近幾年，拉撒路、摩訶草、海蓮花等全球APT攻擊日益活躍，然而國家級APT組織，僅僅是世界列強的禁臠和專利嗎？事實並非如此。近日，360安全大腦所捕獲的黃金雕組織（APT-C-34），正是中亞內陸國也能構建國家級網路部隊，並挑起網路戰爭的現實寫照。

自2015年至今，一個外界從不知曉的俄語系APT組織，持續針對中亞地區進行有組織、有計劃的定向攻擊，直到360安全大腦全球首次將其捕獲，該APT組織才漸露真容。而360安全大腦根據中亞地區擅長馴養獵鷹狩獵的習俗特性，將該組織命名為黃金雕（APT-C-34）。

360安全大腦獨家釋出了《盤旋在中亞地區的飛影-黃金雕（APT-C-34）組織攻擊活動揭露》，該完整報告詳細披露了黃金雕組織（APT-C-34）的歷史和正在進行的活動，涵蓋攻擊活動範圍、典型受害者分析、主要攻擊方式、核心後門工具，以及關聯歸屬分析等。從報告結果來看，其深刻勾勒出一箇中亞內陸國如何藉助網路攻防技術，採購或研發網路武器，進行資訊情報與機密竊取；進而在網路戰大安全時代，擺脫地緣束縛與侷限，全面掌握網路空間的控制主權。

操縱黃金雕（APT-C-34）的幕後勢力：

哈薩克     

網路戰時代，諸如中亞地區等地緣條件較差的國家，難以影響大國的決策，但這並不意味著他們在網路空間也任人支配。360安全大腦對黃金雕（APT-C-34）組織的攻擊鏈路進行分析，發掘出了該組織的基礎設施、攻擊資料和大量的技術資料，根據我們的技術分析和資料顯示，該組織的幕後勢力都指向了哈薩克政府。

繼而，報告中的種種跡象表明，黃金雕（APT-C-34）組織攻擊行動不是個人或一般組織能夠做到的，其組織背後是由哈薩克國家實體操控，併為此投入了大量的人力、物力和財力支援其運作，不僅自己研發，甚至採購了大量的網路軍火武器，這是一支具有高度組織化、專業化的國家級網軍力量。某種意義上說，這或許是哈薩克不想受制於實力薄弱與資源匱乏等與生俱來的劣勢，在網路戰時代，不斷調整資源配置，重新定位安防策略、方式與手段間的平衡。

進一步地，根據360安全大腦所披露分析報告，可以看清黃金雕（APT-C-34）組織的攻擊意圖——情報竊取。基於360安全大腦就黃金雕組織（APT-C-34）的攻擊目標人群進行分析，絕大部分受害者都集中在哈薩克國境內，主要涉及政府機關、航空航天、教育、軍方、媒體和政府異見人士等，除此以外，還有部分中國背景的受害者，涉及我方與哈薩克合作專案組和駐哈教育機構，而極少數的受害者位於我國西北部地區。

再結合360安全大腦對黃金雕組織（APT-C-34）攻擊行為的深度溯源，發現了該組織從受害者計算機上竊取大量機密文件和敏感資料，其目的直指收集情報，監控哈境內的各重要行業的關鍵人群。

典型的中國受害者，某駐哈教育機構的中方人員

例如黃金雕入侵哈薩克特斯坦航空航天科研機構，竊取的專案研發檔案

例如入侵哈薩克國教育和科研機構工會成員電腦，竊取會議記錄文件

網戰意識前置：

採購Hacking Team軍火，旨在贏取戰場主動

360安全大腦進一步深度溯源，並在報告中特別提到，哈薩克所扶植的黃金雕（APT-C-34）組織不僅自主研發網路武器，甚至專門向兩大世界網路武器巨頭HackingTeam和NSO購買商業間諜軟體。換言之，哈薩克的網路戰危機意識及網路武器庫完備程度已經超乎想象。

眾所周知，義大利網路武器軍火商Hacking Team，是為數不多的幾家向全世界出售商業網路武器的公司之一。2015年7月5日，Hacking Team遭遇了大型資料攻擊洩漏事件，已經工程化的漏洞和後門產品程式碼幾乎被全部公開，Hacking Team公司被迫宣佈破產。2015年以後，有關HackingTeam的活動突然銷聲匿跡。

然而事實上，Hacking Team並未中止開發和交易網路武器。繼2018年360安全大腦意外發現了一起針對俄羅斯的APT攻擊“毒針”行動，發現其使用了Hacking Team網路武器後；無獨有偶，今年360安全大腦所發現的黃金雕（APT-C-34），也是HackingTeam新版本後門程式的使用者。

