林曉昕 周盈海 田志宏

1 廣東省信息安全測評中心 廣州 510000

2 廣州大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 廣州 510006

引言

2022年6月，西北工業(yè)大學(xué)曾發(fā)布聲明，稱有來自境外的黑客組織和不法分子向?qū)W校師生發(fā)送包含木馬程序的釣魚郵件，企圖竊取相關(guān)師生郵件數(shù)據(jù)和公民個人信息[1]。9月5日，國家計算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報告，指出美國國家安全局(NSA)下屬的“特定入侵行動辦公室”(TAO)多年來對我國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實施了上萬次惡意網(wǎng)絡(luò)攻擊。西北工業(yè)大學(xué)亦是美國攻擊的受害者。多年來，我國一直是美國高級持續(xù)性威脅(APT)的重點攻擊對象，不但經(jīng)受美方網(wǎng)絡(luò)攻擊， 還要時常被美方以所謂APT“溯源”(Attribution)結(jié)果污蔑為發(fā)起網(wǎng)絡(luò)攻擊的“惡人”。近年來，美國依仗自身技術(shù)能力形成的APT(高級持續(xù)性威脅)領(lǐng)域“單向透明”的優(yōu)勢，將APT變成其在技術(shù)上以及輿論場上與中國博弈的利器。

1 美國拋出高級持續(xù)性威脅概念，打造網(wǎng)絡(luò)空間話語體系

1.1 高級持續(xù)性威脅(APT)概念的由來及含義

對于高級持續(xù)性威脅(APT)一詞的由來，當(dāng)前許多文獻(xiàn)都援引知名網(wǎng)絡(luò)安全戰(zhàn)略專家理查德·貝伊特利希(Richard Bejtlich)的觀點，指該詞是2006年由美國空軍(USAF)分析師創(chuàng)造，彼時用于促進(jìn)與未獲授權(quán)的民用同行在不透露機(jī)密身份的同時討論攻擊特征[2]。在2020年10月，貝伊特利希在其個人博客“TaoSecurity”中，對這一說法進(jìn)行了訂正和完善。他明確表示，這一術(shù)語是由時任美軍上校格雷戈里·拉特雷(Gregory Rattray)在2007年發(fā)明的。拉特雷2020年10月9日在其推特賬號中寫道：“早在2007年，我就創(chuàng)造了‘高級持續(xù)威脅’這個術(shù)語，來描述我們需要與國防工業(yè)基礎(chǔ)合作應(yīng)對的新興對手……從那時起，APT這個術(shù)語和我們對手的性質(zhì)都發(fā)生了變化。沒有改變的是，在網(wǎng)絡(luò)空間中，先進(jìn)的攻擊者會不斷地追逐擁有他們想要的資產(chǎn)的目標(biāo)，不管防御力量有多強。”[3]當(dāng)前，APT主要指一種隱蔽的威脅行為者，通常是由國家支持的團(tuán)體，未經(jīng)授權(quán)訪問計算機(jī)網(wǎng)絡(luò)并在很長一段時間內(nèi)未被發(fā)現(xiàn)。如此前全球聞名的“震網(wǎng)”病毒，就是美國國家安全局在以色列協(xié)助下針對伊朗核設(shè)施發(fā)起的APT攻擊。隨著技術(shù)的發(fā)展，當(dāng)前該術(shù)語亦包括非國家資助的團(tuán)體，為特定目標(biāo)進(jìn)行大規(guī)模的有針對性的入侵。綜合學(xué)者及業(yè)界分析，組成APT的三個詞具備以下含義。

高級(Advanced)，指的是實施威脅的人或團(tuán)體擁有全面的信息搜集技術(shù)，其中包括商用工具、開放源碼的黑客技術(shù)、國家的情報設(shè)備等。

持續(xù)性(Persistent)，意味著攻擊者有明確的目標(biāo)，而不是投機(jī)取巧地尋求信息以獲得經(jīng)濟(jì)或其他利益。APT通常使用“低速且緩慢”的方法，而不是一連串的持續(xù)攻擊和惡意軟件更新。APT 提供的對目標(biāo)的長期訪問可能對攻擊者更有利，因此保持不被發(fā)現(xiàn)對于成功至關(guān)重要。

威脅(Threat)，表現(xiàn)在APT擁有強大的能力和明確的意圖。相比通過無意識和自動化的代碼片段來執(zhí)行攻擊，APT攻擊通過組織一些高水平的技術(shù)人員通力合作來實施威脅[4]。 因此，APT攻擊的發(fā)起者往往是目標(biāo)明確、技術(shù)嫻熟、組織周密且資金充足的團(tuán)隊，包括但不限于有國家背景的團(tuán)體。

