誰家的黑客，對我們的核機密這麼感興趣？

GIF

暗網、黑客、國際網路間諜、網路戰……這些辭彙本該離吃瓜群眾很遙遠，卻又有種莫名的吸引力。

前些天，有人發來一份網路安全分析報告，一份看似稀鬆平常的 Word 文檔，可剛翻到封面，我的好奇心一下子被撩起來……

它的封面是這個樣子：

這是一份國際網路黑客組織報告，業內通稱「APT報告」。

所謂APT，全稱是「高級持續性威脅」（Advanced Persistent Threat）。

高級，既指目標高端，通常是政府要員、公司高管之類；也指水平高超。

持續性，短則十天數月，長則十年八載甚至不惜一切代價也要拿下。

譬如 「永恆之藍」 漏洞的始作俑者「方程式組織」，以及被懷疑干涉美國選舉的 「APT28」組織，都可稱之為 「APT組織」。

而這次披露的黑客組織，據說長期關注我國核工業和科研領域，首次發現於2011年，持續活動了整整8年，至今仍有活動跡象……

在幺哥的認知里，這是個典型的APT組織。

我很好奇，問對方：「這個組織你們是剛剛發現的嗎？」

對方的回答是：「針對該組織的大部分活動，3年前就已經寫好了報告，只不過由於種種原因，最近才重新整理並發布出來。」

正如他所說，這是一份「舊」報告。但它就像是一壇陳釀，一筒捲軸，年頭越久越讓人著迷。

我將展開這筒捲軸，並儘力講得通俗易懂，將一個真實的APT組織還原在你的面前……

（一）步步驚心

2018年4月8日，博鰲亞洲論壇年會在海南召開，主題為「開放創新的亞洲，繁榮發展的世界」，全球政界、商界、學界和媒體界知名人士匯聚。

老王剛從海南參會回來，就收到了一封來自博鰲亞洲論壇秘書處的感謝信。

發件人：博鰲亞洲論壇秘書處

郵件內容很簡單，大意是：

尊敬的貴賓，博鰲亞洲論壇周秘書給您寫了一封感謝函，感謝您對本次會議的支持，祝順利。

博鰲亞洲論壇秘書處

2018年4月13日

「秘書處還挺周到，還發了感謝信。」 老王呢喃道。

他不知道，這封所謂的「感謝函」，是黑客的釣鉤。會議才剛結束幾天，黑客們又行動了。

這是一次常規操作——魚叉式釣魚，但內容精細，手法嫻熟。

收到「參會感謝信」郵件的這些人，確實剛參加完會議，而論壇的秘書長也確實姓周。

郵件附件是一個RAR壓縮包文件，一旦點開裡頭的 LNK 文件，計算機隨即中招，受害者立刻淪為黑客長期監控的對象。

除了這種針對特殊會議活動的攻擊，這幫黑客組織也有一些日常的釣魚操作。

比如下面這個文檔來自一封魚叉郵件的附件：

乍一看，圖標和文件後綴名都是Word文檔，常人不加思索就會點開。可其實它是一個木馬文件。

攻擊者用了一種RLO控制符來顯示中東文字，而中東文字恰恰從右到左顯示，由此木馬文件的真實拓展名 RCS 被隱藏。

當受害者打開文件的瞬間，木馬執行。此時更細膩的操作來了，為了不讓受害者生疑，木馬會釋放出一個詳細內部通訊錄文件。

這個通訊錄，每一條都是真的，是黑客事先從別的地方偷來的。

顯然，攻擊者在發起攻擊之前，顯然已經充分了解目標，準備好了一切物料。

除了將木馬偽裝成通訊錄，有時也會偽裝成智庫文件、賀卡之類的文件。

釣魚郵件是所有黑客的慣用伎倆，相當於武術里最普通的一拳一腳。

但真正的高手，未必舞刀弄槍大張旗鼓。往往只是最簡單的一招就置人於死地。

關鍵在於快、准、狠，黑客亦是如此。

GIF

（二）危機四伏

在長達八年的時間，類似事件陸續發生。僅根據360追日團隊已掌握的情況，就多達10次。

出於保密不便提及具體單位，各位淺友可以快速瀏覽一下：

1）2011年3月，首次發現與該組織相關的木馬，針對政府相關機構進行攻擊。

2）2011年11月，對某核工業研究機構進行攻擊。

3）2012年1月，對某大型科研機構進行攻擊。

4）2012年3月，對某軍事機構進行攻擊。

5）2012年6月，對國內多所頂尖大學進行攻擊。

6）2013年6月，對某中央直屬機構進行攻擊，同時開始使用新類型的RAT（木馬、後門的統稱）。

7）2014年8月，發現該組織使用5種以上的橫向移動惡意代碼針對重點目標機構進行大量橫向移動攻擊。

8）2014年12月，發現新的RAT，我們將其命名為Bfnet，該後門具備竊取指定擴展名文檔等重要功能。

9）2015年9月，針對多個國家的華僑辦事機構進行攻擊。

10）2018年4月，針對國內某重要敏感金融機構發動魚叉郵件攻擊。

依據報告，這個名叫「藍寶菇」的 APT 組織重點關照北京、上海以及海南地區，最早的行動可追溯到2011年。

他們對中國大陸境內政府、軍工、科研、金融等重點機構都進行過持續的網路間諜活動，其中教育科研機構佔主要。

但最主要的，他們非常非常關注核工業和相關科研情況。

在捕獲到的惡意樣本中，安全人員發現一串被黑客組織用來當密碼的字元：NuclearCrisis，（核危機）。

「為什麼一個關注核的APT組織，主要的目標不是國防機構，而是教育科研？」我問裴博士。（註：裴博士是360行業安全研究中心主任裴智勇）

他告訴幺哥：

「原因很簡單，潛入科研機構比潛入軍事機構簡單得多，科研機構的研究者，雖然都是專家，但單就網路安全防護方面的技術能力，其實跟小白用戶沒多大區別，但又掌握著重要的研究成果，所以自然就成了「藍寶菇」的重點關照對象。

我：藍寶菇這名字聽起來有些滑稽，讓人聯想到已經過氣了的「香菇藍瘦」梗。為什麼APT組織叫這個名字？

裴博士：其實，藍寶菇這個名字是 360 公司給起的。

他說，按照慣例，誰最先發現的的APT組織（並發出報告），就可以命名該組織。

但也不乏重複命名的情況。比如涉嫌干擾美國選舉的俄羅斯黑客組織，有的報告里管它叫 APT28、有的管它叫 Fear Bear （奇幻熊），還有叫其他名字的。

後來才發現，原來是同一伙人！

我：「所以本質上來說，你認可誰家的報告，就按他報告里的名字叫，是這樣嗎？」

裴博士：「dei。」

裴博士告訴幺哥，360 對 APT組織的命名其實很講究。

「哪怕報告里的一個字你都沒看過，單憑名字就能判斷出APT組織的大致情況。」

他說目前360把APT攻擊分成三種：境外（組織）打境外、境外打境內、境內打境內。

對應的命名方式是幻獸系（動物）、魔株系（植物）和超人系（人體器官）

境外打境外就用動物表示，比如「美人魚」、「人面獅」、「雙尾蠍」等等。

按照他的說法，我自己上網查了查公開資料，發現了其中的「小秘密」：

「美人魚」APT組織主要攻擊的是丹麥外交部，而美人魚最早出自丹麥童話；

「人面獅」APT組織活躍在埃及和以色列地區，而人面獅身像是埃及的象徵；

「雙尾蠍」針對巴勒斯坦和以色列的有關機構，而傳言雙尾蠍就存在於中東地區……

境外打境內用植物來表示，比如「海蓮花」、「摩訶草」。

幺哥我?去網上查了查資料，發現「海蓮花」APT組織主要針對我國海事部門，並且有證據表明黑客可能位於越南，而越南的國花正是蓮花。

（以上圖片為搜索引擎檢索到的公開資料，未經證實僅供參考）

第三類是境內打境內，用人體器官表示，比如有個叫「黃金眼」的APT組織，就是長期從事敏感金融交易信息竊取活動的境內黑客組織。

那麼，這次發現的「藍寶菇」APT組織是哪個地區的組織？

報告里沒提，360追日團隊和裴博士也不願說，各位淺友不妨根據上面說的方式自行推測一下。

我問裴博士：老師老師， 境外打境外、境外打境內、境內打境內都有了，那境內打境外的怎麼命名呢？

他指著我說：這位同學，請你出去。

（三）「蘑菇」也在生長

裴博士說，「並非每個黑客團伙一上來就是頂尖高手，他們很可能也是一路升級成高級團伙的。」

他把黑客團伙劃分成四個階段：

初學乍練：大量使用民間別人的代碼和工具，不懂隱藏自己，時而進行測試；

廣泛撒網：為了尋找目標，開始大面積搜尋，開始使用漏洞自己製作工具；

收縮攻擊：找到特定目標後，縮小攻擊面，開始針對性做攻防對抗，開始使用 0day 漏洞；

無形攻擊：累積了大量0day漏洞和武器庫，但攻擊隱於無形，就像從未發生過。

我：這世上真有隱於無形的黑客攻擊嗎？

裴博士：大概率有，比如 WanaCry 勒索軟體利用的 「永恆之藍」漏洞，方程式組織早就掌握了，但這些年裡，這個漏洞到底被用來攻擊了誰，很少有人能說清楚……什麼也沒幹過？不太可能。

我：……

回到藍寶菇的話題。

根據追日團隊捕獲到的線索，2011年藍寶菇第一次作案時，處於「初來乍練」階段，如今手法日漸長進，工具愈發高端，已經進入了第三個「收縮攻擊」階段。

期間，他們明顯經歷了三個成長階段：

第一階段是2011-2012 年，該組織主要用到的攻擊木馬是 Poison Ivy（一款專用的遠程控制木馬）。

第二階段是2013-2014年，彼時 Poison Ivy雖然仍在繼續使用，但很明顯被升級到了幾個全新的版本，功能、隱蔽性和對抗性都有強化。

第三階段是2014年三季度--2015年，藍寶菇的行動開始大量進行橫向移動攻擊，這可以看做是攻擊一個目標成功並且轉向周圍其他目標的標誌。

並且，從2014年底開始使用 Bfnet 後門，除了利用看似無害的可執行文件來執行惡意載荷，還會針對常用辦公軟體 WPS 的程序進行專門攻擊，意圖明顯。

八年里，「藍寶菇」對抗殺毒軟體和虛擬機的技術也日益增長。

「木馬執行後首先判斷系統中是否有相關殺毒軟體進程，以及自己是否身處虛擬機，然後根據情況來決定刪除可能觸發告警的代碼，還是原計划進行。

甚至，他們還製作了一堆功能插件，根據被感染者的不同身份來定向投放，看人下菜碟（插件），比如：

有的用來拷貝辦公常用的文件，諸如：PDF、DOC、DOCX、XLS、WPS、PPT、ZIP、RAR等；

有的用來查看同一區域網內的其他設備的網路信息，包括計算機名、MAC地址；查看遠程計算機服務及狀態，並且嘗試傳輸一些惡意代碼。

有的則用來盜取Outlook辦公軟體的密碼。

甚至，還有專門的後台截圖工具，用來獲取用戶當前的屏幕信息……

我很好奇：360追日團隊是怎麼發現好幾年前的黑客作案痕迹的？

裴博士說，利用大數據分析，「挖墳」。

他說，很多年前360 就開始積累攻擊樣本分析數據，但當時並不能完全理解每一項數據的所有意義。直到360開始搭建開始搭建威脅分析系統，這時他們才發現這些舊數據的價值。

「5年前同一個木馬連過哪些伺服器，同一個組織在這5年里攻擊過哪些不同目標，這些目標之間有什麼關聯，同一個工具又曾被哪些組織用過，泄露出來的惡意代碼是否相似……這些舊數據一下子全都關聯了起來。」

GIF

「就像是抓住一串葡萄的把，輕輕一扯就全出來了。」 裴博士說。

回想起來，很可能2011年前後藍寶菇組織的隱藏能力並不強，曾暴露過一些線索。過了這麼多年，或許他們自己也沒料到，當年他們留下的蛛絲馬跡竟會被重新揪了出來。

這種尷尬，恐怕無異於自己多年前留在QQ空間的非主流殺馬特照片被翻了出來。

（當年的某個殺馬特巨星）

跟裴博士聊完，我發現傳說中的APT組織並沒有想像中神秘。他們也是一個個坐在電腦前，活生生的人，但他們又確實神出鬼沒，防不勝防，以至於人們不得不處處提防，步步謹慎。

所幸，有那麼一群安全研究者在我們看不到的地方與之戰鬥，竭力將其他們擋在我們視野之外。

於是我們這幫吃瓜群眾才能若無其事地討論、八卦暗網、黑客組織、網路間諜那些事兒。

未來會不會爆發網路戰，幺哥不清楚。但我能確信，黑客之於物理世界的影響必將越來越大，干涉選舉、盜取機密信息，恐嚇勒索……未來類似「藍寶菇」這樣的事必然還會發生，也還會有更精彩的黑客攻防故事。

淺黑科技也願意成為這些真實事件的記錄和解讀者，把背後的精彩呈獻給大家。

未來我會持續輸出更多相關知識和解讀，歡迎關注淺黑科技~

不想走丟的話，請關注【淺黑科技】！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！