APT的攻击事件从2009年开始曝光(实际上APT攻击在多年前就已经发生),逐渐被全世界所认识。首先是2009年公布的“极光门”事件,黑客通过APT手段渗透进了Google的内网,控制了服务器,对敏感的邮件进行筛选并窃取了大量的机密信息。最后美国政府调查并声称,不仅是Google,一共有30多家美国高科技公司被同一伙人用同样手法入侵,窃取了大量的信息。
在2010年的时候,发生了一个真正的世界级的APT攻击,就是伊朗的核电站被震网病毒攻击,导致离心机超速运转并损毁。2011年,知名的网络安全公司——RSA公司被专业的黑客渗透进去,窃取了部分客户的身份认证信息,攻击者利用这些信息再去渗透美国最大的军火承包商的系统,窃取相应的敏感信息。2012年,美国NASA的实验室被黑客用APT的手法入侵,窃取了大量的最先进的技术资料。
这些受害单位包括顶级的IT公司、顶级的安全公司、国家最顶级的机密公司,为什么他们都被黑客轻易的渗透,没有拦住这样的攻击?是他们的安全做的不好吗?如果他们的安全都做的不好,还有哪个单位比他们做的更好,我们能够阻挡住这样的APT攻击吗?
实际上我们需要考虑IT环境到底发生了怎样的变化。随着网络的发展,网络上的资产不断在变化,我们的对手也不断变得更加专业,更加有组织,更加有资产,攻击也变得更加的专业。有些人说是不是只有重要的机构、涉及国计民生的行业和大型组织才需要担忧APT攻击呢?理论上来说APT攻击确实只针对这三种目标,但并不意味着不会攻击中小型组织、企业和个人,因为大型企业有供应链,实际上它很多的产品也是靠中小企业来提供的,我们重要的信息资产实际上一般也是由个人来掌握、读取的。攻击者可以通过搞定你相信的人,再来搞定你;可以通过搞定供应链上的一个小企业,再来搞定大型企业,所以说所有人都可能成为APT攻击的目标,当然他最终锁定的价值目标可能是大的团体。
APT攻击产生了什么样的危害呢?目前国内没有相应的评估,我们可以看一下美国的评估。今年一月份,在国会的听证会上,美国参议员的评估损失是,美国每年数字资产的损失高达3000亿美金,占美国GDP的2%,这个数字可能不是很准确,但离事实也不远。
是不是只有美国才遭受了这种威胁,只有美国才在担心这种威胁,而我们只是旁观者呢?实际情况并不是这样,有一些案例可以和大家分享一下。一个案例就是针对国内一个很大的IT公司来发起的。攻击者首先调研了公司的主管,然后给这些选定的IT主管发送了一封邮件,邮件里面有URL,说这个地址里面有很多最新的、国内最先进的免费技术资料,你可以上来看。这些主管当然很高兴,就上去看。里面也确实有很多免费的、好的技术资料,但这个网站呢同时还做一件事,这件事并不是种植木马。用户登录该网站,网站就知道这个邮箱账户使用了什么操作系统、浏览器的版本,上面的JAVA是什么版本,甚至他还探测到用户是否安装了杀毒软件,安装了哪些杀毒软件、安全软件。这样攻击者就掌握了大量的受害目标的主机应用、应用版本,装了哪些防护软件等信息。攻击者可能掌握了一个IE9的零日漏洞,同时又做了一个木马,能够控制360软件,那么电脑上装有这两个软件的用户就成攻击者下一步的选定目标。于是这样的用户就中了招,电脑被植入木马被攻击者控制。攻击者再用受害者的身份去攻击公司的总裁,比如说科研主管向总裁提交报告的时候,在这个报告中再嵌入基于漏洞攻击的代码,那么总裁也就很容易中招。而控制了总裁的电脑之后,就从中获得了大量的公司商业机密或技术机密信息,最后攻击者把这些信息发给了国外某政府。
另一个案例是针对国内一个科研院所的攻击。攻击者知道了邮件系统管理人员的一个邮箱,并给这个邮箱发了一个钓鱼邮件,其中包含一个触发漏洞的PDF文件。管理人员打开邮件中,触发漏洞,主机被植入木马。攻击者利用所控制的管理人员的主机,获得了内部邮件的权限,然后攻击者使用领导的邮件账户身份,发送邮件给内部专家,让他们提交相应的科研技术资料。部分专家将保密资料发到了领导的邮箱,但是这时领导的邮箱实际上被攻击者控制着,攻击者将涉密资料转发到外部邮箱,窃取了资料。