美相关APT 组织分析报告

美相关APT组织分析报告 360数字安全集团编制 目录 一、概述1 二、APT-C-16（索伦之眼）1 1.组织归因分析2 2.攻击武器3 3.攻击案例4 三、APT-C-39（CIA）5 1.组织架构6 2.组织归因分析7 3.攻击武器10 3.1Fluxwire（磁通线）后门程序平台12 3.2Athena（雅典娜）程序12 3.3Grasshopper（蚱蜢）后门程序13 3.4AfterMidnight（午夜之后）后门程序13 3.5ChimayRed（智美红帽）漏洞利用工具13 3.6HIVE（蜂巢）网络攻击平台13 4.攻击案例14 四、APT-C-40（NSA）15 1.组织架构15 2.组织归因分析21 3.组织代表武器22 4.攻击案例27 五、总结29 一、概述 “APT”（高级持续性攻击）是一种针对性、隐蔽性、持续性极强的网络攻击行为。现已发现的绝大多数APT组织都具有国家或政府背景，相关攻击行为通常由某个与特定国家政府关联的实体机构具体实施。APT攻击的主要目标不是普通个体，而是特定的组织机构，包括政府、大学、医疗、企业、科研甚至重要信息基础设施运维单位等不同类型的重要机构。 过去数年，360公司持续跟踪美国APT组织及其活动情况，发现美国顶尖APT组织对全球各国（包括美国盟友）的政府机构、重要组织和信息基础设施实施了复杂、精密、持续性的APT攻击行动。本报告针对美国代表性APT组织架构、攻击武器、实施过程等展开分析，并结合真实案例，全面印证了美APT组织凭借高度自动化、工程化的先进网络武器装备发起无差别网络攻击，给全球带来无穷的安全隐忧。 二、APT-C-16（索伦之眼） 索伦之眼（ProjectSauron）组织，又名Strider、Sauron、APT-C-16、神行客，最早活跃于2011年，并一直活跃至2016年8月。 根据英国《每日邮报》媒体报道，该组织攻击过的目标包括中国、俄罗斯、比利时、伊朗、瑞典、卢旺达等30多个国家，以窃取敏感信息为主要目的。受该组织攻击的机构包括国防部门、大使馆、金融机构、政府部门、电信公司、军事和基础设施领域以及科技研究中心等。 1.组织归因分析 2016年8月，赛门铁克公司披露了一个针对中国、俄罗斯等国家发动高级攻击的APT组织。随后，卡巴斯基也发布报告，针对该组织披露了更多详细分析资料。因在分析追踪文件时，发现其代码中带有Sauron字符，所以命名为索伦之眼（ProjectSauron），其不仅是一个顶级黑客组织，而是一个拥有精密技术的顶级间谍模型平台。 经比对分析，确认该组织与360高级威胁情报中心独立截获的境外APT组织APT-C-16为同一组织。在360长期跟踪并对索伦之眼组织行动进行归属分析过程中，发现其与美国几大关联证据： 证据一、惯性语言的使用暴露所属国家： 索伦之眼组织攻击过程使用的语言、代码文本、关键模块输出均为英文。此外，索伦之眼在模块开发中使用“cruft”单词，该词语很少被非母语人士使用。其首次出现约在1958年，常被麻省理工学院（MIT）科技铁路模型俱乐部（TMRC）的学生们用在“垃圾”的意义上。 证据二、关键技术特征与美制造的恶意病毒存在相似： 索伦之眼组织攻击目标时使用了一种名为“Remsec”的高端恶意软件。而Remsec被发现与2012年5月卡巴斯基首次发现的超级电脑病毒Flame病毒(火焰病毒)存在诸多技术相似点。 Remsec与Flame病毒的技术上的相似点包括：都采用Lua模块编写木马;盗取数据的方式多种多样;木马程序异常复杂;使用多种加密技术和数据传输技术;木马本身具有安全删除文件的能力;具备隔离网络文件窃取能力;受害者大多具有政治因素。 卡巴斯基、赛门铁克、360公司相关技术报告研判的互相印证表明：Remsec与Flame病毒疑似是师出同门，是由美国政府研发或资 助开发用于对伊朗等国家发起网络攻击的尖刀利器。 2.