日前，360天眼實(shí)驗(yàn)室發(fā)布了《2015年中國(guó)高級(jí)持續(xù)性威脅（APT）研究報(bào)告》。報(bào)告顯示，中國(guó)作為高級(jí)持續(xù)性威脅（APT）攻擊的主要受害國(guó)，僅2015就已發(fā)現(xiàn)29個(gè)針對(duì)中國(guó)境內(nèi)機(jī)構(gòu)進(jìn)行APT攻擊的黑客組織。這些APT組織長(zhǎng)時(shí)間潛伏，有的網(wǎng)絡(luò)間諜活動(dòng)最長(zhǎng)持續(xù)8年之久。黑客組織從中國(guó)科研、政府機(jī)構(gòu)等領(lǐng)域竊取了大量敏感數(shù)據(jù)，對(duì)國(guó)家安全已造成嚴(yán)重的危害。其中，中國(guó)的教育科研、政府機(jī)構(gòu)、能源、軍事等行業(yè)是遭受攻擊的重災(zāi)區(qū)。

　　《2015年中國(guó)高級(jí)持續(xù)性威脅（APT）研究報(bào)告》是對(duì)目前針對(duì)中國(guó)的APT攻擊組織的年度總結(jié)。主要內(nèi)容包括：

　　中國(guó)是高級(jí)持續(xù)性威脅（APT）攻擊的主要受害國(guó)。截至2015年11月底，360天眼實(shí)驗(yàn)室監(jiān)測(cè)到的針對(duì)中國(guó)境內(nèi)科研教育、政府機(jī)構(gòu)等組織單位發(fā)動(dòng)APT攻擊的境內(nèi)外黑客組織累計(jì)29個(gè)，其中15個(gè)APT組織曾經(jīng)被國(guó)外安全廠(chǎng)商披露過(guò)，另外14個(gè)為360天眼實(shí)驗(yàn)室首先發(fā)現(xiàn)并監(jiān)測(cè)到的APT組織，其中包括2015年5月末發(fā)布的海蓮花（OceanLotus）APT組織。

　　北京、廣東是重災(zāi)區(qū)教育科研與政府機(jī)構(gòu)是主要遭攻擊領(lǐng)域。國(guó)內(nèi)多個(gè)省市受到不同程度的影響，其中北京、廣東是重災(zāi)區(qū)。國(guó)內(nèi)受影響量排名前五的省市是：北京、廣東、浙江、江蘇、福建等沿海相關(guān)省市。受影響量排名最后的五個(gè)省市是：西藏、青海、寧夏、新疆、貴州。

圖1國(guó)內(nèi)受影響情況（2014年12月-2015年11月）

　　教育科研、政府機(jī)構(gòu)是APT攻擊主要針對(duì)的領(lǐng)域。其他受到攻擊的行業(yè)還包括能源、軍事、工業(yè)與商業(yè)等。科研與教育機(jī)構(gòu)能夠成為2015年APT攻擊的首要目標(biāo)，在一定程度上反映出境外APT組織對(duì)中國(guó)科技情報(bào)的“興趣”。幾乎所有境外APT組織都會(huì)將中國(guó)的政府機(jī)構(gòu)列入自己的戰(zhàn)略攻擊目標(biāo)。這說(shuō)明絕大多數(shù)的APT組織都是具有政府背景的。

　　攻擊持續(xù)時(shí)間長(zhǎng)，最長(zhǎng)可達(dá)8年

　　攻擊者長(zhǎng)期持續(xù)對(duì)特定目標(biāo)進(jìn)行精準(zhǔn)的打擊。在這29個(gè)APT組織中，針對(duì)中國(guó)境內(nèi)目標(biāo)的攻擊最早可以追溯到2007年，該組織主要針對(duì)中國(guó)政府、軍事、科技和教育等重點(diǎn)單位和部門(mén)，相關(guān)攻擊行動(dòng)最早可追溯到2007，至今還非?；钴S。也就是從2007年開(kāi)始進(jìn)行了持續(xù)8年的網(wǎng)絡(luò)間諜活動(dòng)。最近三個(gè)月（2015年9月以后）內(nèi)仍然處于活躍狀態(tài)的APT組織至少有9個(gè)。

　　我國(guó)相關(guān)機(jī)構(gòu)防御薄弱低成本攻擊頻頻得手

　　針對(duì)中國(guó)的APT攻擊主要由低成本的攻擊組成，但由于相關(guān)防御薄弱導(dǎo)致低成本攻擊頻頻得手。研究人員發(fā)現(xiàn)，針對(duì)中國(guó)的攻擊中，APT組織更多選擇1day或Nday等已知漏洞，這說(shuō)明相關(guān)機(jī)構(gòu)對(duì)曝出的漏洞并未及時(shí)修補(bǔ)，安全意識(shí)較差。此外，郵件攻擊是APT攻擊中使用最為頻繁的攻擊載體。針對(duì)中國(guó)的魚(yú)叉郵件攻擊主要是攜帶可執(zhí)行程序，這也從側(cè)面反應(yīng)出中國(guó)相關(guān)機(jī)構(gòu)的安全防御措施、以及人員的安全意識(shí)比較欠缺。

　　大量敏感數(shù)據(jù)被竊取，國(guó)家安全遭受?chē)?yán)重危害

　　APT組織從中國(guó)科研、政府機(jī)構(gòu)等領(lǐng)域竊取了大量敏感數(shù)據(jù)，對(duì)國(guó)家安全已造成嚴(yán)重的危害。其中名為APT-C-05的組織是一個(gè)針對(duì)中國(guó)攻擊的境外APT組織，也是至今捕獲到針對(duì)中國(guó)攻擊持續(xù)時(shí)間最長(zhǎng)的組織。APT組織竊取的具體數(shù)據(jù)內(nèi)容有很大差異，但均涉及中國(guó)科研、政府等領(lǐng)域的敏感數(shù)據(jù)，其中竊取的敏感數(shù)據(jù)中以具備文件實(shí)體形態(tài)的文檔數(shù)據(jù)為主，進(jìn)一步會(huì)包括賬號(hào)密碼、截圖等。竊取的敏感數(shù)據(jù)主要以文檔為主，APT組織更關(guān)注WPS Office相關(guān)文檔。WPS Office辦公軟件的用戶(hù)一般分布在國(guó)內(nèi)政府機(jī)構(gòu)或事業(yè)單位。

　　攻擊緊密?chē)@政濟(jì)、科技、軍工等熱點(diǎn)領(lǐng)域

　　十三五規(guī)劃、一帶一路、軍工制造等內(nèi)容是APT組織關(guān)注的重點(diǎn)領(lǐng)域。國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要（2016－2020年，簡(jiǎn)稱(chēng)“十三五”規(guī)劃）是2016年－2020年中國(guó)經(jīng)濟(jì)社會(huì)發(fā)展的宏偉藍(lán)圖。穩(wěn)步推進(jìn)“一帶一路”建設(shè)合作是中國(guó)“十三五”規(guī)劃的重要內(nèi)容。在2015年11月、12月期間，研究人員已捕獲到針對(duì)相關(guān)目標(biāo)的攻擊行動(dòng)，相關(guān)攻擊行動(dòng)主要以“一帶一路”、“21世紀(jì)海上絲綢之路”等誘餌信息攻擊相關(guān)領(lǐng)域的目標(biāo)群體。

　　360企業(yè)安全集團(tuán)總裁吳云坤表示，從本次報(bào)告的結(jié)果看，國(guó)內(nèi)科研與政府等相關(guān)機(jī)構(gòu)的安全防御措施亟待加強(qiáng)，工作人員的網(wǎng)絡(luò)安全意識(shí)比較淡薄。在幫助政企用戶(hù)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)上，國(guó)內(nèi)安全廠(chǎng)商還有很多工作要做。

　　這是繼2015年5月發(fā)布"海蓮花"分析報(bào)告后，360天眼實(shí)驗(yàn)室第二次發(fā)布APT相關(guān)研究報(bào)告。據(jù)360天眼實(shí)驗(yàn)室負(fù)責(zé)人韓永剛透露，2016年360天眼實(shí)驗(yàn)將會(huì)持續(xù)發(fā)布APT相關(guān)報(bào)告，報(bào)告全文可以在360威脅情報(bào)中心（TI.360）下載瀏覽。

　　成立于2014年的360天眼實(shí)驗(yàn)室致力于利用大數(shù)據(jù)技術(shù)研究未知威脅。該實(shí)驗(yàn)室旗下的天眼系統(tǒng)(SkyEyeSystem)是全球首個(gè)基于大數(shù)據(jù)的未知威脅感知系統(tǒng)。