美相关APT 组织分析报告 2024.pdf

美相关APT组织分析报告

360数字安全集团编制

目录

一、概述1

二、APT-C-16（索伦之眼）1

1．组织归因分析2

2．攻击武器3

3．攻击案例4

三、APT-C-39（CIA）5

1．组织架构6

2．组织归因分析7

3．攻击武器10

3.1Fluxwire（磁通线）后门程序平台12

3.2Athena（雅典娜）程序12

3.3Grasshopper（蚱蜢）后门程序13

3.4AfterMidnight（午夜之后）后门程序13

3.5ChimayRed（智美红帽）漏洞利用工具13

3.6HIVE（蜂巢）网络攻击平台13

4．攻击案例14

四、APT-C-40（NSA）15

1．组织架构15

2．组织归因分析21

3．组织代表武器22

4．攻击案例27

五、总结29

一、概述

“APT”（高级持续性攻击）是一种针对性、隐蔽性、持续性极强

的网络攻击行为。现已发现的绝大多数APT组织都具有国家或政府

背景，相关攻击行为通常由某个与特定国家政府关联的实体机构具体

实施。APT攻击的主要目标不是普通个体，而是特定的组织机构，包

括政府、大学、医疗、企业、科研甚至重要信息基础设施运维单位等

不同类型的重要机构。

过去数年，360公司持续跟踪美国APT组织及其活动情况，发现

美国顶尖APT组织对全球各国（包括美国盟友）的政府机构、重要

组织和信息基础设施实施了复杂、精密、持续性的APT攻击行动。

本报告针对美国代表性APT组织架构、攻击武器、实施过程等展开

分析，并结合真实案例，全面印证了美APT组织凭借高度自动化、

工程化的先进网络武器装备发起无差别网络攻击，给全球带来无穷的

安全隐忧。

二、APT-C-16（索伦之眼）

索伦之眼（ProjectSauron）组织，又名Strider、Sauron、APT-C-

16、神行客，最早活跃于2011年，并一直活跃至2016年8月。

根据英国《每日邮报》媒体报道，该组织攻击过的目标包括中国、

俄罗斯、比利时、伊朗、瑞典、卢旺达等30多个国家，以窃取敏感

信息为主要目的。受该组织攻击的机构包括国防部门、大使馆、金融

机构、政府部门、电信公司、军事和基础设施领域以及科技研究中心

等。

1

1．组织归因分析

2016年8月，赛门铁克公司披露了一个针对中国、俄罗斯等国

家发动高级攻击的APT组织。随后，卡巴斯基也发布报告，针对该

组织披露了更多详细分析资料。因在分析追踪文件时，发现其代码中

带有Sauron字符，所以命名为索伦之眼（ProjectSauron），其不仅是

一个顶级黑客组织，而是一个拥有精密技术的顶级间谍模型平台。

经比对分析，确认该组织与360高级威胁情报中心独立截获的境

外APT组织APT-C-16为同一组织。在360长期跟踪并对索伦之眼组

织行动进行归属分析过程中，发现其与美国几大关联证据：

证据一、惯性语言的使用暴露所属国家：

索伦之眼组织攻击过程使用的语言、代码文本、关键模块输出均

为英文。此外，索伦之眼在模块开发中使用“cruft”单词，该词语很少

被非母语人士使用。其首次出现约在1958年，常被麻省理工学院（MIT）

科技铁路模型俱乐部（TMRC）的学生们用在“垃圾”的意义上。

证据二、关键技术特征与美制造的恶意病毒存在相似：

索伦之眼组织攻击目标时使用了一种名为“Remsec”的高端恶意

软件。而Remsec被发现与2012年5月卡巴斯基首次发现的超级电

脑病毒Flame病毒(火焰病毒)存在诸多技术相似点。

Remsec与Flame病毒的技术上的相似点包括：都采用Lua模块

编写木马;盗取数据的方式多种多样;木马程序异常复杂;使用多种加

密技术和数据传输技术;木马本身具有安全删除文件的能力;具备隔离

网络文件窃取能力;受害者大多具有政治因素。

卡巴斯基、赛门铁克、360公司相关技术报告研判的互相印证表

明：Remsec与Flame病毒疑似是师出同门，是由美国政府研发或资