綜上，APT不僅是一種攻擊技術(shù)，更是一種攻擊理念。為達(dá)成這種理念，一是需要全方位的情報和設(shè)備支撐，這種支撐通常來自于國家。二是攻擊行動不會一蹴而就，通常會有較長潛伏和探索期，確保最后一擊即中，具有高度隱蔽性。三是這種行動通常需要攻擊者之間圍繞共同目標(biāo)協(xié)調(diào)一致，多重手段配合。

1.2 APT概念助美升級網(wǎng)絡(luò)空間攻防理念

美拋出高級持續(xù)性威脅(APT)這一概念，客觀而言，促進(jìn)了其國內(nèi)網(wǎng)絡(luò)安全建設(shè)朝著更加體系化的方向前進(jìn)。APT概念的提出，使美國提高了對網(wǎng)絡(luò)攻擊的認(rèn)知水平，把對網(wǎng)絡(luò)威脅的理解從僅限于黑客、木馬病毒等微觀層面，上升到了防范由國家或有國家背景的團(tuán)體操控的、大規(guī)模的網(wǎng)絡(luò)攻擊的宏觀層面，推動了美政府從頂層設(shè)計出發(fā)持續(xù)完善國內(nèi)防御體系，使網(wǎng)絡(luò)安全防范更加系統(tǒng)化制度化。但從美國政府對外行動看，其更強調(diào)APT在大國博弈方面的作用。通過所謂“APT溯源”，美國制定了一套抹黑對手的策略，包括利用輿論宣傳、司法起訴等手段，為其在對外博弈中占據(jù)優(yōu)勢地位及輿論高點，并逐步拉攏盟友，建立起自己的網(wǎng)絡(luò)空間話語體系，以將網(wǎng)絡(luò)空間變成其“一言堂”。

2 美近年以APT溯源為重要抓手與對手展開博弈

針對美在APT溯源方面采取的手法，據(jù)觀察，可大致分為三個階段。在2014年前，以安全企業(yè)溯源報告為主要方式。在2014年至2017年間，美政府部門下場，在安全公司溯源報告基礎(chǔ)上，針對實體發(fā)起司法指控。2017年至今，美通過新聞媒體、民間博客等非官方渠道曝光更多APT組織相關(guān)細(xì)節(jié)，同時其他國家亦在美方基礎(chǔ)上開展新的溯源。

2.1 第一階段，以安全企業(yè)溯源報告為主要方式

2014年前，美方在APT溯源層面，以安全企業(yè)為主力軍。雖然安全企業(yè)會間歇性發(fā)布一些報告，但由于彼時傳播渠道的局限及網(wǎng)絡(luò)空間概念亦處于成型階段，并未形成體系性成果及造成大范圍影響。這一階段可謂是美探索溯源作用的階段，由安全企業(yè)出面充當(dāng)“打手”，將深層國家目的隱藏在商業(yè)行為背后。當(dāng)時美方公布的較為知名的涉APT報告包括“泰坦雨”(Titan Rain)、“極光行動”(Operation Aurora)及“暗鼠行動”(Operation Shady RAT)等。2005年8月，美國防部稱名為“泰坦雨”的黑客攻擊了美國政府。同年11至12月包括《時代》雜志在內(nèi)的多家外媒刊登文章，披露桑迪阿國家實驗室分析員肖恩·卡彭特(Shawn Carpenter)追蹤黑客的經(jīng)過。這亦是美方首次嘗試對外披露其捕捉APT的行動。2010年初，谷歌(Google)決定退出中國大陸。1月上旬，谷歌官方博客披露了名為“極光行動”(Operation Aurora)的APT事件，宣稱遭到中國黑客襲擊，并將與中國政府進(jìn)行談判，為其退出中國大陸的行為造勢。2011年8月，安全廠商邁克菲(McAfee)發(fā)布關(guān)于“暗鼠行動”(Operation Shady RAT)的報告，稱之為“有史以來最大宗的黑客行動之一”，并在報告中稱“該行動是2008年夏季奧運會期間針對各個運動監(jiān)管機(jī)構(gòu)‘可能將矛頭直指入侵背后’的國家行為”，將外界目光引向中國。美通過APT溯源進(jìn)行栽贓陷害，輔助國家博弈的戰(zhàn)術(shù)已初具雛形。

2.2 第二階段，美政府通過司法指控加強溯源可信度

美國前國防承包商員工斯諾登在2013年6月向英國《衛(wèi)報》及美國《華盛頓郵報》透露了美國國家安全機(jī)構(gòu)“棱鏡計劃(PRISM)”的機(jī)密文件，引發(fā)全球關(guān)注，美“監(jiān)控大國”形象一時深入人心?；驗榕まD(zhuǎn)該事件對美國造成的國際輿論影響，美司法部在2014年直接起訴了5名“中國黑客”，意圖在全球范圍內(nèi)再塑造一個“黑客大國”，分?jǐn)傇诿郎砩系淖⒁饬?。這一事件亦成為美在APT溯源領(lǐng)域的重要分水嶺，國家博弈正式進(jìn)入了這個領(lǐng)域。美國司法部在2014年5月19日，以美國安全公司曼迪昂特(Mandiant)在2012年2月發(fā)表的《APT1:揭露中國網(wǎng)絡(luò)間諜單位之一》(APT1：Exposing One of China's Cyber Espionage Units)報告為重要依據(jù)，對5個中國官員以所謂網(wǎng)絡(luò)竊密為由提出了指控。這是美國聯(lián)邦調(diào)查局2010年建立“網(wǎng)絡(luò)最想逮捕名單”(Cyber's Most Wanted)以來，第一次將他國官方人員列入名單。通過司法起訴書“坐實”企業(yè)APT溯源內(nèi)容，并針對他國官方人員發(fā)起司法行動，美這一操作模式擴(kuò)大了其APT溯源結(jié)論的傳播力度，成為其利用溯源加強網(wǎng)絡(luò)空間威懾，污名化他國的重要手段。

2.3 第三階段，通過隱私曝光及盟友合作提升溯源威懾力

2017年，美國再次升級了其溯源威懾手段。一個名為“入侵真相”(Intrusion Truth)的匿名博客橫空出世。該博客目標(biāo)直指中國，以曝光所謂“中國APT”任務(wù)。相比安全公司報告更注重呈現(xiàn)溯源的技術(shù)過程，該博客的內(nèi)容則以似是而非的語言，著重曝光部分中國科技企業(yè)員工的私人信息，如QQ、網(wǎng)絡(luò)論壇等社交媒體的賬號信息，以及一些日常生活照片等，以此展現(xiàn)美方的信息挖掘能力，意圖震懾民間技術(shù)人員。此外，這一階段，其他國家亦跟進(jìn)了美國的溯源步伐。據(jù)不完全統(tǒng)計，從2014年至今，美西方政府、安全公司、媒體在互聯(lián)網(wǎng)上發(fā)起了近300次對所謂中國APT團(tuán)隊的溯源及指控。值得注意的是，從2018年起，包括加拿大、捷克、斯洛伐克、法國、德國等更多國家的公司或組織開始加入溯源“中國黑客”的行動。而這些公司曝光的團(tuán)體，很少超越美此前提供的范圍，基本都是在美已溯源的APT團(tuán)體基礎(chǔ)上，進(jìn)行再次曝光。究其原因，除了有美盟友政治上的配合外，亦與美已將其APT溯源的手段標(biāo)準(zhǔn)化并在全球推行有關(guān)。

3 美建立APT溯源標(biāo)準(zhǔn)，全球影響廣大

美國在APT溯源領(lǐng)域建立的優(yōu)勢，歸根到底取決于其近年來在威脅情報共享及溯源標(biāo)準(zhǔn)化方面的持續(xù)努力及進(jìn)展。

3.1 創(chuàng)建“網(wǎng)絡(luò)威脅框架”，為整合威脅情報創(chuàng)建統(tǒng)一標(biāo)準(zhǔn)

威脅情報在推動安全事件快速響應(yīng)方面具有重要意義。作為世界上最早從事網(wǎng)絡(luò)安全威脅情報工作的美國，從布什政府時期就對網(wǎng)絡(luò)威脅與情報的聯(lián)系給予了高度重視。美情報界認(rèn)為，在網(wǎng)絡(luò)威脅情報共享時面臨的一大挑戰(zhàn)表現(xiàn)在，當(dāng)傳遞威脅信息時，各部門機(jī)構(gòu)均使用自己的術(shù)語或定義來描述和呈現(xiàn)威脅，這使得美情報界的整合分析及共享工作變得復(fù)雜。為解決這一問題，美國情報總監(jiān)辦公室(ODNI)自2012年以來開展跨部門合作，旨在創(chuàng)建一個通用的網(wǎng)絡(luò)威脅框架，以統(tǒng)一的方式描述網(wǎng)絡(luò)威脅信息，促進(jìn)信息共享。通過持續(xù)與工業(yè)界、學(xué)術(shù)界以及外國合作伙伴進(jìn)行對話，2018年7月，情報總監(jiān)辦公室公開發(fā)布了一份通用的《網(wǎng)絡(luò)威脅框架》(Cyber Threat Framework)[5]?！毒W(wǎng)絡(luò)威脅框架》是一種通用模型或方法，其將多個模型映射到一個共同的標(biāo)準(zhǔn)，以對網(wǎng)絡(luò)威脅事件進(jìn)行統(tǒng)一描述和分類，為后續(xù)分析特定活動提供支持，并為評估網(wǎng)絡(luò)對手活動趨勢和識別漏洞奠定基礎(chǔ)。該框架適用于從政府決策者、私營部門領(lǐng)導(dǎo)到網(wǎng)絡(luò)安全和信息技術(shù)專家等多個受眾，為組織內(nèi)技術(shù)專家和管理層之間的有效溝通奠定了基礎(chǔ)，支持知情決策并與其它組織共享威脅信息。網(wǎng)絡(luò)威脅框架可以幫助各組織更好地了解其所面臨的網(wǎng)絡(luò)問題，同時為各組織提供預(yù)防或恢復(fù)建議，以幫助各組織先發(fā)制人地加強網(wǎng)絡(luò)態(tài)勢感知。自2013年以來，網(wǎng)絡(luò)威脅框架一直是美國政府網(wǎng)絡(luò)事件響應(yīng)模式的基礎(chǔ)。2018年美國行政管理和預(yù)算局(OMB)在各行政部門中優(yōu)先實施了該框架。目前該框架還被用于情報總監(jiān)辦公室、國土安全部(DHS)、聯(lián)邦調(diào)查局(FBI)的威脅情報產(chǎn)品中，且被映射至美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架。美情報界還持續(xù)與各行業(yè)及學(xué)術(shù)界共享該框架，將其納入多所高校的課程和研究中。此外，框架也逐漸被其他國家和國際組織認(rèn)可。美情報界已與40個合作國家和國際組織共享框架，其中部分國家和組織已經(jīng)采納，并正將其用于創(chuàng)建一個區(qū)域性通用的作戰(zhàn)圖像和促進(jìn)信息共享，例如，用于北約不斷更新的網(wǎng)絡(luò)防御戰(zhàn)略的“威脅描述”中。

3.2 制定網(wǎng)絡(luò)溯源指南，為APT攻擊溯源提供“模板”

2018年9月14日，美國家情報總監(jiān)辦公室在網(wǎng)上發(fā)布了《網(wǎng)絡(luò)溯源指南》(A Guide to Cyber Attribution)[6]，該指南由負(fù)責(zé)網(wǎng)絡(luò)情報的國家情報官員撰寫，介紹了情報界在面對不完整或相互矛盾的信息時如何識別惡意網(wǎng)絡(luò)行動的發(fā)起者。美情報界聲稱，目前的溯源方法已可使情報人員在事故發(fā)生的數(shù)小時內(nèi)確定攻擊源頭，盡管溯源的準(zhǔn)確性和可信度會根據(jù)可用數(shù)據(jù)的不同而有所差異。在指南中，直接表明了攻擊源可主要在俄、中、朝、伊四國及非國家組織或個人中進(jìn)行預(yù)判，因為在美近年來發(fā)布的網(wǎng)絡(luò)空間相關(guān)戰(zhàn)略和威脅評估中，都將這五大行為體列為主要威脅來源。指南還確立了五個關(guān)鍵指標(biāo)來對溯源進(jìn)行指導(dǎo)。這五個指標(biāo)分別是間諜情報技術(shù)(TTPs)、基礎(chǔ)設(shè)施、惡意軟件、意圖判定和外部資源。其中外部資源包括安全公司、智庫、媒體等提供的報告。在確立了關(guān)鍵指標(biāo)后，面對攻擊行為，指南還提出了輔助溯源的最佳方法，包括尋找人為失誤，及時協(xié)作、共享信息和記錄，采用情報分析技術(shù)等。美方發(fā)現(xiàn)，幾乎所有的成功網(wǎng)絡(luò)溯源都源于發(fā)現(xiàn)和利用攻擊者的操作安全錯誤，如使用重復(fù)的情報間諜技術(shù)、相同的基礎(chǔ)設(shè)施，或是在攻擊過程中泄露了語言習(xí)慣等。同時，美一直致力于推動網(wǎng)絡(luò)威脅信息的共享與合作，網(wǎng)絡(luò)威脅框架的出臺就是其中很好的體現(xiàn)。目前美在政府和私企之間、行業(yè)之間都建立了較完善的共享體系，使得美在網(wǎng)絡(luò)事件發(fā)生后二十四小時內(nèi)獲取、記錄和恢復(fù)數(shù)據(jù)成為可能，為溯源分析提供了優(yōu)良的樣本。

3.3 推出ATT&CK框架，打造知識庫塑造話語權(quán)

由美國國家標(biāo)準(zhǔn)與技術(shù)研究院資助的美國非營利組織MITRE在2013年發(fā)起了MITRE ATT&CK框架，建立了一套“對手戰(zhàn)術(shù)及公共知識庫”。該框架是MITRE米德堡實驗(FMX)的結(jié)果，在該實驗中，研究人員模擬了對手和防御者的行為，以通過遙測傳感和行為分析來改善對威脅的入侵后檢測。研究人員的關(guān)鍵問題是“我們在檢測記錄的對手行為方面做得如何”。為了回答這個問題，研究人員開發(fā)了ATT&CK框架，它被用作對對手行為進(jìn)行分類的工具。當(dāng)前，MITRE ATT&CK在全球范圍內(nèi)用于多個領(lǐng)域，包括入侵檢測、威脅追蹤、安全工程、威脅情報、紅隊和風(fēng)險管理。據(jù)國內(nèi)一些安全媒體報道，該框架在網(wǎng)絡(luò)安全研究者中廣受歡迎。自2018年10月以來，根據(jù)Google趨勢顯示，對MITRE ATT&CK的搜索熱度顯著增長。而在ATT&CK框架的“組織”(Groups)一欄中，我們可以看到133個攻擊團(tuán)體和組織的細(xì)節(jié)，包括他們正在使用的技術(shù)和工具。并對某些團(tuán)體，直接歸因為中國、朝鮮、俄羅斯、伊朗等國背后支持的團(tuán)體。隨著MITRE ATT&CK的普及，這或?qū)ξ磥淼陌踩芯空咴斐伞跋热霝橹鳌钡母拍?，對后續(xù)相關(guān)APT樣本的分析直接按照ATT&CK框架思路進(jìn)行溯源，炮制更多所謂“中國黑客”攻擊的報告及言論。

4 結(jié)語

據(jù)國家計算機(jī)病毒應(yīng)急處理中心報告顯示，在近年里，美國國家安全局下屬“特定入侵行動辦公室”(TAO)對中國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實施了上萬次的惡意網(wǎng)絡(luò)攻擊，控制了數(shù)以萬計的網(wǎng)絡(luò)設(shè)備，竊取了超過140GB的高價值數(shù)據(jù)[7]。 此外，2018年起，美國網(wǎng)絡(luò)司令部還通過“前出狩獵”(hunt forward)行動，將精銳的網(wǎng)絡(luò)作戰(zhàn)部隊派遣到國外，采用積極的搜索方式，以發(fā)現(xiàn)和識別對手的網(wǎng)絡(luò)活動，進(jìn)行主動攻擊。但諷刺的是，美國一邊對外頻頻發(fā)動網(wǎng)絡(luò)攻擊，一邊卻憑借自身在網(wǎng)絡(luò)空間的先手優(yōu)勢，利用“APT溯源”等為武器，占據(jù)言論高點給別國扣上“網(wǎng)絡(luò)安全威脅”的帽子，同時通過標(biāo)準(zhǔn)的建立，意圖將該領(lǐng)域話語權(quán)牢牢掌握。在數(shù)字時代，網(wǎng)絡(luò)空間攻防并不僅是技術(shù)層面的對抗，而是人與人之間、組織與組織之間、國與國之間全方位、體系性、持續(xù)性的對抗。習(xí)近平總書記指出，大國網(wǎng)絡(luò)安全博弈，不單是技術(shù)博弈，還是理念博弈、話語權(quán)博弈。未來我們應(yīng)更重視“APT溯源”能力的建設(shè)及投入。對內(nèi)，我們可集成關(guān)鍵基礎(chǔ)設(shè)施、業(yè)界及學(xué)界等力量，在提升APT溯源能力的同時，建立屬于我們自己的標(biāo)準(zhǔn)及知識庫。對外，應(yīng)打破美國在網(wǎng)絡(luò)空間“一言堂”的現(xiàn)狀，如在聯(lián)合國框架下設(shè)立國際公認(rèn)的溯源機(jī)制，或推動國際社會成立公正的第三方機(jī)構(gòu)作為溯源參考，積極推進(jìn)網(wǎng)絡(luò)空間公正秩序的建立。