁 、先进持续性威胁 等,是指隐匿而持久的电脑入侵 过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。[ 1]
APT发起方,如政府 ,通常具备持久而有效地针对特定主体的能力及意图。此术语一般指网络 威胁,尤其是指使用众多情报收集技术来获取敏感信息的网络间谍活动,[ 2] 但也适用于传统的间谍活动之类的威胁。[ 3] 其他攻击面包括受感染的媒介、入侵供应链、社会工程学。个人,如个人黑客,通常不被称作APT,因为即使个人有意攻击特定目标,他们也通常不具备高级和长期这两个条件。[ 4]
2005年时,英国及美国的一些计算机应急响应组织 发布报告,提醒人们注意某些针对性的钓鱼电子邮件会释放木马,外泄敏感信息,但“APT”一词还未被使用。[ 5] 普遍认为“高级长期威胁”这个术语是在2006年由美国空军创造,[ 6] 而格雷格·拉特雷上校一般被认为是该术语的发明人。[ 7]
震网 蠕虫 是APT的一个例子,此蠕虫专门针对伊朗核设施 的电脑硬件。此事件中,伊朗政府可能就把震网蠕虫的创造者视为一个高级长期威胁。
在计算机安全 社群及媒体中,此术语常指针对政府、公司、政治活跃分子的长期而复杂的黑客 攻击,也指发起这些攻击幕后团体的活动特征。日趋频繁的高级长期威胁(APT)可能会逐渐只用于指代计算机黑客入侵。据《PC World》杂志统计,从2010年到2011年,针对性的高级电脑黑客攻击增长了81%。[ 8]
对于APT的一个常见误解 [谁?] 是,APT仅仅针对西方政府。虽然针对西方政府的APT事件在西方广为流传,但许多国家的黑客也会通过网络空间 收集个人或一群个人的情报。[ 9] [ 10] [ 11] 美国网战司令部 负责协调美国军方对网络攻击 作出的响应。
有说法称一些APT团体直属于或受雇于民族国家 。[ 12] [ 13] [ 14]
掌握大量可辨识的个人身份信息的行业极有可能遭受高级长期威胁,如:[ 2]
APT并无准确定义,但总体可归纳如下:[ 3] [ 4] [ 16]
高级 :威胁的幕后操纵者对情报收集技术有着全面的掌控能力。其中可包括电脑入侵技术和传统情报收集技术(如电话监听技术、卫星成像技术)。攻击中使用的各个组件本身可能并不能算特别“高级”(例如,利用公开的恶意软件生成工具生成的恶意软件 ,或是一些容易获得的漏洞利用材料),但是操纵者往往可以按需开发出更高级的工具。他们一般会使用多种针对方式、工具和技术以入侵目标,并保持访问权限。操纵者也可能会特别注意行动中的安全,这一点和“不那么高级”的威胁有所不同。
长期 :操纵者注重一个特定的任务,而不是盲目搜寻信息。这一区别暗示攻击者受到外部力量指示。为了达到预定目的,攻击者会持续监控目标,并做出反应。这并不表示攻击者会经常发动攻击、频繁更新恶意软件。事实上,“放长线”的方法会更为成功。如果操纵者失去了对目标的访问权,他们一般会重新尝试入侵,也往往会成功。操纵者的目的之一就是对目标保有长期的访问权,而不是一次性的访问权。
威胁 :APT之所以成为威胁,是因为发起方既有此能力,又有此意图。APT攻击是由一群有组织的人发起的。操纵者有特定的目标,且技术精湛、资金雄厚。
Bodmer、Kilger、Carpenter和Jones的研究将APT的标准定义如下:[ 17]
目标 – 威胁的最终目标,即你的对手
时间 – 调查、入侵所花的时间
资源 – 所涉及的知识面及工具(技能和方法也有所影响)
风险承受能力 – 威胁能在多大程度上不被发觉
技能与方法 – 所使用的工具及技术
行动 – 威胁中采取的具体行动
攻击源头 – 攻击来源的数量
牵涉数量 – 牵涉到多少内部或外部系统,多少人的系统具有不同重要性
信息来源 – 是否能通过收集在线信息识别出某个威胁
趋势科技定义 APT 基本要素与特点如下:
基于经济或竞争优势
时间长期、持续、多个阶段的攻击
目标针对特定公司、组织或平台
多元攻击方式包括假冒信件、现成与客制化恶意软件、远端控制工具、将机密敏感资料外传[ 18] [ 19] [ 20]
一个周而复始的APT生命周期
APT的幕后黑手会对组织团体的金融财产、知识产权及名誉造成持续变化的威胁,[ 21] 其过程如下:
因一个目标开始盯上特定组织团体
试图入侵到其环境中(如发送钓鱼 邮件)
利用入侵的系统来访问目标网络
部署实现攻击目标所用的相关工具
隐藏踪迹以便将来访问
2013年,美国网络安全公司麦迪安 (Mandiant)发布了关于2004至2013年间疑似来源于中国的APT攻击的研究结果,[ 22] 其中的生命周期与上述相似:
初始入侵 – 使用社会工程学 、钓鱼式攻击 、零日攻击 ,通过邮件进行。在受害者常去的网站上植入恶意软件 (挂马)也是一种常用的方法。
站稳脚跟 – 在受害者的网络中植入远程访问工具 ,打开网络后门,实现隐蔽访问。
提升特权 – 通过利用漏洞 及破解密码 ,获取受害者电脑的管理员特权,并可能试图获取Windows域 管理员特权。
内部勘查 – 收集周遭设施、安全信任关系、域 结构的信息。
横向发展 – 将控制权扩展到其他工作站、服务器及设施,收集数据。
保持现状 – 确保继续掌控之前获取到的访问权限和凭据。
任务完成 – 从受害者的网络中传出窃取到的数据。
麦迪安所分析的这起入侵事件中,攻击者对受害者的网络保有控制权的平均时间为一年,最长时间为五年。[ 22] 此次渗透攻击据称是位于上海的中国人民解放军61398部队 所为。中国官方否认参与了这些攻击。[ 23]
