写在最前面

中方坚决反对并打击各种形式的网络攻击，致力于在相互尊重、平等互利基础上，与各国通过双边对话或司法协助等渠道加强合作，共同应对网络安全威胁。此前，中方曾就英方提交的所谓“APT31”相关信息进行过技术澄清和回应，明确表明英方提供的证据不足，相关结论缺乏专业性。但令人遗憾的是英方此后未有进一步回应。

一段时间以来，美国出于地缘政治目的鼓动其主导的世界上最大的情报组织“五眼联盟”编凑散布各种“中国黑客”威胁的虚假信息，现在又伙同英国大肆炒作所谓“中国网络攻击”，甚至发起对华无理单边制裁。中方对此坚决反对，已向美及相关方提出严正交涉，将采取必要措施维护中方的合法权益。

中方相关网络安全机构曾发布美国政府对中国及其他国家进行网络攻击的系列报告，但美国政府一直装聋作哑。我们敦促美方在网络空间采取负责任态度，更不要“贼喊捉贼”。

（外交部网站）

学习本案例，只为说明APT攻击组织归因和命名APT攻击组织是需要有明确定义的，并不能仅因为某些特征就将毫无关联的入侵归因到一个攻击组织上。

错误的攻击归因

网络安全公司 Recorded Future 和 Rapid7 在2019年2月的时候发布了一份报告，分析某国著名攻击组织APT10攻击了一家挪威软件供应商、一家美国律师事务所和一家国际服装公司。美国政府和个人分析师认为APT10攻击组织与某国情报部门有关联。2018年12月，美国司法部对APT10组织的两名成员提起诉讼，这也让APT10名声大噪。

Recorded Future 和 Rapid7 的报告高度确定这些入侵来自APT10攻击组织，研究人员称入侵者使用了Trochilus恶意软件和已知特征的后门程序、远控工具等。并且美国司法部的起诉书让他们更加确信这些证据的有效性。但其他关注 APT10 的公司的分析师表示，报告中描述的活动是另一个与某国有关的黑客组织 APT31 或 Zirconium 所为。普华永道 (PwC) 网络威胁检测和响应主管 Kris McConkey 表示，APT10 攻击看起来会有所不同。

这段内容解释了一个常见误解，即某些网络安全团队使用的威胁名称（如APT10）实际上是特定定义，而不是通用名称。微软分析师Ben Koehl和PWC分析师Kris McConkey指出，Rapid7和Recorded Future所发现的实际是APT31，而不是APT10。尽管存在许多技术重叠，但他们还是通过一些非公开数据和基础设施维护方式来确认这是不同的团体。这些信息是Recorded Future无法得知的。

这个问题并不仅仅是 Recorded Future 和 Rapid7 的问题。实际上，这种情况经常发生。每个团队都会创建自己独特的定义，而这些定义通常是内部使用的，并不公开。即使在恶意软件和受害者重叠的情况下，PWC 和微软分析师依然认为 Recorded Future 和 Rapid7 所描述的不是APT10，而是基于更广泛数据集的APT31。他们关注的不仅仅是恶意软件的使用方式，还有更多的细节，例如行为指标和人类操作痕迹 。

每个人都会犯错

事实是，这种情况比人们意识到的要常见得多。但是通常，当公司发布报告时，它们会与原作者协作，由他们检查工作。例如，在PWC发布关于Cloud Hopper的报告之前，可能与微软或FireEye进行了协调，后者能够检查他们的部分工作并确认他们追踪的是APT10。然而，几乎不可能所有纳入Cloud Hopper的入侵都符合APT10的定义。实际上，这些分析中夹杂了很多抽象化的部分。

在日常公司中问题更加严重。当你的CTI团队追踪入侵并尝试将其归因于其他团队和供应商已知的群体时，你很可能会犯与Recorded Future和Rapid7相同的错误，因为你对其他团队所使用的群体定义缺乏深入了解。然而，由于你没有公开发布这些案例，你可能不会因此受到批评。

最好的做法始终是使用自己的组名，特别是在你拥有独特的收集数据和入侵案例时（不要仅仅为了重命名而重命名群体）。完全可以说某些入侵与其他已知群体有“关联”或“重叠”，你应该明确指出这一点。但是，你所追踪的内容，包括使用的收集方法、满足的需求、分析工具以及你的偏见等，永远不会与其他人的定义完全一致。