【APT报告】360发布APT年度报告，披露高级网络威胁四大趋势

报告下载：《2016中国高级持续性威胁（APT）研究报告》PDF

《2016中国高级持续性威胁（APT）研究报告》

近日，360威胁情报中心发布《2016中国高级持续性威胁（APT）研究报告》，详细披露了过去一年全球与中国的高级网络威胁的状况。

报告认为，高级网络攻击已经对基础设施、金融系统，乃至地缘政治造成重大影响。这主要表现几个重大事件： 乌克兰电网因网络攻击而出现大面积停电，全球多家金融机构因黑客攻击而遭受经济损失，中国则遭遇摩诃草、索伦之眼等境外APT组织攻击。最引发关注的则是美国大选期间，美国民主党遭遇的高级网络攻击，因此泄露的信息直接影响美国大选结果，令希拉里落败。

高级网络攻击日益猖獗，影响巨大，成为全球安全机构的研究目标。在2016年，全球各地安全机构展开了大量关于APT的专业研究。截至2016年12月，360追日团队共监测到全球41个安全机构发布的各类APT研究报告100份，涉及相关APT组织43个，被攻击目标国家38个。

APT攻击领域主要集中在政府、金融、大型企业、军事机构，以及教育科研机构。其中，无论是相关研究报告数量，还是攻击组织数量，中国是全球遭遇APT攻击最多的国家。

 全球APT研究关注被攻击国家排行

报告目录

当前的APT攻击呈现四大特点与趋势

结合境内网络安全监测与全球APT前沿研究成果，360威胁情报中心认为，当前的APT攻击呈现四大特点与趋势。

一、网络空间已成为大国博弈的新战场

报告指出，2016年美国DNC邮件泄漏直接影响美国大选结果的事件，充分说明：网络空间已经成为大国博弈的新战场。

根据媒体披露，俄罗斯实际上是综合使用了网络攻击、媒体传播、政治渗透、商业影响等多种手法，系统性的干预了美国大选。这次 “干预”行动本身的成功，使人们有理由相信：未来几年内，类似的，将网络攻击手段与其他手段相结合，对目标国家的政治、经济、文化进行综合性影响APT行动一定会不断的增加。

近期媒体报道，法国政界人士怀疑俄罗斯网络间谍干预美国大选的情况在法国出现：距离法国总统选举还有十周之际，法国左翼政党——前进党候遭到网络袭击，导致网站瘫痪。类似的袭击在1个月内已经发生了4000次。再次验证大国已逐步习惯通过网络空间博弈，影响目标国的政治走向。

从另外一个角度看，公开其他国家对本国的网络攻击事件，也可以成为本国政府对其他国家政府施加政治压力，以及进行政治、军事谈判的砝码。

综合来看，无论是发动APT攻击，还是披露APT攻击，均已成为了现代国际关系中，大国政治与战略博弈的重要棋子。整个网络空间就是大国战略博弈的新战场。

美国的遭遇也说明，即便是当今世界唯一的超级大国，在网络攻击面前也同样脆弱，其政治、经济、社会心态等各个方面都有可能受到网络攻击的深远影响。

二、 针对基础设施的破坏性攻击日益活跃

自从震网病毒被发现至今，针对基础设施进行破坏的网络攻击活动就一直没有停止。但是，真正有较大影响力的基础设施网络攻击事件其实一直并不太常见。更多的APT组织还是把窃取机密信息作为首要攻击目标。

不过，2015末至2016年以来，一系列针对基础设施的破坏性攻击被曝光，而且尤以工业系统和金融系统遭受的攻击最为严重：乌克兰停电事件，沙特Shamoon2.0事件，孟加拉央行被窃事件，台湾第一银行及泰国邮政储蓄银行ATM被窃事件，都属于非常典型的破坏性攻击。也正是由于这些破坏性攻击的存在，才使APT攻击更加引人关注。

报告认为，随着工业互联网及“互联网+”的快速发展，互联网技术的应用正在快速的从生活领域过渡到生产领域。这也就必然使更多联网的生产系统和基础设施面临巨大的网络安全威胁。

安全人士指出，特别让人担忧的是，很多领域的基础设施和生产系统的网络安全体系建设目前还基本为零，大量已知的安全漏洞长期得不到修复，系统严重缺乏升级、更新等运维管理。这使得很多基础设施和生产系统的安全隐患要远比终端设备大得多。

报告预计，在未来几年中，针对能源、交通、制造、金融、通信等领域的基础设的破坏性攻击仍将持续加剧，安全生产事故，甚至是安全生产灾难，随时都有可能大规模爆发。

三、针对特定个人的移动端攻击显著增加

报告显示，2016年，针对移动终端的APT攻击比往年显得更加活跃：摩诃草、蔓灵花等针对中国发动攻击的APT组织都被发现使用了移动端专用木马，既有适配安卓系统、也有适配苹果系统的。

客观而言，移动终端上存储敏感或机密文件的可能性要比PC终端小得多。因此，攻击PC端的APT专用木马也要比攻击移动端的专用木马多得多。但是，移动端也有其特殊的攻击价值，特别是攻击移动端客观上可以实现对设备持有者日常活动的贴身监测，并且能够获取目标人的关系网信息。

从一定意义上讲，针对移动终端设备发动的APT攻击，其真正的攻击目标往往即不是是移动设备本身，也不是单纯的几条敏感信息，而是移动设备背后的使用者——即被攻击的目标是人而不是物。三叉戟漏洞事件就是一个最典型的实例。

报告预计，未来以特定高价值人群或个体为目标的APT攻击还会持续增加，而他们所使用的智能移动终端设备就是主要方式。在针对移动终端的APT攻击中，社工手法和系统漏洞都将成为攻击者的主要武器。

四、一带一路与军民融合仍将是攻击焦点

报告还披露，根据2016年的全年监测显示：“一带一路”、“军民融合”等中国的战略方向，仍然是众多APT组织关注的焦点，相关组织主要包括海莲花、摩诃草、蔓灵花、APT-C-05、APT-C-12、APT-C-17等。这一趋势在未来几年都仍将持续。

事实上，如“一带一路”等超大型国家系统工程，往往是多学科，多领域合作工程，也是众多高新技术集中应用的工程，因此具有很高的攻击价值。同时，一旦这些国家级系统工程涉及到边疆地区建设、沿海工程建设、外交外贸等领域时，又必然会在政治、军事和经济层面引发周边相关国家的关注，从而进一步引发相关国家APT组织的攻击活动。

报告指出，从本质上讲，攻击者对“一带一路”、“军民融合”等大型国家系统工程的关注，事实上是对中国政治、军事以及高新技术情报的关注。而这些大型系统工程，也往往存在很多网络安全的薄弱环节，容易给攻击者以可乘之机。

报告下载：《2016中国高级持续性威胁（APT）研究报告》PDF