9月5日,国家计算机病毒应急响应中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》。技术团队先后从西北工业大学多个信息系统和互联网终端提取多种木马样本,综合利用国内现有数据资源和分析方法,并得到欧洲和南亚部分国家合作伙伴的全力支持,充分restore获取了相关攻击事件的总体概况、技术特征、攻击武器、攻击路径和攻击源,初步认定相关攻击活动源自美国国家安全局定制访问操作办公室(TAO)机构(美国国家安全局)。.此次调查发现,美国NSA旗下的TAO近年来对中国国内网络目标实施数万次恶意网络攻击,控制数万台网络设备(网络服务器、上网终端、网络交换机、电话交换机)、路由器、防火墙等),窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台“零日漏洞”(0day)及其控制的网络设备,不断扩大网络攻击范围。经过技术分析和溯源,目前技术团队已经摸清了TAO攻击活动中使用的网络攻击基础设施、特殊武器装备和技战术,还原了攻击过程和被盗文件,掌握了美国NSA及其下属TAO的信息关于中国。网络攻击和数据窃取的相关证据,涉及13人在美国直接对中国发起网络攻击,NSA与美国电信运营商签订的通过掩护公司搭建网络攻击环境的合同超过60份,电子超过170份文件。在针对西北工业大学的网络攻击中,TAO使用了40多种不同的NSA专属网络攻击武器,对西北工业大学进行了持续的攻击和窃取,窃取了该校关键网络设备配置、网管数据、运维数据等核心技术数据.技术团队通过取证分析发现,攻击者在西北工业大学内部渗透了1100多个攻击链接、90多个操作指令序列,并从被入侵网络设备中定位到多个被盗网络文件。设备配置文件、嗅探网络流量和密码、其他类型的日志和密钥文件,以及与攻击相关的其他主要细节。为了掩盖其攻击行为,TAO在开始运营前会进行长期的准备工作,主要是搭建匿名攻击基础设施。TAO利用自身拥有的两个针对SunOS操作系统的“零日漏洞”工具,选择中国周边国家的教育机构、商业公司等网络应用流量较大的服务器作为攻击目标;攻击成功后,安装NOPEN木马程序(详见相关研究报告),控制大量跳板机。TAO在针对西北工业大学的网络攻击中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等,这些跳板机的功能仅限于指令传递,即将上层的跳板指令转发给目标系统,从而掩盖美国国家安全局的真实IP,发动网络攻击.目前至少掌握了TAO从其接入环境(美国国内电信运营商)控制跳板机的4个IP地址,分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时,为了进一步隐瞒跳板机和代理服务器与NSA的关系,NSA利用AmericanRegister公司的匿名保护服务,对相关域名、证书、注册人等可追溯信息进行匿名化处理,无法通过公共渠道获得。进行查询。通过威胁情报数据关联分析,技术团队发现西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器。NSA在荷兰、哥伦比亚等地购买了埃及、IP地址,并租用了一批服务器。这两家公司分别是杰克·史密斯顾问公司(JacksonSmithConsultants)和穆勒多元化系统公司(MuellerDiversifiedSystems)。同时,技术团队还发现,TAO基础设施技术部(MIT)的工作人员使用“阿曼达·拉米雷斯(AmandaRamirez)”这个名字匿名购买域名和普通SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****).随后,上述域名和证书部署在位于美国的中间人攻击平台Foxacid上,对中国境内的大量网络目标进行攻击。特别是,TAO针对西北工业大学等中国信息网络目标发起了多轮连续攻击和窃取行动。在针对西北工业大学的网络攻击中,TAO先后动用了NSA的41种专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境灵活配置相同的网络武器。例如,在西北工业大学网络攻击中使用的网络武器中,就有14个不同版本的后门工具“CunningHeretic”(由NSA命名)。技术团队将TAO在本次攻击中使用的工具分为四类,具体包括:1.漏洞攻击突破性武器TAO依靠此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机进行了攻击。它还用于攻击和控制海外跳板机,以建立匿名网络作为操作掩护。这类武器有3种:①“剃须刀”:该武器可以对开放了指定RPC服务的X86和SPARC架构的Solarise系统进行远程漏洞攻击。攻击时,可自动检测目标系统服务的开启情况,智能选择合适版本的漏洞利用代码,可直接获得对目标主机的完全控制权。该武器用于攻击日本、韩国等国家的跳板,被控制的跳板用于攻击西北工业大学的网络。②“孤岛”:该武器还可以对开通了指定RPC服务的Solaris系统进行远程溢出攻击,直接获得对目标主机的完全控制权。与“Shaver”不同的是,该工具不具备自主检测目标服务开通的能力,需要用户手动配置目标及相关参数。美国国家安全局使用该武器攻击并控制了西北工业大学的边界服务器。③“酸狐”武器平台:该武器平台部署在哥伦比亚,可与“第二次约会”中间人攻击武器组合使用。可智能配置漏洞负载,针对IE、FireFox、Safari、AndroidWebkit等多平台主流浏览器。进行远程溢出攻击,获取对目标系统的控制权(参见:国家计算机病毒应急响应中心《美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告》)。TAO主要利用该武器平台入侵西北工业大学办公内网主机。2.持久控制武器TAO依靠此类武器对西北工业大学网络进行隐蔽和持久控制。TAO行动小组可以通过加密通道发送控制指令,操作此类武器,对西北工业大学网络实施渗透、控制、窃密等行为。.此类武器有6种:①“二次约会”:该武器长期驻留在网关服务器、边界路由器等网络边界设备和服务器上。TAO将该武器安装在西北工业大学的边界设备上,劫持流经该设备的流量,并将其导向“酸狐”平台实施漏洞攻击。②“NOPEN”:该武器是一种远程控制木马,支持多种操作系统和不同架构。它可以通过加密隧道接收指令,进行文件管理、进程管理、系统命令执行等各种操作,并且本身具有提权功能。和持久化能力(参见:国家计算机病毒应急响应中心《“NOPEN”远控木马分析报告》)。TAO主要利用该武器对西北工业大学网络内的核心业务服务器和关键网络设备进行持久化控制。③“WrathJet”:该武器是基于Windows的远程控制木马,支持多种操作系统和不同架构。可根据目标系统环境定制生成不同类型的木马服务器。服务器本身具有极强的反分析和反调试能力。TAO主要利用该武器配合“酸狐”平台对西北工业大学办公网络内部的个人主机实施持久化控制。④“狡猾的异端”:该武器为轻量级后门植入工具,运行后会自行删除,具有提权能力,可持久存在于目标设备上,可随系统启动。TAO主要利用该武器实现持久存在,建立加密通道适时上传NOPEN木马,确保对西北工业大学信息网络的长期控制。⑤“耐心外科医生”:该武器是Linux、Solaris、JunOS、FreeBSD4种操作系统的后门。文件夹、进程等被隐藏。TAO主要利用该武器隐藏NOPEN木马的文件和进程,防止其被监控发现。技术分析发现,TAO在对西北工业大学的网络攻击中使用了12种不同版本的武器。3.嗅探窃取武器TAO依靠此类武器嗅探西北工业大学工作人员在运维网络时使用的账号密码和命令行操作记录,窃取西北工业大学网络内部的敏感信息和运维数据。此类武器有两种:①“银叉”:该武器可以长期驻留在32位或64位Solaris系统中,通过嗅探inter获取ssh、telnet、rlogin等各种远程登录方式-processcommunication在暴露的账户密码下。TAO主要利用该武器嗅探西北工业大学业务人员在进行运维工作时产生的账号密码、命令行操作记录、日志文件等,并压缩加密后供NOPEN木马下载。