1、 美相关 APT 组织分析报告 360 数字安全集团 编制 目录目录 一、概述.1 二、APT-C-16（索伦之眼）.1 1组织归因分析.2 2攻击武器.3 3攻击案例.4 三、APT-C-39（CIA）.5 1组织架构.6 2组织归因分析.7 3攻击武器.10 3.1 Fluxwire（磁通线）后门程序平台.12 3.2 Athena（雅典娜）程序.12 3.3 Grasshopper（蚱蜢）后门程序.13 3.4 AfterMidnight（午夜之后）后门程序.13 3.5 ChimayRed（智美红帽）漏洞利用工具.13 3.6 HIVE（蜂巢）网络攻击平台.13 4攻击案例.14 四、

2、APT-C-40（NSA）.15 1组织架构.15 2组织归因分析.21 3组织代表武器.22 4攻击案例.27 五、总结.29 1 一、概述一、概述“APT”（高级持续性攻击）是一种针对性、隐蔽性、持续性极强的网络攻击行为。现已发现的绝大多数 APT 组织都具有国家或政府背景，相关攻击行为通常由某个与特定国家政府关联的实体机构具体实施。APT 攻击的主要目标不是普通个体，而是特定的组织机构，包括政府、大学、医疗、企业、科研甚至重要信息基础设施运维单位等不同类型的重要机构。过去数年，360 公司持续跟踪美国 APT 组织及其活动情况，发现美国顶尖 APT 组织对全球各国（包括美国盟友）的政府机

3、构、重要组织和信息基础设施实施了复杂、精密、持续性的 APT 攻击行动。本报告针对美国代表性 APT 组织架构、攻击武器、实施过程等展开分析，并结合真实案例，全面印证了美 APT 组织凭借高度自动化、工程化的先进网络武器装备发起无差别网络攻击，给全球带来无穷的安全隐忧。二、二、APT-C-16（索伦之眼）（索伦之眼）索伦之眼（ProjectSauron）组织，又名 Strider、Sauron、APT-C-16、神行客，最早活跃于 2011 年，并一直活跃至 2016 年 8 月。根据英国 每日邮报 媒体报道，该组织攻击过的目标包括中国、俄罗斯、比利时、伊朗、瑞典、卢旺达等 30 多个国家，以

4、窃取敏感信息为主要目的。受该组织攻击的机构包括国防部门、大使馆、金融机构、政府部门、电信公司、军事和基础设施领域以及科技研究中心等。2 1组织组织归因分析归因分析 2016 年 8 月，赛门铁克公司披露了一个针对中国、俄罗斯等国家发动高级攻击的 APT 组织。随后，卡巴斯基也发布报告，针对该组织披露了更多详细分析资料。因在分析追踪文件时，发现其代码中带有 Sauron 字符，所以命名为索伦之眼（Project Sauron），其不仅是一个顶级黑客组织，而是一个拥有精密技术的顶级间谍模型平台。经比对分析，确认该组织与 360 高级威胁情报中心独立截获的境外 APT 组织 APT-C-16 为同一

5、组织。在 360 长期跟踪并对索伦之眼组织行动进行归属分析过程中，发现其与美国几大关联证据：证据一证据一、惯性语言的使用、惯性语言的使用暴露所属国家暴露所属国家：索伦之眼组织攻击过程使用的语言、代码文本、关键模块输出均为英文。此外，索伦之眼在模块开发中使用“cruft”单词，该词语很少被非母语人士使用。其首次出现约在1958年，常被麻省理工学院（MIT）科技铁路模型俱乐部（TMRC）的学生们用在“垃圾”的意义上。证据二证据二、关键技术特征与美制造的恶意病毒存在相似：关键技术特征与美制造的恶意病毒存在相似：索伦之眼组织攻击目标时使用了一种名为“Remsec”的高端恶意软件。而 Remsec 被发

6、现与 2012 年 5 月卡巴斯基首次发现的超级电脑病毒 Flame 病毒(火焰病毒)存在诸多技术相似点。Remsec 与 Flame 病毒的技术上的相似点包括：都采用 Lua 模块编写木马;盗取数据的方式多种多样;木马程序异常复杂;使用多种加密技术和数据传输技术;木马本身具有安全删除文件的能力;具备隔离网络文件窃取能力;受害者大多具有政治因素。卡巴斯基、赛门铁克、360 公司相关技术报告研判的互相印证表明：Remsec 与 Flame 病毒疑似是师出同门，是由美国政府研发或资 3 助开发用于对伊朗等国家发起网络攻击的尖刀利器。2攻击武器攻击武器 索伦之眼攻击目标所使用的 Remsec 恶意软