刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局
来源 | 物联网智库2022-09-05 18:59:24
刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局...

今天,国家计算机病毒应急处理中心和360公司分别发布关于西北工业大学遭受境外网络攻击的调查报告,初步判定相关攻击活动的“真凶”为美国国家安全局(NSA)下属的特定入侵行动办公室(Office of Tailored Access Operation,简称TAO),目前相关证据已被上报国家有关部门。

智次方

“网络安全为人民,网络安全靠人民”。今天,不知道大家是否有收到来自中国联通推送的国家网络安全宣传周公益短信,9月5日至11日是2022年国家网络安全宣传周,9月7日是宣传周电信日。可能平时大家并不会在意这样一条短信,但今天的一件大事可能会让你有所改观。

刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局

也就在宣传周开始的第一天,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告,报告显示,经过技术团队对相关攻击事件全面还原,初步判定相关攻击活动的“真凶”为美国国家安全局(NSA)下属的特定入侵行动办公室(Office of Tailored Access Operation,简称TAO),目前相关证据已被上报国家有关部门。

此外报告中还提到,多年来,TAO对我国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取高价值数据超过140GB。并且,TAO还利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大着网络的攻击和范围。

“真凶”曝光!证据确凿

刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局

今年4月,西安市公安机关接到了一起网络攻击的报警,报案的是西北工业大学。据信息化建设和管理处副处长兼信息中心主任宋强介绍,该校信息系统发现了木马程序,企图非法获取权限,这给学校的正常工作和生活秩序造成了重大的风险隐患。随后西安市公安局立即组织警力,与网络安全技术专家成立联合专案组对此案进行立案侦查。

6月22日,西北工业大学面向社会面再次发布声明,称有来自境外的黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。随后西安市公安局碑林分局发布警情通报,证实了西北工业大学的说法,并对提取到的木马和钓鱼邮件样本进一步开展技术分析。

随着调查的进行,今天一切的真相得以浮出水面。根据央视新闻播报,中国国家计算机病毒应急处理中心和360公司联合组成的技术团队对此案进行了全面技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头。技术团队初步判明对西北工业大学实施网络攻击行动的正是NSA信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。

TAO成立于1998年,是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,它不仅负责对中国国内的各重点企业和机构实施恶意网络攻击,而且还长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。

刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局

TAO的力量部署主要依托于NSA在美国和欧洲的各密码中心,目前已被公布的六个密码中心分别是:国安局马里兰州的米德堡总部、瓦湖岛的国安局夏威夷密码中心(NSAH)、戈登堡的国安局乔治亚密码中心(NSAG)、圣安东尼奥的国安局得克萨斯密码中心(NSAT)、丹佛马克利空军基地的国安局科罗拉罗密码中心(NSAC)、德国达姆施塔特美军基地的国安局欧洲密码中心(NSAE)。该组织由2000多名军人和文职人员组成,下设10个处:

1.远程操作中心(ROC,代号 S321),主要负责操作武器平台和工具进入并控制目标系统或网络。

2.先进/接入网络技术处(ANT,代号 S322),负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。

3.数据网络技术处(DNT,代号 S323),负责研发复杂的计算机软件工具,为TAO操作人员执行网络攻击任务提供支撑。

4.电信网络技术处(TNT,代号 S324),负责研究电信相关技术,为TAO操作人员隐蔽渗透电信网络提供支撑。

5.任务基础设施技术处(MIT,代号 S325),负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络。

6.接入行动处(AO,代号 S326),负责通过供应链,对拟送达目标的产品进行后门安装。

7.需求与定位处(R&T,代号 S327);接收各相关单位的任务,确定侦察目标,分析评估情报价值。

8.接入技术行动处(ATO,编号 S328),负责研发接触式窃密装置,并与美国中央情报局和联邦调查局人员合作,通过人力接触方式将窃密软件或装置安装在目标的计算机和电信系统中。

9.S32P:项目计划整合处(PPI,代号 S32P),负责总体规划与项目管理。

10.NWT:网络战小组(NWT),负责与133个网络作战小队联络。

刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局

可以说,TAO代表了全球网络攻击的最高水平,以他们所掌握的网络攻击武器而言,就如同有了一把能够打开互联网中任何目标设备的万能钥匙。

刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局

此此次针对西北工业大学的NSA内部攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人罗伯特·乔伊斯(Robert Joyce)直接指挥,ROC(S321)和MIT(S325)负责构建侦查环境、租用攻击资源,ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑,ROC(S321)负责组织开展攻击侦查行动,R&T( S327)负责确定攻击行动战略和情报评估。

