什麼是 APT？

在網絡安全領域，存在大量的惡意威脅。其中許多威脅都編寫了惡意軟件，儘管網絡犯罪分子還有許多其他惡意方式。不過，他們之間的技能水平相差很大。許多“黑客”只是腳本小子，只能運行現有工具並且缺乏製作自己的工具的技能。許多黑客都有製作惡意軟件的技能，儘管確切的水平差異很大。不過，還有一個專屬級別，即 APT。

APT 代表高級持續威脅。他們是黑客的精英，通常是業內最好的。APT 不僅在漏洞利用開發方面技術嫻熟；他們還運用一系列其他技能，包括敏銳、耐心和操作安全性。通常，假設大多數（如果不是全部）APT 是民族國家行為者或至少是國家資助的。這個假設是建立在他們為實現目標所付出的時間、努力和奉獻精神之上的。

APT 指紋

APT 的確切目標因國家、APT 和攻擊而異。大多數黑客都是出於個人利益的動機，因此闖入並試圖盡快獲取盡可能多的有價值的數據。APT 執行破壞、間諜或破壞性攻擊，通常是出於政治動機，有時是出於經濟動機。

雖然大多數威脅行為者通常都是投機取巧的，但 APT 往往是悄無聲息的，甚至非常有針對性。他們不只是為他們發現的漏洞開發漏洞利用，而是確定目標，找出感染目標的最佳方法，然後研究和開發漏洞利用。通常，這些漏洞會被非常小心地配置為盡可能安靜和微妙。這最大限度地降低了被發現的風險，這意味著該漏洞可以在被發現之前用於其他選定的目標並修復潛在的漏洞。

開發漏洞利用是一項技術性且耗時的工作。這使其成為一項昂貴的業務，尤其是在處理沒有已知漏洞的高度複雜系統時。由於 APT 可以獲得民族國家的資金，他們通常可以花費更多的時間和精力來識別這些微妙但嚴重的漏洞，然後為它們開發極其複雜的漏洞。

歸因很難

將攻擊歸因於任何一個團體或民族國家可能很困難。通過深入研究實際使用的惡意軟件、支持系統，甚至跟踪目標，可以相當自信地將個別惡意軟件與 APT 聯繫起來，並將該 APT 與一個國家聯繫起來。

許多這些高度高級的漏洞利用共享其他漏洞利用的代碼位。特定攻擊甚至可能利用相同的零日漏洞。這些允許事件被鏈接和跟踪，而不是作為一次性的、非凡的惡意軟件。

跟踪來自 APT 的許多行動可以建立他們選擇的目標的地圖。這一點，再加上對地緣政治緊張局勢的了解，至少可以縮小潛在國家贊助商的名單。對惡意軟件中使用的語言的進一步分析可以提供提示，儘管這些也可以偽造以鼓勵錯誤歸因。

大多數來自 APT 的網絡攻擊都帶有似是而非的否認能力，因為沒有人承認它們。這允許每個負責任的國家執行它不一定希望與之相關或被指責的行動。因為大多數 APT 組織都自信地歸因於特定的民族國家，並且假設這些民族國家有更多的信息來作為歸因的基礎，所以每個人很可能都知道誰對什麼負責。如果任何國家正式指責另一個國家發動襲擊，他們很可能會受到報復性歸因。通過裝傻，每個人都可以保持他們似是而非的否認。

例子

許多不同的團體將 APT 命名為其他名稱，這使得跟踪它們變得複雜。有些名稱只是編號名稱。有些是基於鏈接的漏洞利用名稱是基於刻板印象的名稱。

至少有 17 個 APT 歸因於中國。一個 APT 編號，例如 APT 1，指的是一些。APT 1 也特別是 PLA Unit 61398。至少有兩個中國 APT 被命名為帶有龍的名稱：雙龍和龍橋。還有編號熊貓和紅阿波羅。

許多歸因於伊朗的 APT 名稱中都包含“小貓”。例如，Helix Kitten、Charming Kitten、Remix Kitten 和 Pioneer Kitten。俄羅斯 APT 經常使用熊的名字，包括 Fancy Bear、Cozy Bear、Bezerk Bear、Venomous Bear 和 Primitive Bear。朝鮮歸因於三個 APT：Ricochet Chollima、Lazarus Group 和 Kimsuky。

以色列、越南、烏茲別克斯坦、土耳其和美國至少有一個歸因於 APT。歸因於美國的 APT 稱為 Equation Group，據信它是 NSA 的 TAO 或定制訪問操作部門。該組織的名字來源於其一些漏洞利用和大量使用加密技術的名稱。

方程組通常被認為是所有 APT 中最先進的。眾所周知，有攔截設備並修改它們以包含惡意軟件​​。它還擁有多個惡意軟件，這些惡意軟件具有獨特的感染來自不同製造商的硬盤固件的能力，允許惡意軟​​件在整個驅動器擦除、操作系統重新安裝以及除驅動器破壞之外的任何情況下持續存在。這種惡意軟件無法檢測或刪除，並且需要訪問驅動器固件的源代碼才能開發。

結論

APT 代表 Advanced Persistent Threat，是一個用來指代高度先進的黑客組織的術語，通常與所謂的民族國家聯繫。APT 所表現出的技能水平、耐心和奉獻精神在犯罪世界中是無與倫比的。結合通常的政治目標，很明顯這些不是一般的黑客組織。APT 不是為了大聲的數據洩露，而是往往是微妙的，並儘可能地掩蓋他們的踪跡。

通常，普通用戶無需擔心 APT。他們只把時間花在對他們特別有價值的目標上。普通人不會隱藏民族國家認為有價值的秘密。只有更大的公司，尤其是那些從事政府工作的公司，以及特別有影響力的人，才有可能成為目標。當然，每個人都應該認真對待自己的安全以及公司的安全。

然而，安全領域的普遍觀點是，如果 APT 確定您感興趣，他們將能夠以某種方式破解您的設備，即使他們不得不花費數百萬美元的研發時間。這一點可以從為數不多的經過精心設計以跳過“氣隙”的惡意軟件實例中看出，例如Stuxnet 蠕蟲病毒。