美國的APT溯源技術及其網絡空間安全博弈策略分析

林曉昕 周盈海 田志宏

1 廣東省信息安全測評中心 廣州 510000

2 廣州大學網絡空間安全學院 廣州 510006

引言

2022年6月，西北工業大學曾發布聲明，稱有來自境外的黑客組織和不法分子向學校師生發送包含木馬程序的釣魚郵件，企圖竊取相關師生郵件數據和公民個人信息[1]。9月5日，國家計算機病毒應急處理中心和360公司分別發布了關于西北工業大學遭受境外網絡攻擊的調查報告，指出美國國家安全局(NSA)下屬的“特定入侵行動辦公室”(TAO)多年來對我國國內的網絡目標實施了上萬次惡意網絡攻擊。西北工業大學亦是美國攻擊的受害者。多年來，我國一直是美國高級持續性威脅(APT)的重點攻擊對象，不但經受美方網絡攻擊， 還要時常被美方以所謂APT“溯源”(Attribution)結果污蔑為發起網絡攻擊的“惡人”。近年來，美國依仗自身技術能力形成的APT(高級持續性威脅)領域“單向透明”的優勢，將APT變成其在技術上以及輿論場上與中國博弈的利器。

1 美國拋出高級持續性威脅概念，打造網絡空間話語體系

1.1 高級持續性威脅(APT)概念的由來及含義

對于高級持續性威脅(APT)一詞的由來，當前許多文獻都援引知名網絡安全戰略專家理查德·貝伊特利希(Richard Bejtlich)的觀點，指該詞是2006年由美國空軍(USAF)分析師創造，彼時用于促進與未獲授權的民用同行在不透露機密身份的同時討論攻擊特征[2]。在2020年10月，貝伊特利希在其個人博客“TaoSecurity”中，對這一說法進行了訂正和完善。他明確表示，這一術語是由時任美軍上校格雷戈里·拉特雷(Gregory Rattray)在2007年發明的。拉特雷2020年10月9日在其推特賬號中寫道：“早在2007年，我就創造了‘高級持續威脅’這個術語，來描述我們需要與國防工業基礎合作應對的新興對手……從那時起，APT這個術語和我們對手的性質都發生了變化。沒有改變的是，在網絡空間中，先進的攻擊者會不斷地追逐擁有他們想要的資產的目標，不管防御力量有多強。”[3]當前，APT主要指一種隱蔽的威脅行為者，通常是由國家支持的團體，未經授權訪問計算機網絡并在很長一段時間內未被發現。如此前全球聞名的“震網”病毒，就是美國國家安全局在以色列協助下針對伊朗核設施發起的APT攻擊。隨著技術的發展，當前該術語亦包括非國家資助的團體，為特定目標進行大規模的有針對性的入侵。綜合學者及業界分析，組成APT的三個詞具備以下含義。

高級(Advanced)，指的是實施威脅的人或團體擁有全面的信息搜集技術，其中包括商用工具、開放源碼的黑客技術、國家的情報設備等。

持續性(Persistent)，意味著攻擊者有明確的目標，而不是投機取巧地尋求信息以獲得經濟或其他利益。APT通常使用“低速且緩慢”的方法，而不是一連串的持續攻擊和惡意軟件更新。APT 提供的對目標的長期訪問可能對攻擊者更有利，因此保持不被發現對于成功至關重要。

威脅(Threat)，表現在APT擁有強大的能力和明確的意圖。相比通過無意識和自動化的代碼片段來執行攻擊，APT攻擊通過組織一些高水平的技術人員通力合作來實施威脅[4]。 因此，APT攻擊的發起者往往是目標明確、技術嫻熟、組織周密且資金充足的團隊，包括但不限于有國家背景的團體。

綜上，APT不僅是一種攻擊技術，更是一種攻擊理念。為達成這種理念，一是需要全方位的情報和設備支撐，這種支撐通常來自于國家。二是攻擊行動不會一蹴而就，通常會有較長潛伏和探索期，確保最后一擊即中，具有高度隱蔽性。三是這種行動通常需要攻擊者之間圍繞共同目標協調一致，多重手段配合。

1.2 APT概念助美升級網絡空間攻防理念

美拋出高級持續性威脅(APT)這一概念，客觀而言，促進了其國內網絡安全建設朝著更加體系化的方向前進。APT概念的提出，使美國提高了對網絡攻擊的認知水平，把對網絡威脅的理解從僅限于黑客、木馬病毒等微觀層面，上升到了防范由國家或有國家背景的團體操控的、大規模的網絡攻擊的宏觀層面，推動了美政府從頂層設計出發持續完善國內防御體系，使網絡安全防范更加系統化制度化。但從美國政府對外行動看，其更強調APT在大國博弈方面的作用。通過所謂“APT溯源”，美國制定了一套抹黑對手的策略，包括利用輿論宣傳、司法起訴等手段，為其在對外博弈中占據優勢地位及輿論高點，并逐步拉攏盟友，建立起自己的網絡空間話語體系，以將網絡空間變成其“一言堂”。

2 美近年以APT溯源為重要抓手與對手展開博弈

針對美在APT溯源方面采取的手法，據觀察，可大致分為三個階段。在2014年前，以安全企業溯源報告為主要方式。在2014年至2017年間，美政府部門下場，在安全公司溯源報告基礎上，針對實體發起司法指控。2017年至今，美通過新聞媒體、民間博客等非官方渠道曝光更多APT組織相關細節，同時其他國家亦在美方基礎上開展新的溯源。

2.1 第一階段，以安全企業溯源報告為主要方式

2014年前，美方在APT溯源層面，以安全企業為主力軍。雖然安全企業會間歇性發布一些報告，但由于彼時傳播渠道的局限及網絡空間概念亦處于成型階段，并未形成體系性成果及造成大范圍影響。這一階段可謂是美探索溯源作用的階段，由安全企業出面充當“打手”，將深層國家目的隱藏在商業行為背后。當時美方公布的較為知名的涉APT報告包括“泰坦雨”(Titan Rain)、“極光行動”(Operation Aurora)及“暗鼠行動”(Operation Shady RAT)等。2005年8月，美國防部稱名為“泰坦雨”的黑客攻擊了美國政府。同年11至12月包括《時代》雜志在內的多家外媒刊登文章，披露桑迪阿國家實驗室分析員肖恩·卡彭特(Shawn Carpenter)追蹤黑客的經過。這亦是美方首次嘗試對外披露其捕捉APT的行動。2010年初，谷歌(Google)決定退出中國大陸。1月上旬，谷歌官方博客披露了名為“極光行動”(Operation Aurora)的APT事件，宣稱遭到中國黑客襲擊，并將與中國政府進行談判，為其退出中國大陸的行為造勢。2011年8月，安全廠商邁克菲(McAfee)發布關于“暗鼠行動”(Operation Shady RAT)的報告，稱之為“有史以來最大宗的黑客行動之一”，并在報告中稱“該行動是2008年夏季奧運會期間針對各個運動監管機構‘可能將矛頭直指入侵背后’的國家行為”，將外界目光引向中國。美通過APT溯源進行栽贓陷害，輔助國家博弈的戰術已初具雛形。

2.2 第二階段，美政府通過司法指控加強溯源可信度

美國前國防承包商員工斯諾登在2013年6月向英國《衛報》及美國《華盛頓郵報》透露了美國國家安全機構“棱鏡計劃(PRISM)”的機密文件，引發全球關注，美“監控大國”形象一時深入人心。或為扭轉該事件對美國造成的國際輿論影響，美司法部在2014年直接起訴了5名“中國黑客”，意圖在全球范圍內再塑造一個“黑客大國”，分攤在美身上的注意力。這一事件亦成為美在APT溯源領域的重要分水嶺，國家博弈正式進入了這個領域。美國司法部在2014年5月19日，以美國安全公司曼迪昂特(Mandiant)在2012年2月發表的《APT1:揭露中國網絡間諜單位之一》(APT1：Exposing One of China's Cyber Espionage Units)報告為重要依據，對5個中國官員以所謂網絡竊密為由提出了指控。這是美國聯邦調查局2010年建立“網絡最想逮捕名單”(Cyber's Most Wanted)以來，第一次將他國官方人員列入名單。通過司法起訴書“坐實”企業APT溯源內容，并針對他國官方人員發起司法行動，美這一操作模式擴大了其APT溯源結論的傳播力度，成為其利用溯源加強網絡空間威懾，污名化他國的重要手段。

2.3 第三階段，通過隱私曝光及盟友合作提升溯源威懾力

2017年，美國再次升級了其溯源威懾手段。一個名為“入侵真相”(Intrusion Truth)的匿名博客橫空出世。該博客目標直指中國，以曝光所謂“中國APT”任務。相比安全公司報告更注重呈現溯源的技術過程，該博客的內容則以似是而非的語言，著重曝光部分中國科技企業員工的私人信息，如QQ、網絡論壇等社交媒體的賬號信息，以及一些日常生活照片等，以此展現美方的信息挖掘能力，意圖震懾民間技術人員。此外，這一階段，其他國家亦跟進了美國的溯源步伐。據不完全統計，從2014年至今，美西方政府、安全公司、媒體在互聯網上發起了近300次對所謂中國APT團隊的溯源及指控。值得注意的是，從2018年起，包括加拿大、捷克、斯洛伐克、法國、德國等更多國家的公司或組織開始加入溯源“中國黑客”的行動。而這些公司曝光的團體，很少超越美此前提供的范圍，基本都是在美已溯源的APT團體基礎上，進行再次曝光。究其原因，除了有美盟友政治上的配合外，亦與美已將其APT溯源的手段標準化并在全球推行有關。

3 美建立APT溯源標準，全球影響廣大

美國在APT溯源領域建立的優勢，歸根到底取決于其近年來在威脅情報共享及溯源標準化方面的持續努力及進展。

3.1 創建“網絡威脅框架”，為整合威脅情報創建統一標準

威脅情報在推動安全事件快速響應方面具有重要意義。作為世界上最早從事網絡安全威脅情報工作的美國，從布什政府時期就對網絡威脅與情報的聯系給予了高度重視。美情報界認為，在網絡威脅情報共享時面臨的一大挑戰表現在，當傳遞威脅信息時，各部門機構均使用自己的術語或定義來描述和呈現威脅，這使得美情報界的整合分析及共享工作變得復雜。為解決這一問題，美國情報總監辦公室(ODNI)自2012年以來開展跨部門合作，旨在創建一個通用的網絡威脅框架，以統一的方式描述網絡威脅信息，促進信息共享。通過持續與工業界、學術界以及外國合作伙伴進行對話，2018年7月，情報總監辦公室公開發布了一份通用的《網絡威脅框架》(Cyber Threat Framework)[5]。《網絡威脅框架》是一種通用模型或方法，其將多個模型映射到一個共同的標準，以對網絡威脅事件進行統一描述和分類，為后續分析特定活動提供支持，并為評估網絡對手活動趨勢和識別漏洞奠定基礎。該框架適用于從政府決策者、私營部門領導到網絡安全和信息技術專家等多個受眾，為組織內技術專家和管理層之間的有效溝通奠定了基礎，支持知情決策并與其它組織共享威脅信息。網絡威脅框架可以幫助各組織更好地了解其所面臨的網絡問題，同時為各組織提供預防或恢復建議，以幫助各組織先發制人地加強網絡態勢感知。自2013年以來，網絡威脅框架一直是美國政府網絡事件響應模式的基礎。2018年美國行政管理和預算局(OMB)在各行政部門中優先實施了該框架。目前該框架還被用于情報總監辦公室、國土安全部(DHS)、聯邦調查局(FBI)的威脅情報產品中，且被映射至美國國家標準與技術研究院(NIST)的網絡安全框架。美情報界還持續與各行業及學術界共享該框架，將其納入多所高校的課程和研究中。此外，框架也逐漸被其他國家和國際組織認可。美情報界已與40個合作國家和國際組織共享框架，其中部分國家和組織已經采納，并正將其用于創建一個區域性通用的作戰圖像和促進信息共享，例如，用于北約不斷更新的網絡防御戰略的“威脅描述”中。

3.2 制定網絡溯源指南，為APT攻擊溯源提供“模板”

2018年9月14日，美國家情報總監辦公室在網上發布了《網絡溯源指南》(A Guide to Cyber Attribution)[6]，該指南由負責網絡情報的國家情報官員撰寫，介紹了情報界在面對不完整或相互矛盾的信息時如何識別惡意網絡行動的發起者。美情報界聲稱，目前的溯源方法已可使情報人員在事故發生的數小時內確定攻擊源頭，盡管溯源的準確性和可信度會根據可用數據的不同而有所差異。在指南中，直接表明了攻擊源可主要在俄、中、朝、伊四國及非國家組織或個人中進行預判，因為在美近年來發布的網絡空間相關戰略和威脅評估中，都將這五大行為體列為主要威脅來源。指南還確立了五個關鍵指標來對溯源進行指導。這五個指標分別是間諜情報技術(TTPs)、基礎設施、惡意軟件、意圖判定和外部資源。其中外部資源包括安全公司、智庫、媒體等提供的報告。在確立了關鍵指標后，面對攻擊行為，指南還提出了輔助溯源的最佳方法，包括尋找人為失誤，及時協作、共享信息和記錄，采用情報分析技術等。美方發現，幾乎所有的成功網絡溯源都源于發現和利用攻擊者的操作安全錯誤，如使用重復的情報間諜技術、相同的基礎設施，或是在攻擊過程中泄露了語言習慣等。同時，美一直致力于推動網絡威脅信息的共享與合作，網絡威脅框架的出臺就是其中很好的體現。目前美在政府和私企之間、行業之間都建立了較完善的共享體系，使得美在網絡事件發生后二十四小時內獲取、記錄和恢復數據成為可能，為溯源分析提供了優良的樣本。

3.3 推出ATT&CK框架，打造知識庫塑造話語權

由美國國家標準與技術研究院資助的美國非營利組織MITRE在2013年發起了MITRE ATT&CK框架，建立了一套“對手戰術及公共知識庫”。該框架是MITRE米德堡實驗(FMX)的結果，在該實驗中，研究人員模擬了對手和防御者的行為，以通過遙測傳感和行為分析來改善對威脅的入侵后檢測。研究人員的關鍵問題是“我們在檢測記錄的對手行為方面做得如何”。為了回答這個問題，研究人員開發了ATT&CK框架，它被用作對對手行為進行分類的工具。當前，MITRE ATT&CK在全球范圍內用于多個領域，包括入侵檢測、威脅追蹤、安全工程、威脅情報、紅隊和風險管理。據國內一些安全媒體報道，該框架在網絡安全研究者中廣受歡迎。自2018年10月以來，根據Google趨勢顯示，對MITRE ATT&CK的搜索熱度顯著增長。而在ATT&CK框架的“組織”(Groups)一欄中，我們可以看到133個攻擊團體和組織的細節，包括他們正在使用的技術和工具。并對某些團體，直接歸因為中國、朝鮮、俄羅斯、伊朗等國背后支持的團體。隨著MITRE ATT&CK的普及，這或對未來的安全研究者造成“先入為主”的概念，對后續相關APT樣本的分析直接按照ATT&CK框架思路進行溯源，炮制更多所謂“中國黑客”攻擊的報告及言論。

4 結語

據國家計算機病毒應急處理中心報告顯示，在近年里，美國國家安全局下屬“特定入侵行動辦公室”(TAO)對中國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了數以萬計的網絡設備，竊取了超過140GB的高價值數據[7]。 此外，2018年起，美國網絡司令部還通過“前出狩獵”(hunt forward)行動，將精銳的網絡作戰部隊派遣到國外，采用積極的搜索方式，以發現和識別對手的網絡活動，進行主動攻擊。但諷刺的是，美國一邊對外頻頻發動網絡攻擊，一邊卻憑借自身在網絡空間的先手優勢，利用“APT溯源”等為武器，占據言論高點給別國扣上“網絡安全威脅”的帽子，同時通過標準的建立，意圖將該領域話語權牢牢掌握。在數字時代，網絡空間攻防并不僅是技術層面的對抗，而是人與人之間、組織與組織之間、國與國之間全方位、體系性、持續性的對抗。習近平總書記指出，大國網絡安全博弈，不單是技術博弈，還是理念博弈、話語權博弈。未來我們應更重視“APT溯源”能力的建設及投入。對內，我們可集成關鍵基礎設施、業界及學界等力量，在提升APT溯源能力的同時，建立屬于我們自己的標準及知識庫。對外，應打破美國在網絡空間“一言堂”的現狀，如在聯合國框架下設立國際公認的溯源機制，或推動國際社會成立公正的第三方機構作為溯源參考，積極推進網絡空間公正秩序的建立。