要闻 党建 社会 文旅 教育 开发区 汽车 房建 企业 地市 艺体 更多

西工大遭网络攻击 幕后黑手曝光:美国国安局干的

来源:华商报 2022-09-06 14:26:43

9月5日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》。技术团队初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(TAO)。

从报告来看,TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。

初步判明相关攻击活动源自美国安局下属的TAO

2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。

国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(OfficeofTailored Access Operation,简称TAO)。

在西工大渗透的攻击链路多达1100余条

本次调查发现,在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。

经技术分析与溯源,技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。

在针对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其他类型的日志和密钥文件以及其他与攻击活动相关的主要细节。

为掩护其攻击行动,TAO在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NO-PEN木马程序(详见有关研究报告),控制了大批跳板机。

TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。

此次攻击活动中TAO使用工具分为四大类

技术团队通过威胁情报数据关联分析,发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克·史密斯咨询公司(JacksonSmithCon-sultants)、穆勒多元系统公司(Mueller Diversified Sys-tems)。同时,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达·拉米雷斯(AmandaRamirez)”的名字匿名购买域名和一份通用的SSL证书。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。

TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。例如,对西北工业大学实施网络攻击中使用的网络武器中,仅后门工具“狡诈异端犯”(NSA命名)就有14个不同版本。技术团队将此次攻击活动中TAO所使用工具类别分为四大类,具体包括:

1漏洞攻击突破类武器

2持久化控制类武器

3嗅探窃密类武器

4隐蔽消痕类武器

TAO到底是何方神圣

其负责人有官方背景

技术团队结合上述技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻击行动的是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。

目前已被公布的六个密码中心分别是:

1.美国马里兰州米德堡的NSA总部;

2.美国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH);

3.美国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG);

4.美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心(NSAT);

5.美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC);

6.德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。

TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,其内设机构包括:

第一处:远程操作中心(ROC,代号S321),主要负责操作武器平台和工具进入并控制目标系统或网络。

第二处:先进/接入网络技术处(ANT,代号S322),负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。

第三处:数据网络技术处(DNT,代号S323),负责研发复杂的计算机软件工具,为TAO操作人员执行网络攻击任务提供支撑。

第四处:电信网络技术处(TNT,代号S324),负责研究电信相关技术,为TAO操作人员隐蔽渗透电信网络提供支撑。

第五处:任务基础设施技术处(MIT,代号S325),负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络。

第六处:接入行动处(ATO,代号S326),负责通过供应链,对拟送达目标的产品进行后门安装。

第七处:需求与定位处(R&;T,代号S327),接收各相关单位的任务,确定侦察目标,分析评估情报价值。

S32P:项目计划整合处(PPI,代号S32P),负责总体规划与项目管理。

NWT:网络战小组(NWT),负责与网络作战小队联络。

美国国家安全局(NSA)针对西北工业大学的攻击行动代号为“阻击XXXX”(sho-tXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的主要包括TAO负责人,S321和S325单位。

NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特·乔伊斯(Robert EdwardJoyce)。此人于1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰斯·霍普金斯大学,获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全主管。 据国家计算机病毒应急处理中心网站

外交部:要求美方作出解释并立即停止不法行为

9月5日,外交部发言人毛宁主持例行记者会。

有记者提问,日前,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受美国国家安全局网络攻击的调查报告,显示美国国家安全局下属的特定入侵行动办公室针对中国的网络目标实施了上万次恶意网络攻击。中方对此有何评论?

“你提到的调查报告揭露了美国政府对中国进行网络攻击的又一实例。”毛宁表示,根据国家计算机病毒应急处理中心和360公司联合技术团队的技术分析与追踪溯源,美国国家安全局对中国实施网络攻击和数据窃密的证据链清晰完整,涉及在美国国内对中国直接发起网络攻击的人员13名,以及为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。报告显示,美方先后使用41种专用网络攻击武器装备,对西北工业大学发起攻击窃密行动上千次,窃取了一批核心技术数据。美方还长期对中国的手机用户进行无差别语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。

毛宁指出,美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责,要求美方作出解释并立即停止不法行为。

毛宁强调称,网络空间安全是世界各国面临的共同问题。作为拥有最强大网络技术实力的国家,美国应立即停止对他国进行窃密和攻击,以负责任的态度参与全球网络空间治理,为维护网络安全发挥建设性作用。据外交部网站

西工大:坚决反对以任何形式实施网络攻击

9月5日,西北工业大学发布声明:2022年4月12日,我校就邮件系统遭受钓鱼邮件攻击的情况向公安机关报案。近期,公安机关向我校通报了案件侦办的相关情况。在此,我校公开声明:我们坚决反对以任何形式实施网络攻击。学校高度重视网络安全工作,为师生营造安全的网络环境。学校号召广大师生进一步提高网络安全意识,共同维护学校网络安全。华商报记者任婷

TAO到底是何方神圣?

此次调查报告还显示,美国国家安全局下属的特定入侵行动办公室(简称为TAO)的机构多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,疑似窃取了高价值数据。

而且,还长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。

据360公司网络安全专家表示,TAO代表了当前全球网络攻击的最高水平,他们所掌握的大量的攻击武器,相当于有了互联网中的万能钥匙一样,可以任意地进出目标设备。据澎湃

为何瞄准西工大?

西安市公安局碑林分局副局长靳琪:西北工业大学是目前我国从事航空、航天、航海工程教育和科学研究领域的重点大学,拥有大量国家顶级科研团队和高端人才,承担国家多个重点科研项目,地位十分特殊,网络安全十分关键。由于其所具有的特殊地位和从事的敏感科学研究,所以才成为此次网络攻击的针对性目标。

调查报告显示,美国国家安全局(NSA)在对西北工业大学的网络攻击行动中,先后使用了41种专用网络攻击武器装备,仅后门工具“狡诈异端犯”(NSA命名)就有14款不同版本。

360公司创始人周鸿祎:就是瞄准国家的这种科研机构、政府部门、军工单位、高校这些地方来窃取情报或者窃取数据,攻击从策划到部署,通过很长的跳板,一直到攻到核心岗位里面,大概持续的时间有的要长达数年。数据一旦被偷窃或一旦被破坏,肯定会带来严重的风险。

但是,只要能迅速发现、感知到这种攻击,就能够定位溯源,就知道它从哪进来的,知道他们用什么漏洞进来的,然后就能把它给处置掉,把它清理掉,同时把该修补的漏洞都修补上。

  责任编辑:眭雨佳 秦华

相关新闻

精彩推荐