獨(dú)家披露：起底臺“資通電軍”APT組織技術(shù)底牌及網(wǎng)絡(luò)攻擊陰謀

摘要： 360揭批臺APT組織“三流”技術(shù) 直擊其網(wǎng)絡(luò)攻擊下的真實(shí)企圖

6月5日，廣州市公安局天河區(qū)分局發(fā)布懸賞通告，公開通緝網(wǎng)絡(luò)攻擊廣州市某科技公司致重大損失案件的20名犯罪嫌疑人。經(jīng)360數(shù)字安全集團(tuán)與國家計算機(jī)病毒應(yīng)急處理中心、計算機(jī)病毒防治技術(shù)國家工程實(shí)驗(yàn)室聯(lián)合開展技術(shù)溯源，已鎖定此次網(wǎng)絡(luò)攻擊源頭為臺灣民進(jìn)黨當(dāng)局“資通電軍”。隨后，三方機(jī)構(gòu)聯(lián)合發(fā)布《臺民進(jìn)黨當(dāng)局“資通電軍”黑客組織網(wǎng)絡(luò)攻擊活動調(diào)查報告》，起底臺APT組織的攻擊行徑以及技戰(zhàn)術(shù)特點(diǎn)，直指其針對大陸地區(qū)和港澳地區(qū)重要行業(yè)和單位實(shí)施長期網(wǎng)絡(luò)攻擊破壞活動，妄圖破壞社會公共秩序、制造混亂局面。
 

 

臺APT組織長期“作惡”：緊盯我國關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域

 
報告顯示，2022年至2024年期間，多個臺 APT 組織多次將攻擊矛頭指向我國關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域單位，發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊，且活動頻率與范圍顯著擴(kuò)大。
 
事實(shí)上，360對中國臺灣APT情況掌握較早，已獨(dú)立發(fā)現(xiàn)并命名了5個中國臺灣APT組織，分別是APT-C-01（毒云藤）、APT-C-62（三色堇）、APT-C-64（匿名者64）、APT-C-65（金葉蘿）和APT-C-67（烏蘇拉），這些組織均由臺灣民進(jìn)黨當(dāng)局支持，受臺當(dāng)局“國防部”下屬“資通電軍”部隊指揮。
 
各組織攻擊目標(biāo)各有側(cè)重，APT-C-01聚焦政府、國防軍工、科研教育等領(lǐng)域，重點(diǎn)搜集國防科技成果、中美關(guān)系、兩岸關(guān)系和海洋活動等敏感信息；APT-C-65以國防軍工、航空航天、能源等為目標(biāo)，實(shí)施數(shù)據(jù)竊取與滲透破壞；APT-C-67主要攻擊大陸和港澳地區(qū)的物聯(lián)網(wǎng)系統(tǒng)，尤其是視頻監(jiān)控系統(tǒng)，今年4月對廣州某科技公司實(shí)施網(wǎng)絡(luò)攻擊的正是該組織。盡管各組織在攻擊目標(biāo)、技戰(zhàn)術(shù)和活動周期性規(guī)律上有差異，但都服務(wù)于“倚外謀獨(dú)”的政治訴求，妄圖破壞社會公共秩序、制造混亂。
 

技術(shù)能力透視：“三線水平”暴露無遺

 
從技術(shù)層面看，臺APT組織能力有限。近年來，它們利用公開網(wǎng)絡(luò)資產(chǎn)探測平臺，針對大陸10余個省份的1000余個重要網(wǎng)絡(luò)系統(tǒng)（涉及軍工、能源、水電、交通、政府等）開展大規(guī)模網(wǎng)絡(luò)資產(chǎn)探查，搜集基礎(chǔ)信息和技術(shù)情報，并通過發(fā)送釣魚郵件、公開漏洞利用、密碼暴力破解、自制簡易木馬程序等低端手法實(shí)施多輪次網(wǎng)絡(luò)攻擊。
 