手段卑劣,危害巨大

本次调查发现,TAO在近年对我国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。而在此次攻击活动开始前,TAO就已经在美国多家大型知名互联网企业的配合下,掌握了中国大量通信网络设备的管理权限,为NSA持续侵入中国国内的重要信息网络打开了方便之门。

经过复杂分析和溯源,联合技术团队已经掌握了TAO对我国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份、电子文件170余份。目前,相关调查结果已经上报国家有关部门。

刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局

在针对西北工业大学的网络攻击中,TAO先后使用了多达41种NSA专属网络攻击武器,仅后门工具“狡诈异端犯”(NSA命名)就有14款不同版本,具体包括了漏洞攻击突破类武器、持久化控制类武器、嗅探窃密类武器和隐蔽消痕类武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。技术团队澄清其在西北工业大学内部渗透的攻击链路1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位到了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件,以及其他与攻击活动相关的主要细节。

刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局

为了隐匿的对西北工业大学的信息网络实施攻击行为,TAO做了相当长时间的准备工作和精心伪装。TAO先是利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标。攻击成功后,即安装NOPEN木马程序,控制大批跳板机。

刚刚!西北工业大学遭网络攻击调查报告发布,源头竟是美国国安局

在此次针对西北工业大学的网络攻击中,TAO就先后使用了54台跳板机和代理服务器。为了掩盖真实的IP,TAO先是精心挑选了一大批“傀儡”机器,它们主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%均位于中国周边。有了这些跳板机,TAO就可以躲在后方向目标发起网络攻击,如此一来,即便受害者发现攻击,也只能指向这些前面的“傀儡”跳板机,而发现不了真实的攻击来源网络地址。

然后针对西北工业大学攻击平台所使用的网络资源涉及代理服务器,则由NSA通过秘密成立的两家掩护公司购买埃及、荷兰和哥伦比亚等地的IP,并租用了一批服务器。通过使用这种虚拟身份或者代理人身份,TAO甚至可以通过网络攻击手段在对方不知情的情况下接管第三方用户的服务器资源,实现“借刀杀人”的效果。

调查显示,从目前来看,联合技术团队至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时,为了进一步撇清或掩盖这些“傀儡”机器、代理服务器与NSA之间的关系,保护其身份安全,NSA还使用了美国隐私保护公司的匿名保护服务,使相关域名和证书均指向无关联人员,以便他们去“瞒天过海”行卑劣之事。

危害国家,危害百姓

针对美国刺探西北工业大学数据机密,很多人可能会表示不解,毕竟不是清华、北大、浙大、复旦等超级名校。但事实上了解西北工业大学就会发现,美国对西北工业大学下手是有绝对理由的。

西北工业大学是隶属于工业和信息化部的一所多科性、研究性、开放式大学,拥有强大军工背景,是我国的“国防七子”之一。西北工业大学是目前我国从事航空、航天、航海工程教育和科学研究领域的重点大学,拥有大量国家顶级科研团队和高端人才,承担着国家很多的重点技术研发和机密科研项目研究工作,一直以来都是中国最重要的尖端技术人才培养高地。在美国制裁的中国13所知名高校当中,西北工业大学赫然在列。

用句玩笑话来讲:西北工业大学牛不牛,可能只有西北工业大学自己、国家和美国五角大楼知道。

当然,不要以为美国只会对其虎视眈眈的政府部门、科研机构、军工单位、高校院所、龙头企业、医疗机构等这些一般人触摸不到的地方进行网络攻击。实际调查中发现,除了以上单位之外,NSA还利用其控制的网络攻击武器平台、“零日漏洞”(Oday)和网络设备,长期对中国的手机用户进行着无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。

根据中国计算机网络应急技术处理协调中心数据显示,我国每年遭遇境外恶意网络攻击超200万次,其中从境外攻击来源地来看,美国高居榜首。与此同时,中国遭受的美国网络攻击还在连年增加,数据显示,2020年位于美国的约1.9万台木马或僵尸网络控制服务器,控制了中国境内约446 万台主机。

在此,也提醒大家借国家网络安全宣传周短信提醒大家,尤其在我们所处的数字化时代,从国家到个人,数字化建设已经涉及社会的方方面面的,大家一定要共同关注网络安全,提升网络安全意识,强化数据安全防护,从每个人做起,加强个人信息的保护。最后向大家普及几条规避钓鱼邮件风险的方法:

  • 提高邮箱安全等级,如使用复杂密码、开启手机验证等

  • 不要轻易相信和点开陌生邮件中的附件和链接

  • 重要的事情请勿通过邮件沟通,需要通过邮件的请主动发起确认

参考资料:

1.《西北工业大学遭美国NSA网络攻击事件调查》,央视新闻

2.《证据确凿!西北工业大学遭网络攻击事件:源头系美国国家安全局》,极目新闻