美国网络攻击西北工业大学的又一阴谋被揭穿:查询中国境内敏感身份信息。中国用户隐私数据,在入侵过程中,还查询了一批在中国的敏感身份,并将用户信息打包加密后,通过多级跳板传回美国国家安全局总部。6月,西北工业大学发表声明称,境外黑客组织对西北工业大学服务器进行了攻击。9月,相关部门调查显示,针对西北工业大学的网络攻击来自美国国家安全局(NSA)的特定入侵行动办公室(TAO)。中国国家计算机病毒应急中心和360公司参与了该案的技术分析。经过连续攻击,研究团队成功锁定了TAO攻击西北工业大学的目标节点、多级跳板、主控平台、加密隧道、攻击武器和原始终端,找到了攻击者的身份线索。并成功识别出13名攻击者的真实身份。最新调查报告进一步显示,TAO长期秘密控制西北工业大学运维管理服务器。网络安全技术人员根据TAO攻击西北工业大学的隐藏链接、渗透工具、木马样本等特征发现,TAO对我国基础设施运营商的核心数据网络实施了渗透控制。不仅如此,TAO还通过中国基础设施运营商的CiscoPIX防火墙、天融信防火墙等设备的账号密码,以“合法”身份进入运营商网络,进而实施内网渗透扩容,控制相关运营商网络.服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询一批国内敏感身份,将用户信息打包加密后发回美国通过多层次跳板的国家安全局总部。入侵细节被披露,TAO发布的最新报告进一步证明TAO实施了网络攻击,包括何时以及如何窃取中国用户的隐私数据。详情显示:北京时间20××日3月7日22时53分,TAO利用位于墨西哥的攻击代理148.208.××.××攻击并控制了某公司的业务服务器211.136.××.××。中国基础设施运营商,在内网(10.223.140.××、10.223.14.××)经过两次横向移动后,攻击控制了用户数据库服务器,非法查询了多名敏感身份用户的用户信息。当日15时02分,TAO将查询到的用户数据保存在被攻击服务器的“/var/tmp/.2e434fd8aeae73e1/erf/out/f/”目录下,打包回传给攻击跳板,然后在窃取过程中上传。通过专用工具快速清除渗透工具、用户数据等攻击痕迹。此外,TAO以同样的方式,分别于北京时间20××10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,北京时间。攻击者一度控制另一台中国基础设施业务服务器,分批次非法查询、导出、窃取多名敏感人员的用户信息。在西北工业大学对TAO网络攻击的技术分析中,中国打破了美国对我国的“单向透明”优势,掌握了美国网络攻击的充分证据。值得一提的是,TAO的工作路径因网络攻击实施过程中的操作失误而被曝光。据介绍,北京时间20XX年5月16日5时36分,对西北工业大学实施网络攻击的人员使用了位于韩国的跳板机(IP:222.122.××.××)再次使用NOPEN木马攻击西北工业大学。在对西北工业大学内网实施三级渗透后试图入侵控制网络设备时,运行上传PY脚本工具时出现人为错误,未修改指定参数。脚本执行后返回错误信息,显示攻击者上网终端的工作目录和对应的文件名,由此可见木马控制终端的系统环境为Linux系统,并且对应的目录名“/etc/autoutils”是TAO网络攻击利器的工具目录(autoutils)的专用名。此外,技术分析还发现,袭击西北工业大学的美国黑客依托强大的技术优势,按照美国国内工作日的时间安排进行活动,肆无忌惮、不加掩饰。根据相关网络攻击大数据分析,西北工业大学98%的网络攻击集中在北京时间21:00-4:00,对应美国东部时间上午9:00-16:00州,并且属于美国。工作时间。其次,美国时间所有周六和周日都没有发生针对西北工业大学的网络攻击事件。第三,分析美国特有的假期,发现美国“阵亡将士纪念日”放假3天,“独立日”放假1天。在这四天里,攻击者没有进行任何攻击和窃取操作。第四,经过对攻击行为的长期密切跟踪,发现往年圣诞节期间,所有的网络攻击活动都悄无声息。在技??术分析和溯源调查中,技术团队发现了TAO在西北工业大学网络入侵中使用的一批托管相关武器装备的服务器IP地址。举例如下:
