今天,国家计算机病毒应急中心和360公司分别发布了西北工业大学境外网络攻击调查报告。调查发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)多年来对国内网络目标实施数万次恶意网络攻击,控制相关网络设备,窃取超过140GB的高价值数据。原来,罪魁祸首是美国国家安全局。今年4月,西安市公安局接到网络攻击报案,西北工业大学信息系统发现网络攻击痕迹。6月22日,西北工业大学在官方微信发表声明称,学校邮箱遭到境外网络攻击,对学校正常教学和生活造成负面影响。陕西省西安市公安局碑林分局第一时间发布《警情通报》,确认在西北工业大学信息网络中发现了多份源自境外的木马程序样本。初步认定,这起事件系境外黑客组织和不法分子发起的网络攻击,正式立案侦查。中国国家计算机病毒应急中心和360公司立即成立技术小组开展调查,并参与了案件的技术分析。技术团队先后从多个信息系统和互联网终端抓取木马程序样本,综合利用国内现有数据资源和分析方法,并得到欧洲和南亚部分国家合作伙伴的全力支持,全面还原了木马程序的整体情况相关的攻击事件。结合概况、技术特征、攻击武器、攻击路径和攻击来源,初步判断相关攻击活动源自美国国家安全局(NSA)定制访问行动办公室(OfficeofTailoredAccessOperation)。调查还发现,近年来,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)对中国网络目标实施了数万次恶意网络攻击,控制了数万台网络设备,包括:网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取了超过140GB的高价值数据。经过复杂的技术分析和溯源,目前技术团队已经摸清了NSA攻击活动中使用的网络资源、特殊武器装备和具体手法,还原了攻击过程和被盗文件,掌握了美国NSA“特定入侵行动办公室”(TAO)拥有针对中国信息网络的网络攻击和数据窃取的一系列证据。美国国家安全局如何进行恶意攻击经过技术分析和在线溯源调查发现,此次网络攻击是由信息情报部下属的TAO(代号S32)(代号-美国国家安全局(NSA)的S)。)部门。图:参与网络攻击的美国国家安全局TAO部门下属的S325部队,通过层层掩护,搭建了一个由49台跳板机和5台代理服务器组成的匿名网络,购买专用网络资源,并搭建攻击平台。这些跳板机都经过精挑细选,所有IP都属于非“五眼联盟”国家(五眼联盟包括美国、英国、加拿大、澳大利亚、新西兰),大部分都选择了中国周边国家(如日本、韩国等)的IP,约占70%。根据溯源分析,本次盗窃行动共选用跳板机49台。这些跳板机只是通过中继指令将上层的跳板指令转发给目标系统,从而掩盖了美国国家安全局发动网络攻击的真相。知识产权。图:美国国家安全局(NSA)对西北工业大学发起网络攻击。此外,美国国家安全局(NSA)为了保护其身份安全,使用了美国注册公司的匿名保护服务。相关域名和证书没有明确方向,也没有相关人员。另一方面,根据技术分析结果,TAO在启动前已经与美国多家大型知名互联网公司合作,获得了中国大量通信网络设备的经营权。这次袭击,并为美国国家安全局提供了对中国的持续入侵。重要信息网络打开便利之门。在此前提下,S321部队使用了40多种不同的NSA专属网络攻击武器,持续对我国进行攻击窃取,窃取关键网络设备配置、网络管理数据、运维数据等关键技术数据。盗窃活动持续时间长,涉及面广。TAO还利用其名为EXTREMEPARR(NSA命名)和EBBISLAND(NSA命名)的两个SunOS操作系统“零日漏洞”漏洞利用工具(提取样本),选择了中国周边国家的教育机构,网络应用流量大的商业公司等服务器是攻击目标;攻击成功后安装NOPEN(NSA命名,样本已提取)后门,控制大量跳板机。总的来说,美国国家安全局TAO的网络攻击武器装备针对性很强,得到了美国互联网巨头的全力支持。同样的设备会根据目标环境灵活配置。这里使用的41台设备中,仅后门工具“CunningHeretic”(NSA命名)在对西北工业大学的网络攻击中就有14个不同版本。NSA使用的工具主要分为四类,即:(1)漏洞攻击和突破性武器TAO依托此??类武器对西北工业大学的边界网络设备、网关服务器、办公室内网主机进行攻击和突破。也用于攻击和控制海外跳板机,构建匿名网络。(2)持久控制武器TAO依靠此类武器对西北工业大学网络进行隐蔽、持久控制。TAO人员可以通过加密通道发送控制指令,操作此类武器,实现对西北工业大学网络的渗透、控制和窃取。行为。(3)嗅探窃取武器TAO依靠此类武器嗅探西北工业大学工作人员用于运维网络的账号密码和生成的操作记录,窃取西北工业大学内部的敏感信息和运维数据网络。(4)隐匿去迹武器TAO依托此??类武器在西北工业大学网络内消除其行为痕迹,隐匿、掩盖其恶意操作和窃取行为,同时为上述三者提供保护类型的武器。美国国家安全局为何要袭击西工大?“西北工业大学遭美国国家安全局袭击”调查结果出炉后,有网友疑惑:有人戏称这是西北工业大学最好的招生宣传:有人认为这是因为西北工业大学在国防领域具有重要地位。据西北工业大学官网介绍,西北工业大学“为武器装备发展、国防领域关键核心技术自主安全可控、西部地区建设提供了有力支撑”。大学获“重大贡献奖”,其中航空领域重大机型总工程师、副总工程师一半以上来自西北工业大学;航天领域党政领导和副总工程师国务院国资委管理的大型央企及其所属企事业单位的总工程师以上,在岗的西工大校友也很多,也有相当比例担任重要管理岗位和核心技术岗位的西工大校友造船工业和水下武器工业。然而,西工大却成为了美国国家安全局的目标。虽然在军事领域与西理工大学有渊源,但从此前美国国家安全局TAO网络攻击的技术分析来看,西理工大学并不是美国国家安全局此次攻击的唯一目标。我国各行业的龙头企业、政府、高校、医疗机构、科研机构,其实都是美国国家安全局的攻击目标,但此次被攻击的西工大“幸运”能够及时发现攻击活动,国家计算机病毒应急响应中心和360公司及时恰当地做出反应,从而揭露了美国国家安全局的秘密活动。此次成功解析美国国家安全局利用网络武器攻击西工大学,虽然打破了美国对我国的单向透明优势,但对我国国防安全仍然十分重要,重点基础设施安全、金融安全、社会保障和生产安全。在安全和公民个人信息安全方面,此事仍值得我们深思和警惕。附言在美国决定切断对中国的人工智能芯片供应之前,美国商务部发言人表示,“以防止技术落入坏人之手。”现在回想起来,真不知道坏人是谁……
