22、应对高级持续威胁行为者保护物联网和工业控制系统平台

应对高级持续威胁行为者保护物联网和工业控制系统平台

1. 高级持续威胁（APT）组织概述

在网络安全领域，高级持续威胁（APT）组织是极为棘手的存在。下面将为大家介绍三个活跃的 APT 组织。

1.1 APT1

• 基本情况 ：APT1 是目前最活跃的 APT 组织之一，该活动被认为与中国人民解放军有关（但中国政府否认此说法），其主要目标是从英语国家的组织中窃取信息资产，如知识产权。
• 攻击历史 ：首次被归因于 APT1 的攻击发生在 2006 年，但一些恶意软件样本的编译时间可追溯到 2004 年。已确定该组织有 141 个不同的受害对象，来自 15 个不同国家和 20 个不同行业，其中 115 个位于美国。攻击在各行业的分布较为均匀，表明没有单一行业是该组织的主要目标。
• 攻击方式 ：APT1 最常使用鱼叉式网络钓鱼来攻击目标。通过个性化电子邮件让目标下载恶意文件后，目标机器会为该组织的命令与控制（C2）服务器打开后门。攻击者随后会在目标网络中搜寻所需信息，必要时提升权限，最后将信息资产压缩成 .RAR 文件传回中国。
• 组织关联 ：分析认为 APT1 可能是解放军 61398 部队的一个分支。该部队雇佣具备计算机和网络安全以及英语能力的人员。追踪到 APT1 活动的四个上海大型网络中，有两个属于浦东新区，而 61398 部队的总部就位于此。此外，APT1 攻击的行业与中国政府在“十二五”规划中确定的战略发展领域相符。据估计，61398 部队由数百