哪些指标表明恶意代码是民族国家而非有组织的犯罪或小型黑客组织（匿名、LOLSEC、其他不相关的组织）？

在这种特定情况下，了解指标的人（还）没有告诉。

有许多指标可能会发挥作用，例如：

出处，或者，东西的来源——

通过分析未发布代码的使用，将参与者和活动联系在一起已经做了大量工作。例如：

2015 年，卡巴斯基对 Equation Group 的研究结果指出，其加载程序“Grayfish”与之前发现的另一个攻击系列中的加载程序“Gauss”有相似之处，并单独指出 Equation Group 使用了后来在 Stuxnet 中使用的两次零日攻击; 研究人员得出的结论是，“在不同的计算机蠕虫中同时使用这两种漏洞的相似类型表明，EQUATION 小组和 Stuxnet 开发人员要么相同，要么密切合作”。（维基百科）

如果 Juniper 攻击与其他已知的 APT 攻击具有某些特征，那么它很可能是 APT 攻击。不幸的是 - 再次 - 在这一点上，唯一真正知道这些特征是什么的人是事件响应者，他们没有说话。

目的，或者，可以用这些东西做什么 -

防火墙上的后门对任何攻击者都非常有用。以一种可以使窃听者受益而不需要端点访问的方式削弱加密更有利于 APT 组，因为他们更有可能访问 ISP 级别的网络捕获而不是匿名。

在您上面的评论中，您称其为“主观和间接的”，但实际上并非如此。所描述的漏洞具有在很大程度上无法检测到的优点（与端点入侵相比，并假设分遣队 2702 正常工作）和需要有利的网络访问的缺点（早在有计算机之前，民族国家就一直在工作）。

图案，或者，没有清理干净的碎屑——

已经有各种 APT 小组的工作基于字符串或共性进行归因 - 电子邮件地址、命令和控制服务器 IP、未从编译对象中剥离的源代码路径名。你可以打赌，Juniper 留下的任何东西都会被一把细齿梳子清理掉，那些对数十或数百名其他受害者做过同样事情的人。如果有碎屑要找到，它们就会被找到。

它可以是这些中的任何一个，或者全部，或者没有。 在有人写论文或发布允许我们确定它的细节之前，没有办法说出来。

更新 20151228 - 您可能想阅读“ APT28 Under the Scope ”，它旨在描述特定的 APT参与者。注意他们使用的一些模式——他们映射了攻击工具的编译时间，以确定参与者来自哪个时区。他们还发现了一个调试文件的硬编码路径，其中路径中的目录之一是俄语单词“用户”。我并不是说 APT28 是攻击瞻博网络的人群，只是看看分析过程和可用于尝试确定攻击责任的细节级别很有趣。

民族国家攻击，例如 Stuxnet 和当前的 Juniper 攻击目标设备，这些设备不容易获得。Stuxnet 针对 SCADA 逻辑控制器，而瞻博网络攻击针对高性能企业防火墙。

开发此类攻击需要攻击者拥有设备或至少拥有设备上运行的固件的映像。这是因为诸如缓冲区溢出之类的攻击通常需要反复试验和多次尝试来开发有效的漏洞利用。我们还需要反汇编二进制文件，这在没有访问设备的情况下是不可能的。

既然不能随便走进百货商店就可以买到这样的设备，Anonymous、LOLSEC 等黑客组织很难开发出这样的漏洞。因此，只有大公司和政府行为者才能使用此类设备。公司没有动力投入宝贵的资源来开发此类攻击，因此我们只剩下政府参与者。