②“敌后行动”系列武器:该系列武器是针对电信运营商特定业务系统的工具。根据被充电的业务设备类型,“敌后行动”将结合不同的分析工具使用。在对西北工业大学的网络攻击中,TAO使用了三种针对电信运营商的攻击和窃取工具,包括“魔法学校”、“小丑食品”和“诅咒之火”。4.隐匿去迹武器TAO依托此??类武器在西北工业大学网络内消除其行为痕迹,隐匿、掩盖其恶意操作和窃取行为,同时对上述三类行为提供保护的武器。已经发现了一种这样的武器:“吐司面包”:这种武器可以用来查看和修改utmp、wtmp和lastlog等日志文件,以消除操作痕迹。TAO主要利用该武器清除、替换被控西北工业大学上网设备上的各种日志文件,以隐藏其恶意行为。TAO在对西北工业大学的网络攻击中使用了3种不同版本的“吐司面包”。综合上述技术分析结果和溯源调查,攻击溯源技术团队初步判断此次针对西北工业大学的网络攻击由TAO(代号S32)部门实施。该部门成立于1998年,其权力部署主要依赖美国国家安全局(NSA)在美国和欧洲的加密中心。目前已经公布的六个加密中心是:1.位于美国马里兰州米德堡的NSA总部;2.位于美国夏威夷瓦胡岛的美国国家安全局夏威夷密码学中心(NSAH);3.美国佐治亚州戈登堡的国家安全局乔治亚密码学中心(NSAG);4.美国国家安全局德州密码学中心(NSAT),美国德克萨斯州圣安东尼奥市;5.美国国家安全局科罗拉多密码学中心(NSAC),麦克利空军基地,美国科罗拉多州丹佛市6.美国国家安全局欧洲密码学中心(NSAE),位于德国达姆施塔特的美国军事基地。TAO目前是美国政府专门从事针对他国的大规模网络攻击和窃取活动的战术执行单位。它由2,000多名军事和文职人员组成。其内部机构包括:第一:远程操作中心(ROC,代号S321),主要负责操作武器平台和工具进入并控制目标系统或网络。第二部门:先进/接入网络技术部(ANT,代号S322),负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。第三部门:数据网络技术部(DNT,代号S323),负责开发复杂的计算机软件工具,为TAO运营商开展网络攻击任务提供支持。第四处:电信网络技术处(TNT,代号S324),负责研究电信相关技术,为TAO运营商暗中渗透电信网络提供支持。第五处:MissionInfrastructureTechnologyDivision(MIT,代号S325),负责网络基础设施和安全监控平台的开发和建立,用于构建攻击网络环境和匿名网络。第六办公室:准入行动办公室(ATO,代号S326),负责对通过供应链交付给目标的产品安装后门。七处:需求与定位处(R&T,代号S327),接受有关单位的任务,确定侦察目标,分析评估情报价值。S32P:项目计划整合办公室(PPI,代号S32P),负责统筹规划和项目管理。NWT:网络战小组(NWT),与网络战小组联络。美国国家安全局(NSA)对西北工业大学的攻击代号为“ShotXXXX”(shotXXXX)。操作由TAO负责人直接指挥,MIT(S325)负责搭建侦察环境,租用攻击资源;R&T(S327)负责确定攻击策略和情报评估;ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支持;ROC(S321)负责组织攻击侦察行动。可见,直接参与指挥作战的主要有TAO、S321、S325部队的负责人。在NSA攻击西北工业大学期间,TAO的负责人是罗伯特·爱德华·乔伊斯(RobertEdwardJoyce)。此人1967年9月13日出生,就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰霍普金斯大学,获硕士学位。1989年加入国家安全局,曾任TAO副主任,2013年至2017年任TAO主任,2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任白宫国家安全顾问,后回到美国国家安全局担任国家安全局局长网络安全战略高级顾问。他现在是美国国家安全局网络安全局局长。