除此以外，在黃金雕（APT-C-34）的基礎設施中，360安全大腦還發現了NSO最出名的網路武器pegasus的培訓文件，其中還包括與NSO相關的合同資訊，採購時間疑似在2018年。依靠pegasus網路武器，黃金雕（APT-C-34）組織應該具備針對Iphone、Android等移動裝置使用0day漏洞的高階入侵能力。

這一再表明，風起於青萍之末，網路戰爭正在一步一步地向我們走近，這絕不是危言聳聽。而哈薩克縱然是中亞的內陸國，但或已有了深刻的網戰危機感，國家戰略從傳統熱戰、經貿戰主動轉向網路戰，並採購先進網路武器，汲取大國先進網路攻防技術，舉起網路軍事戰爭大棒，旨在先發制人取得了戰場主動。

黃金雕（APT-C-34）攻擊手段：

不亞於網路大國的精細化作戰

值得一提的是，360安全大腦追蹤發現，黃金雕（APT-C-34）採用了靈活多樣的攻擊方式，其手段不亞於現今任何網路大國。除了常規的社會工程學攻擊手段，也喜歡物理接觸的手段進行攻擊，同時還採購了無線電硬體攻擊裝置。

（一）社會工程學攻擊方式：

該組織製作了五花八門的偽裝文件和圖片作為魚叉攻擊的誘餌，這些檔案通過偽裝圖示誘導使用者點選，這些檔案實際上是EXE和SRC字尾的可執行檔案，同時會釋放彈出真正的文件和圖片欺騙受害者。

甚至包括華為路由器的說明書、偽造的簡歷和三星收集說明書等：

（各種稀奇古怪的誘餌，

包括華為路由器說明書、偽造的簡歷等）

（二）物理接觸攻擊方式：

U盤一直是攻擊者很喜歡的攻擊載體。黃金雕（APT-C-34）組織也不例外。報告顯示：部分受害者曾經接入過包含惡意程式和安裝指令碼的U盤。如下圖所示，其中以install開頭的bat檔案為惡意程式安裝指令碼。

同時，攻擊者也使用了HackingTeam的物理攻擊套件，該套件需要通過惡意硬體物理接觸目標機器，在系統引導啟動前根據系統型別植入惡意程式，支援Win、Mac和Linux平臺。

（三）無線電監聽攻擊方式

除以上攻擊方式外，黃金雕組織還採購了一家俄羅斯安全防務公司“YURION”的硬體裝置產品，有證據顯示，該組織很有可能使用“YURION”公司的一些特殊硬體裝置直接對目標的通訊等訊號進行擷取監聽。

哈國模式帶來的反思：

國家級網路部隊是反制利劍

在洲際彈道導彈、核武器、航空裝置、大型基礎工業等成本巨大的防禦軍事面前，難道中小型國家只能望而卻步？如何實現反制與超越，在新時代博弈中穩守乃至擴大可運籌的空間，哈薩克的網路攻防戰略模式，或許透露著一種政治遠見及智慧：

一方面，網路戰爭是全域性戰爭，不分大國小國；而國家級網路部隊是護衛國家網路空間安全的盾牌，又是小國手中可以刺出的利劍。對於小國而言，頂尖的網路部隊是國之利刃，尤其在應對網路戰全面打響的大安全時代，能讓他們不會再受到他國的威脅與掣肘。

另一方面，前有敘利亞電子軍（SEA），後有哈薩克的黃金雕（APT-C-34）組織，這都在揭示著，國家級網路部隊早已不是美、俄、伊等大國的專利，而中小型國家暗中籌建、部署各自國家級網路軍事力量，或許要比我們想象的早得多。

全球首次發現黃金雕（APT-C-34）的

360威脅情報中心及協助分析的360烽火實驗室

關於360高階威脅應對團隊(360 ATA Team) ：專注於APT攻擊、0day漏洞等高階威脅攻擊的應急響應團隊，團隊主要技術領域包括高階威脅沙盒、0day漏洞探針技術和基於大資料的高階威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊，獨家披露了多個針對中國的APT組織的高階行動，團隊多人上榜微軟TOP100白帽黑客榜，樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。

關於360烽火實驗室，致力於Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。作為全球頂級移動安全生態研究實驗室，360烽火實驗室在全球範圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全資料和頑固木馬清除解決方案的同時，也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務，全方位守護移動安全。

更多內容，可點選《盤旋在中亞上空的陰影-黃金雕（APT-C-34）攻擊活動揭祕》閱讀報告原文。