日前，360天眼實(shí)驗(yàn)室發(fā)布了《2015年中國高級持續(xù)性威脅（APT）研究報告》。報告顯示，中國作為高級持續(xù)性威脅（APT）攻擊的主要受害國，僅2015就已發(fā)現(xiàn)29個針對中國境內(nèi)機(jī)構(gòu)進(jìn)行APT攻擊的黑客組織。這些APT組織長時間潛伏，有的網(wǎng)絡(luò)間諜活動最長持續(xù)8年之久。黑客組織從中國科研、政府機(jī)構(gòu)等領(lǐng)域竊取了大量敏感數(shù)據(jù)，對國家安全已造成嚴(yán)重的危害。其中，中國的教育科研、政府機(jī)構(gòu)、能源、軍事等行業(yè)是遭受攻擊的重災(zāi)區(qū)。

　　《2015年中國高級持續(xù)性威脅（APT）研究報告》是對目前針對中國的APT攻擊組織的年度總結(jié)。主要內(nèi)容包括：

　　中國是高級持續(xù)性威脅（APT）攻擊的主要受害國。截至2015年11月底，360天眼實(shí)驗(yàn)室監(jiān)測到的針對中國境內(nèi)科研教育、政府機(jī)構(gòu)等組織單位發(fā)動APT攻擊的境內(nèi)外黑客組織累計29個，其中15個APT組織曾經(jīng)被國外安全廠商披露過，另外14個為360天眼實(shí)驗(yàn)室首先發(fā)現(xiàn)并監(jiān)測到的APT組織，其中包括2015年5月末發(fā)布的海蓮花（OceanLotus）APT組織。

　　北京、廣東是重災(zāi)區(qū)教育科研與政府機(jī)構(gòu)是主要遭攻擊領(lǐng)域。國內(nèi)多個省市受到不同程度的影響，其中北京、廣東是重災(zāi)區(qū)。國內(nèi)受影響量排名前五的省市是：北京、廣東、浙江、江蘇、福建等沿海相關(guān)省市。受影響量排名最后的五個省市是：西藏、青海、寧夏、新疆、貴州。

圖1國內(nèi)受影響情況（2014年12月-2015年11月）

　　教育科研、政府機(jī)構(gòu)是APT攻擊主要針對的領(lǐng)域。其他受到攻擊的行業(yè)還包括能源、軍事、工業(yè)與商業(yè)等。科研與教育機(jī)構(gòu)能夠成為2015年APT攻擊的首要目標(biāo)，在一定程度上反映出境外APT組織對中國科技情報的“興趣”。幾乎所有境外APT組織都會將中國的政府機(jī)構(gòu)列入自己的戰(zhàn)略攻擊目標(biāo)。這說明絕大多數(shù)的APT組織都是具有政府背景的。

　　攻擊持續(xù)時間長，最長可達(dá)8年

　　攻擊者長期持續(xù)對特定目標(biāo)進(jìn)行精準(zhǔn)的打擊。在這29個APT組織中，針對中國境內(nèi)目標(biāo)的攻擊最早可以追溯到2007年，該組織主要針對中國政府、軍事、科技和教育等重點(diǎn)單位和部門，相關(guān)攻擊行動最早可追溯到2007，至今還非常活躍。也就是從2007年開始進(jìn)行了持續(xù)8年的網(wǎng)絡(luò)間諜活動。最近三個月（2015年9月以后）內(nèi)仍然處于活躍狀態(tài)的APT組織至少有9個。

　　我國相關(guān)機(jī)構(gòu)防御薄弱低成本攻擊頻頻得手

　　針對中國的APT攻擊主要由低成本的攻擊組成，但由于相關(guān)防御薄弱導(dǎo)致低成本攻擊頻頻得手。研究人員發(fā)現(xiàn)，針對中國的攻擊中，APT組織更多選擇1day或Nday等已知漏洞，這說明相關(guān)機(jī)構(gòu)對曝出的漏洞并未及時修補(bǔ)，安全意識較差。此外，郵件攻擊是APT攻擊中使用最為頻繁的攻擊載體。針對中國的魚叉郵件攻擊主要是攜帶可執(zhí)行程序，這也從側(cè)面反應(yīng)出中國相關(guān)機(jī)構(gòu)的安全防御措施、以及人員的安全意識比較欠缺。

　　大量敏感數(shù)據(jù)被竊取，國家安全遭受嚴(yán)重危害

　　APT組織從中國科研、政府機(jī)構(gòu)等領(lǐng)域竊取了大量敏感數(shù)據(jù)，對國家安全已造成嚴(yán)重的危害。其中名為APT-C-05的組織是一個針對中國攻擊的境外APT組織，也是至今捕獲到針對中國攻擊持續(xù)時間最長的組織。APT組織竊取的具體數(shù)據(jù)內(nèi)容有很大差異，但均涉及中國科研、政府等領(lǐng)域的敏感數(shù)據(jù)，其中竊取的敏感數(shù)據(jù)中以具備文件實(shí)體形態(tài)的文檔數(shù)據(jù)為主，進(jìn)一步會包括賬號密碼、截圖等。竊取的敏感數(shù)據(jù)主要以文檔為主，APT組織更關(guān)注WPS Office相關(guān)文檔。WPS Office辦公軟件的用戶一般分布在國內(nèi)政府機(jī)構(gòu)或事業(yè)單位。

　　攻擊緊密圍繞政濟(jì)、科技、軍工等熱點(diǎn)領(lǐng)域

　　十三五規(guī)劃、一帶一路、軍工制造等內(nèi)容是APT組織關(guān)注的重點(diǎn)領(lǐng)域。國民經(jīng)濟(jì)和社會發(fā)展第十三個五年規(guī)劃綱要（2016－2020年，簡稱“十三五”規(guī)劃）是2016年－2020年中國經(jīng)濟(jì)社會發(fā)展的宏偉藍(lán)圖。穩(wěn)步推進(jìn)“一帶一路”建設(shè)合作是中國“十三五”規(guī)劃的重要內(nèi)容。在2015年11月、12月期間，研究人員已捕獲到針對相關(guān)目標(biāo)的攻擊行動，相關(guān)攻擊行動主要以“一帶一路”、“21世紀(jì)海上絲綢之路”等誘餌信息攻擊相關(guān)領(lǐng)域的目標(biāo)群體。

　　360企業(yè)安全集團(tuán)總裁吳云坤表示，從本次報告的結(jié)果看，國內(nèi)科研與政府等相關(guān)機(jī)構(gòu)的安全防御措施亟待加強(qiáng)，工作人員的網(wǎng)絡(luò)安全意識比較淡薄。在幫助政企用戶加強(qiáng)網(wǎng)絡(luò)安全防護(hù)上，國內(nèi)安全廠商還有很多工作要做。

　　這是繼2015年5月發(fā)布"海蓮花"分析報告后，360天眼實(shí)驗(yàn)室第二次發(fā)布APT相關(guān)研究報告。據(jù)360天眼實(shí)驗(yàn)室負(fù)責(zé)人韓永剛透露，2016年360天眼實(shí)驗(yàn)將會持續(xù)發(fā)布APT相關(guān)報告，報告全文可以在360威脅情報中心（TI.360）下載瀏覽。

　　成立于2014年的360天眼實(shí)驗(yàn)室致力于利用大數(shù)據(jù)技術(shù)研究未知威脅。該實(shí)驗(yàn)室旗下的天眼系統(tǒng)(SkyEyeSystem)是全球首個基于大數(shù)據(jù)的未知威脅感知系統(tǒng)。