恶意软件的变种数以千万计,因此要保护组织团体免于APT攻击极为困难。虽然APT活动十分隐蔽,但与APT相关的命令与控制网络流量却可以在网络层由精密的方法检测。深入的日志分析和比对有助于检测APT活动。尽管要从正常流量中分离出异常流量有一定难度,但这一工作可以借助完善的日志分析工具来完成,以便安全专家调查异常流量。[ 1]
不随意开启未知来源的邮件附加档案
安装已知品牌软件,定期系统更新,安装扫描病毒软件并定期扫毒
建立监控软件,寻找是否有可疑终端电脑或装置
使用多层次资安防御软件,加强防护纵深
订立企业内部敏感资讯的监控与存取政策
教育员工关于社交工程的资讯安全意识[ 19]
自 2012 年习近平出任中共中央总书记以来,中国国家安全部 在网络间谍活动方面承担了比中国人民解放军 更大的责任,目前负责监管各种 APT 组织。[ 24] 安全研究员蒂莫·斯蒂芬斯 (Timo Steffens) 表示:“中国的网络威胁格局采用‘全国性’的方式,利用了大学、个人以及私营和公共部门等的技术。” [ 25]
APT1 是中国人民解放军61398部队 。
APT2 是中国人民解放军61486部队 。
APT3 (又名 Boyusec ) 是中国国家安全部广东省国家安全厅。[ 26]
APT10 (又名 Red Apollo), 是中国国家安全部天津市国家安全局。
APT12 (又名 Numbered Panda) 是解放军所属身份不明组织。
APT17 (又名 DeputyDog) 是中国政府所属身份不明单位。[ 27]
APT18 (又名 Dynamite Panda 或 Scandium) 是解放军海军所属部队之一。[ 28]
APT19 (又名 Deep Panda 或 C0d0so0 Team) 是中国政府所属身份不明单位。
APT20 (又名 Violin Panda 或 Wocao) 是中国政府所属身份不明单位。[ 29] [ 30]
APT22 (又名 Suckfly) 是中国政府所属身份不明单位。
APT26 (又名 Turbine Panda) 是中国国家安全部江苏省国家安全厅。
APT27 (又名 Emissary Panda) 是中国政府所属身份不明单位。[ 31]
APT30 (又名 Naikon ) 是中国人民解放军78020部队。
APT31 (又名 Zirconium 或 Hurricane Panda) 是中国国家安全部湖北省国家安全厅[ 32] [ 33] [ 34] [ 35]
APT40 是中国国家安全部海南省国家安全厅。
APT41 (又名 Double Dragon、Winnti Group 或 Barium) 是中国国家安全部所属单位之一,位于中国成都。[ 39] [ 40] [ 41] [ 42] [ 28]
LightBasin [ 43] [ 44] (又名 UNC1945)
Dragonbridge[ 45]
Tropic Trooper[ 46] [ 47]
Volt Typhoon[ 48]
Charming Kitten (又名 APT35)
Elfin Team (又名 APT33)
Helix Kitten (又名 APT34)
Pioneer Kitten[ 49]
Remix Kitten (又名 APT39, ITG07, 或 Chafer)[ 50] [ 51]
Kimsuky
Lazarus 组织 (又名 APT38)
Ricochet Chollima (又名 APT37)
Berserk Bear
Cozy Bear (又名 APT29)
Fancy Bear (又名 APT28)
FIN7
Gamaredon [ 52] (又名 Primitive Bear ) [ a]
Sandworm
Venomous Bear [ 55]
StrongPity (又名 APT-C-41 或 PROMETHIUM )[ 56]
自 2013 年以来一直活跃的 Gamaredon 与大多数 APT 不同,它广泛针对全球所有用户(此外还关注某些受害者,特别是乌克兰 组织[ 53] ) 并且似乎为其他 APT 提供服务。[ 54] 例如,InvisiMole 威胁组织攻击了 Gamaredon 先前入侵并提取指纹的选定系统。[ 53]
China-Based Threat Actors (PDF) . U.S. Department of Health and Human Services Office of Information Security. August 16, 2023 [29 April 2024] . (原始内容存档 (PDF) 于29 December 2023).
van Dantzig, Maarten; Schamper, Erik. Wocao APT20 (PDF) . fox-it.com. NCC Group . 2019-12-19 [23 December 2019] . (原始内容 (PDF) 存档于22 March 2021).
Tanriverdi, Hakan; Zierer, Max; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do. Nierle, Verena; Schöffel, Robert; Wreschniok, Lisa , 编. Lined up in the sights of Vietnamese hackers . Bayerischer Rundfunk . October 8, 2020 [11 October 2020] . (原始内容存档 于22 March 2021). In Bui's case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots.