今天给大家推送绿盟2021年发布的《APT组织情报年鉴》。
关于绿盟科技
绿盟科技集团股份有限公司(以下简称绿盟科技),成立于2000年4月,总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有50余个分支机构, 为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处,深入开展全球业务,打造全球网络安全行业的中国品牌。
官网地址:https://www.nsfocus.com.cn/
绿盟科技平行实验室、伏影实验室和威胁情报实验室,联合广州大学网络空间先进技术研究院联合发布《APT组织情报研究年鉴》,借助网络空间威胁建模知识图谱和大数据复合语义追踪技术,对全球372个APT组织活动进行大数据追踪,从而对2021年度新增和活跃的APT组织的攻击活动方式进行分析。整个APT年鉴以情报、监视和侦察(ISR)体系为总体思路,将整个报告主体分为情报篇、监视篇和侦察篇三个部分,可以相对全面地将绿盟科技围绕《APT组织情报研究年鉴》进行的相关工作进行概括。
卷首语
近年来,网络空间安全威胁发生巨大的变化,攻击者从传统带有恶作剧与技术炫耀性质逐步转变为利益化、商业化、集团化。自2009年12月针对谷歌公司的极光攻击事件曝光开始,以APT (Advanced Persistent Threat)攻击为代表的网络空间高隐蔽未知威胁日益猖獗:
2010年7月成功破坏伊朗布什尔核电站设备的震网攻击事件;2013年3月20日韩国银行遭遇APT攻击事件;2015年12月23日乌克兰伊万诺弗兰科夫斯克地区圣诞大停电事件;2016年孟加拉国央行8100 万海外存款失窃事件;2018年,俄罗斯支持的APT28(Fancy
Bear)组织多次影响美国大选和法国大选,诞生一个“选举安全”的新词汇;2019年初,朝鲜APT组织Lazarus 锁定以色列国防公司,预谋窃取以方的军事和商业机密;同期,委内瑞拉指责美国策划了一起极为严重的网络攻击事件,导致全境大面积停水断电,国民生产生活陷入瘫痪,国家接近崩溃的边缘;
2021年4月,外媒曝光APT28组织攻击乌克兰大选;2021年6月,《纽约时报》披露美国政府欲加强对俄罗斯电网的数字入侵。2021年6月,阿根廷、乌拉圭等南美国家遭受网络攻击,大规模断电断网席卷南美;2021年7月,委内瑞拉再度因网络攻击而导致大规模停电,首都亦未能幸免,全境陷入“末日”般的悲惨世界;2021年10月,乌克兰外交官、政府和军事官员以及执法部门人员,遭遇APT组织Gamaredon的武器化文件定向打击;2021年11月,印度独立网络核电站 Kudankulam遭遇疑似朝鲜APT组织 Lazarus 的攻击,据传攻击已渗透至核心系统;2021年12月,IBM 披露中东工业和能源行业,遭伊朗APT34(Oilrig)恶意数据擦除软件ZeroCleare的摧毁性攻击。
APT攻击有着复杂度高、对抗性强、特征隐蔽等特点,通常由有国家背景的相关攻击组 织发起,实施窃取国家机密、重要企业的有价值商业信息、破坏网络基础设施等活动,具有强烈的政治和经济目的。网络空间安全的格局虽不断变化,但隐藏在迷雾背后的,是国家间的博弈与较量。
随着我国国际地位不断崛起,各种与我国有关的政治、经济、军事、科技情 报搜集对专业黑客组织有极大吸引力,使我国成为全球网络攻击的主要受害国之一。实际上, 自2018年起,针对我国的网络攻击活动从未间断,多个以国家力量为背景的攻击组织,包括:海莲花(Ocean Lotus)、响尾蛇(Side Winder)、奇幻熊(APT28)、污水(Muddy Water)、蔓灵花(BITTER)、白象(Hang Over)、寄生兽(Dark Hotel)等,利用漏洞渗 透轮番攻击我国政府、军事、能源、贸易、金融、科研教育等机构,给我国信息安全带来极大的挑战。不仅如此,我国周边的国家以及中国的“一带一路”国家,也成为攻击组织重点关注的对象。这仅是目前能够发现和统计的信息,实际形势可能更为严峻。
事实证明,传统网络安全防御手段以识别并阻断网络攻击为核心,力求拒威胁于内网之外, 但随着APT攻击等高隐蔽未知威胁的出现和演进,越来越多的研究者相信网络攻击难以避免。
我国政府对网络安全问题高度重视,先后颁布了《国家信息化领导小组关于信息安全保障工作的意见》、《国家中长期科学和技术发展规划纲要》、《国家网络安全事件应急预案》等相关政策文件,明确要求“做好网络安全事件日常预防工作,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力”。习总书记在网络安全和信息化工作座谈会上指出“网络安全是动态的而不是静态的”、“网络安全的本质在对抗,对抗的本质在攻防两端的能力较量”。探索如何积极主动地感知未知威胁、持续不断地追踪已知威胁,形成战略威慑, 方能最终提升对重要信息系统的防护能力,捍卫国家网络空间主权。
综上,在网络空间高度对抗的今天,开展APT攻击为代表的高隐蔽未知威胁智能检测与溯源技术相关研究是网络空间安全的重要发展方向。在我国重要信息系统不断成为渗透目标的背景下,绿盟科技平行实验室、伏影实验室和威胁情报实验室,联合广州大学网络空间先进技术研究院,定位于服务国家重大安全需求,以“主动防御、溯源反制、战略威慑”为理念, 借助基于知识图谱网络空间威胁建模平台,将过去一年多的APT新发现组织和APT活跃组织进行分门别类的梳理,并以年报方式撰写了本年鉴,将每个APT组织采用经典的钻石模型 和知识图谱知识图方式,以图鉴方式予以展现,年鉴中同时收录了实验室相关的研究论文及专利的概要内容,涵盖情报生产、攻击组织归因、上下文复合语义追踪等方面,供读者研究参考。该年鉴对于提升我国重要信息系统防护水平,为我国网络空间战略威慑能力和防御能力建设提供有力支撑,有非常重要的现实意义。
编者:田志宏 广州大学网络空间先进技术研究院院长、教授、博士生导师
目录:
202页原文PDF文档已于7月27日上传知识星球
长按识别下面的二维码可加入星球
里面已有四千余篇资料可供下载
越早加入越便宜
续费五折优惠
往期关联阅读: