大国战争有两面，一面是传统战争—炮火，另一面是网络战争—APT。

而只要稍微总结一下你就会发现，近年来，APT攻击已成为争夺地球话语权的主流战争形态。

有这样一串案例：

今年开年，臭名昭著的朝鲜APT组织Lazarus锁定以色列国防公司，预谋窃取以方军事、商业机密，这也是Lazarus第一次攻击以色列实体组织；

同期，委内瑞拉遭受极为严重的网络打击，全境大面积断电断水，国民生产生活陷入瘫痪，国家接近崩溃边缘，嫌疑直指美国策划该攻击事件；

4月，外媒曝光俄罗斯背景组织APT28（Fancy Bear）攻击乌克兰2019年大选活动；

6月，《****》披露美国政府预加强对俄电网数字入侵。同月，阿根廷、乌拉圭等南美国家遭受网络攻击，大规模断电断网席卷南美；

7月，委内瑞拉再度因网络攻击上演大停电，这一次首都亦未能幸免，全境陷入“末日”一般的悲惨世界；

10月，乌克兰外交官、政府和军事官员以及执法部门人员，遭遇APT组织Gamaredon武器化文件定向打击；

11月，印度独立网络核电站Kudankulam遭遇疑似朝鲜APT组织Lazarus攻击，据传攻击已渗透至核心系统；

12月，IBM披露中东工业和能源行业，遭伊朗APT34（Oilrig）恶意数据擦除软件ZeroCleare的“摧毁型”攻击；

（2019年最为活跃的APT组织）

APT格局不断变化，但隐藏在APT攻击迷雾背后的，是国家间的博弈与较量。遵从“利益至上”内核逻辑，零日详细梳理2019年度APT攻击七大趋势，分享一家之言，有不同看法欢迎讨论。

一、APT与地缘政治同频

地缘政治上不可调和的矛盾，几乎是国家级APT攻击的起点。尤其是相邻力量之间“你死我活”的关系，使网络打击来得更加蛮横和不计后果。

比如，在局势高度紧张的中东海湾地区，伊朗APT黑客就频频向中东友邻“发福利”。从APT33、APT34（Oilrig）到MuddyWater等伊朗系组织，明中暗中小动作不断，而政敌沙特总能拿到头彩，今年沙特的石油国企、工业和能源部就屡次中招。

当然了，在伊朗老司机的带领下，叙利亚小老弟为了保国续命，也效仿大哥组建网络军团，根据360安全大脑报告，叙利亚电子军（SEA）就是第一支在国家网络上设立的公共互联网军队。

（中东地区APT攻击频发）

又比如暗流不断的东亚地区，这个地区APT冲突焦点在朝鲜。恶名远扬的Lazarus Group、Group123（APT37），以及新曝光的DarkHotel组织，可以这么说，如果朝鲜半岛的局势还维持在失控边缘，那么朝鲜APT攻击早已凶猛成灾。

远一点的南美地区同样一地鸡毛。大家都知道，美国经常性PUA南美，包括干涉内政、扶持反对党，所以2019年，委内瑞拉、阿根廷等南美五国频繁遭遇大型网络攻击，多次断网断电断水，与美国不可告人的政治目的难逃干系。

以上不难看出，地域政治局势越发紧张、地域安全形势越发复杂的地区，APT攻击也最为严重、频繁且复杂，前面提到伊朗所在的中东，朝鲜所在的东亚，就是典型。

二、APT攻击目标工控产业化

自2010年震网事件以来，APT攻击往往伴随着现实世界重大政治、外交活动或军事冲突，这也与APT攻击发起的动机和时机相符；

但是最近，尤其是2019年，APT攻击从以前严格的政治、军事、外交目标，转向工控产业化和关键基础设施领域。至于攻击效果与造成损失，就更加难以统计与估量。

这里又一次提到满嘴自由民主的美国，今年三番四次针对委内瑞拉、阿根廷等南美国家电力系统发起攻击。造成全国性交通瘫痪，医院手术中断，所有通讯线路中断，航班无法正常起降，群众暴乱，超过4800万普通民众，工作生活无法正常运转。

（网络攻击瞄准南美洲五国电力系统）

站在攻击者的角度，相比于纯政治、军事、外交目标，面向电力等工控系统和关键信息基础设施的打击，因系统间牵制和连锁的故障反应，更易引发全民性的“雪崩效应”。

三、经济、政治、情报几手抓

为什么国家力量纷纷入局APT，归根到底其实是利益冲突，只不过这个利益，涉及经济、政治、情报等多个重要板块。

经济犯罪：出于经济目的，前有Lazarus组织为了朝鲜国家利益的大规模金钱窃取行动，后有越南背景APT组织OceanLotus（海莲花），相继攻击德、日、韩多国汽车巨头企业，为的是替自己国家汽车制造企业发展开路；

（德国宝马遭OceanLotus组织攻击）

政治报复：至于肩扛反美大旗的委内瑞拉，主要是因政治立场相悖，遭美国报复性打击，水、电、网等基础设施崩盘，城市停摆暴乱频发；

情报窃取：政治经济之外，情报窃取监控也是APT组织长期维护国家利益的常用路数。今年，360安全大脑报告提到，活跃于中东地区的APT组织黄金雕（APT-C-34），就长期专注于情报窃取监控的无线电监听。

四、供应链攻击成APT常态

供应链攻击，常常又被称为第三方攻击，简单说来就是攻击者利用有权访问目标系统的外部合作伙伴，入侵目标的一种技术策略，而一旦成功立即影响大量网络资产。

此法虽然迂回，但是隐蔽，所以近年来，拥有伊朗、俄罗斯等国支持背景的APT组织，越来越多采用这种入侵第三方的“曲线作战”方式，频频危害和扰乱敌对国的基础设施以及商业前景。

就在19年年初，卡巴斯基报告了影锤行动（ShadowHammer），披露这是一起利用华硕升级服务的供应链攻击，不计其数的用户在使用该软件更新时可能会安装植入后门程序的软件更新包。

（卡巴斯基披露华硕遭APT复杂供应链攻击）

今年2月，赛门铁克发布报告，以真实数据说明，过去一年全球供应链攻击爆增78%，并特别强调2019年全球范围内供应链攻击活动仍在继续扩大。

五、混淆手段复杂化

事实上，最近APT攻击者，会耗费更多精力在花里胡哨的代码混肴上，这样做的意义在于身份隐藏和伪装，给威胁溯源制造更大的麻烦。

就以朝鲜APT组织Lazarus为例，他们非常惯用代码混淆隐匿，特意在自己的代码中加入其他APT组织的木马特征，以迷惑对方及安全分析人员。

（朝鲜恶意软件典型特征片段）

还有前不久，零日跟大家分享的伊朗数据破坏恶意软件ZeroCleare，安全团队在追踪其背后的APT组织时，就因编码语言、编码习惯，以及工具代码神似另一个恶意软件，而差点将本属于APT34组织的行动，归因在APT33组织上。

六、漏洞威摄化

漏洞常被戏称为“网络军火库”，APT组织自然不会放过这个天然的弹药库。2019年，漏洞利用攻击在APT中越发高频。

（NCSC发布APT组织长期利用VPN漏洞警告）

5月，英国国家网络安全中心（NCSC）发布警告，有APT组织长期利用VPN产品漏洞，向英国和各大国际组织发起攻击，殃及政府、军事、学术、商业和医疗等各领域。

（以色列NSO Group开发并利用WhatsApp漏洞）

不管是陈年漏洞还是新近漏洞，总之是个有用的漏洞，就不会被APT放过，且APT利用漏洞的速度，十分惊人。

七、APT攻击武器泛化

谈到这，就不得不提到**的另一面。漏洞威慑升级的同时，必然伴随着APT武器泛化。

事到今天，安全研究员都无法忽视一个令人不安的现实：在当今这个时代，网络军火扩散远比核武器扩散简单得多，但没人敢说，网络军火威胁一定比核武器小。

2019年中东地区活跃度最高的黑客组织之一伊朗APT34（Oilrig），就在四月份发生了一系列工具代码悉数泄露曝光事件。

（APT34的工具包的完整文件目录）

APT34（Oilrig）泄露事件只是个开始，不久同样来自伊朗的ATP组织MuddyWater，比APT34还惨，直接从工具泄露转为全网***息拍卖。

（公开售卖的MuddyWater服务端源码）

普通人看来，APT组织天书一般的代码包、数据包，在黑客眼中可是最强军火武器的宝藏，而这也进一步催生了APT攻击武器泛化，甚至网络军火民用化的风险的出现。

零日反思

在我们越来越关注APT攻击的背后，是国家间网络安全对抗战愈演愈烈，APT 组织数量增多、攻击对象和攻击范围不断扩大。聚焦政治目的的 APT 组织，多具有国家背景，通过对政治目标进行长久性的情报刺探或发起破坏性攻击；聚焦经济目的的APT 组织主要为牟取经济利益而实施攻击活动。

而面对这种趋势，可以说，只要存在政治目的和经济利益，APT 组织的攻击就不会停止，我们必须时刻以最高的安全意识，应对各种不同的网络风险和攻击。