攻击武器 索伦之眼攻击目标所使用的Remsec恶意软件是一款技术含量很高的远程控制软件，主要用来暗中监视和控制目标。这种软件能够在受感染计算机上打开后门，记录用户点击的按键，并盗取相关文件。其攻击武器具备三大特征： 特征一：Remsec恶意软件率先采用模块化设计，具备不同功能的模块之间作为一个框架整体协同工作，使攻击者能够完全控制受感染的计算机，从而允许他们跨网络移动、窃取数据并根据需要部署自定义模块。 特征二：Remsec恶意软件具有强“隐身”性。它的几个组件采用可执行blob（二进制大型对象）的形式，这对于传统防病毒软件来说更难以检测。除此之外，该恶意软件的大部分功能都是通过网络部署的，这意味着它仅驻留在计算机的内存中，并且从不存储在磁盘上，使得其更难以检测。索伦之眼整个攻击过程高度隐蔽，且针对性极强，对特定目标采用定制的恶意程序或通信设施，不会重复使用相关攻击资源。 特征三：索伦之眼武器工程化、复杂度、成熟性之高远非个体、游兵散将制造，背后需要大量人力、财力、技术资源投入开发，或为国家力量支持的高端网络武器开发使用项目。 总之，索伦之眼凭借超强恶意软件Remsec，攻击方式、攻击效果和攻击隐蔽性等方面在当时具有领先能力，属于顶级APT组织。 3.攻击案例 2016年8月，赛门铁克公司在报告中披露，自2011年起，索伦之眼攻击了中国、比利时、俄罗斯和瑞典的七个组织，包括位于俄罗斯的多个组织和个人、中国的一家航空公司、瑞典一个未公开的组织及比利时国内的一个大使馆。 2016年8月，卡巴斯基公司在报告中披露，2015年9月其反定向攻击技术遭遇了一次未知的攻击。可疑模块是一个可执行库，加载到Windows域控制器(DC)的内存中该库已注册为Windows密码过滤器，并且可以访问明文形式的敏感数据。经过研究发现索伦之眼大规模活动迹象，主要针对多国政府实体进行攻击行动。 三、APT-C-39（CIA） 美国中央情报局（CentralIntelligenceAgency，简称CIA）是美国联邦政府主要情报机构之一，总部位于美国弗吉尼亚州兰利。 其主要业务范围涉及：收集外国政府、公司和公民情报信息；综合分析处理其他美国情报机构收集的情报信息；向美国高层决策者提供国家安全情报和安全风险评估意见；根据美国总统要求组织实施和指导监督跨境秘密活动等。长期以来，美国中央情报局（CIA）在世界各地秘密实施“和平演变”和“颜色革命”，持续进行间谍窃密活动。进入二十一世纪以来，互联网的快速发展给美国中央情报局（CIA）的渗透颠覆和捣乱破坏活动提供了新的机遇，全球各地使用美国互联网设备和软件产品的机构和个人成为美国中央情报局（CIA）的傀儡“特工”，帮助该机构迅速成为网络谍报战中的耀眼“明星”。 1.组织架构 公开资料显示，CIA下设情报处（DI）、秘密行动处（NCS）、科技处（DS&T）、支援处（DS）四个部门。 情报处（DI）： 情报部是对情报信息的接收、诠释、分析和加工部门，主要任务是编写有关国际政治、经济、科技和军事方面的“动态情报”以及供总统和决策班子参考的文件，如供总统阅读的《每日要闻》、部级官员参考的《国家情报日报》、《国家情报简报》和一些专题性周刊；另一任务是对公开资料的研究，撰写定期的专题性研究报告。该部下设8个室及2个中心，有3500多名工作人员。 秘密行动处（NCS）： 是中情局内最大的情报搜集部门，主要负责向世界各地派遣间谍，参与、影响和颠覆外国政府的隐藏行动以及反间谍工作等，至少有6000多名工作人员，其中约有4800特工人员经常派驻国外，其中2/3 人员从事谍报、反间谍和联络等情报工作，其余人员主要从事隐藏行动；大多数以国务院或国防部代表的官方合法身份作保护，从事联络、谍报及反谍报活动。 科技处（DS&T）： 该部成立于1963年，有工作人员1300多人。下设6个业务处 （中心），即研究开发处、研究与工程设计处、外国广播收讯处、技术服务处和国家图像判读中心。部长由主管科技的副局长兼任。 该部的职责是进行基础研制工作，即对技术系统的研究、开发与使用业务（包括间谍卫星的操纵以及对尖端技术领域进行分析论证)编写科技情报。此外，它还负责中情局的大部分电子资料处理业务，并对各科学领域进行广泛的研究。 支援处（DS） 该部工作人员约5000人，部长由主管行动的副局长兼任。下设 8个业务处，即卫生处（医务）、安全处（保卫）、训练与教育处、财务处、后勤处、人事处、信息处和通讯处。 该部是中情局的行政治理部门，主要是协助行动部进行隐藏行动，还为科学服务部和情报部提供各种形式的支援，并负责通讯、总务和训练等方面工作。 2.组织归因分析 2020年3月，360公司分析论证了一起美国中央情报局攻击组织(APT-C-39)对中国关键领域进行长达11年渗透的网络攻击事件。中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击，并主要集中在北京、广东、浙江等 省份。360公司通过一系列证据，确认他们发现的APT-C-39网络攻击确系来自美国中央情报局CIA。 具体关联证据如下： 证据一：APT-C-39组织使用了大量CIA"Vault7(穹窿7)"项目中的专属网络武器。研究发现，APT-C-39组织多次使用了Fluxwire，Grasshopper等CIA专属网络武器针对我国目标实施网络攻击。通过对比相关的样本代码、行为指纹等信息，可以确定该组织使用的网络武器即为“Vault7（穹窿7）”项目中所描述的网络攻击武器。 证据二：APT-C-39组织大部分样本的技术细节与“Vault7（穹窿7）”文档中描叙的技术细节一致。360安全云分析发现，大部分样本的技术细节与“Vault7（穹窿7）”文档中描叙的技术细节一致，如控制命令、编译pdb路径、加密方案等。这些是规范化的攻击组织常会出现的规律性特征，也是分类它们的方法之一。所以，确定该组织隶属于CIA主导的国家级黑客组织。 证据三：早在“Vault7（穹窿7）”网络武器被维基解密公开曝光前，APT-C-39组织就已经针对中国目标使用了相关网络武器。2010年初，APT-C-39组织已对我国境内的网路攻击活动中，使用了“Vault7 （穹窿7）”网络武器中的Fluxwire系列后门。这远远早于2017年维基百科对“Vault7（穹窿7）”网络武器的曝光。这也进一步印证了其网络武器的来源。在通过深入分析解密了“Vault7（穹窿7）”网络武器中Fluxwire后门中的版本信息后，360安全云将APT-C-39组织历年对我国境内目标攻击使用的版本、攻击时间和其本身捕获的样本数量 进行统计归类，如下表： 从表中可以看出，从2010年开始，APT-C-39组织就一直在不断升级最新的网络武器，对我国境内目标频繁发起网络攻击。 证据四：APT-C-39组织使用的部分攻击武器同NSA存在关联。WISTFULTOLL是2014年NSA泄露文档中的一款攻击插件。在2011年针对我国某大型互联网公司的一次攻击中，APT-C-39组织使用了WISTFULTOOL插件对目标进行攻击。与此同时，在维基解密 泄露的CIA机密文档中，证实了NSA会协助CIA研发网络武器，这也从侧面证实了APT-C-39组织同美国情报机构的关联。 证据五：APT-C-39组织的武器研发时间规律定位在美国时区。根据该组织的攻击样本编译时间统计，样本的开发编译时间符合北美洲的作息时间。 恶意软件的编译时间是对其进行规律研究、统计的一个常用方法，通过恶意程序的编译时间的研究，我们可以探知其作者的工作与作息规律，从而获知其大概所在的时区位置。下表就是APT-C-39组织的编译活动时间表（时间我们以东8时区为基准），可以看出该组织活动接近于美国东部时区的作息时间，符合CIA的定位。（位于美国弗吉尼亚州，使用美国东部时间。） 综合上述技术分析和数字证据，我们完全有理由相信：APT-C