360安全團(tuán)隊?wèi){借十余年實(shí)戰(zhàn)對抗經(jīng)驗(yàn)，全面掌握其武器庫和技戰(zhàn)術(shù)特征，建立起基于行為模式分析的戰(zhàn)術(shù)推演模型。在深入分析臺APT組織相關(guān)攻擊案例后發(fā)現(xiàn)，其攻擊技戰(zhàn)術(shù)處于較低水平，主要表現(xiàn)在：依賴已知漏洞攻擊，缺乏自主漏洞發(fā)現(xiàn)和利用能力以及高級零日漏洞儲備；高度依賴公開資源，缺乏自主網(wǎng)絡(luò)武器和技戰(zhàn)術(shù)開發(fā)能力；反溯源能力弱，相關(guān)組織人員缺乏專業(yè)化能力。
 
360集團(tuán)創(chuàng)始人周鴻祎在央視采訪中指出，臺灣省APT組織技術(shù)水平整體處于全球APT組織中的“三線水平”。其攻擊手法簡單粗暴，騷擾破壞意圖明顯，具有強(qiáng)烈政治意味，試圖竊取我國國防外交等領(lǐng)域的重大決策及敏感數(shù)據(jù)信息。這類攻擊本質(zhì)是“低成本騷擾”，雖技術(shù)水平不高，但政治目的明確，試圖制造恐慌、干擾社會秩序，為“倚美謀獨(dú)”提供情報支撐，暴露了臺當(dāng)局在網(wǎng)絡(luò)空間的脆弱攻擊性。
 

溯源臺“資通電軍”：政治化操弄的危險走向

 
此次攻擊的幕后推手——臺“資通電軍”部隊（全稱“國防部資通電軍指揮部”）成立于2017年，前身為臺“國防部”“老虎小組”網(wǎng)絡(luò)部隊，旨在整合軍方、“政府”與民間技術(shù)力量，實(shí)施所謂“網(wǎng)絡(luò)作戰(zhàn)反制”，被外界稱為“臺灣省最神秘的部隊”。
 
經(jīng)過溯源，360對臺“資通電軍”部隊的組織架構(gòu)、人員情況、主要任務(wù)、工作地點(diǎn)、支撐單位進(jìn)行了起底。報告顯示，該部隊由多名少將級軍官主導(dǎo)，近三年超30家企業(yè)為其提供技術(shù)培訓(xùn)與軟硬件支持。臺當(dāng)局將資源投入到對抗性的網(wǎng)絡(luò)攻擊中，這種“危險行徑”給臺灣省帶來不可預(yù)估的安全風(fēng)險。
 

結(jié)語

 
360安全團(tuán)隊?wèi){借十余年實(shí)戰(zhàn)對抗經(jīng)驗(yàn)，構(gòu)建起覆蓋“武器庫分析-行為模式建模-溯源定位”的完整技術(shù)鏈條：通過持續(xù)追蹤臺APT組織攻擊特征，建立基于行為模式的戰(zhàn)術(shù)推演模型，并結(jié)合威脅情報共享機(jī)制，實(shí)現(xiàn)對相關(guān)攻擊的快速識別與精準(zhǔn)反制。這種技術(shù)壓制能力，客觀呈現(xiàn)了“業(yè)余化攻擊”與“專業(yè)化防御”的差距。
 
此前，360已多次披露美國國安局和中央情報局等情報機(jī)構(gòu)對我國關(guān)鍵基礎(chǔ)設(shè)施單位的攻擊竊密行為。截至目前，360累計發(fā)現(xiàn)并披露了58個境外APT組織，占國內(nèi)所有發(fā)現(xiàn)APT總數(shù)的90%以上。
 
隨著大模型的發(fā)展，APT攻擊已進(jìn)入“AI 時代”。我國政府、各大中小企業(yè)、科研機(jī)構(gòu)以及重要基礎(chǔ)設(shè)施單位等，如何擁抱智能化，以人工智能對抗人工智能，快速看見并處置尤為重要。
 
為此，360安全專家建議：盡快組織開展APT攻擊自檢自查工作，并逐步建立長效的防御體系；同時，發(fā)展實(shí)戰(zhàn)應(yīng)用的安全大模型，賦能高級威脅獵殺各個環(huán)節(jié)，實(shí)現(xiàn)全面系統(tǒng)化、智能化防治，抵御AI時代的高級威脅攻擊。