9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。初步判明,此次相关攻击活动源自美国国家安全局“特定入侵行动办公室” (TAO)。本次调查发现,在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。
报告:攻击者在西北工业大学内部渗透的攻击链路多达1100余条
报告显示,在针对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。
为掩护其攻击行动,TAO在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序,控制了大批跳板机。
TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。例如,对西北工业大学实施网络攻击中使用的网络武器中,仅后门工具“狡诈异端犯”(NSA命名)就有14个不同版本。技术团队将此次攻击活动中TAO所使用工具类别分为四大类:漏洞攻击突破类武器、持久化控制类武器、嗅探窃密类武器和隐蔽消痕类武器。
跳板机和代理服务器分布在17个国家
报告发现,TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
这些跳板机的功能仅限于指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。
技术团队通过威胁情报数据关联分析,发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司穆勒多元系统公司。同时,技术团队还发现,TAO基础设施技术处工作人员使用“阿曼达•拉米雷斯”的名字匿名购买域名和一份通用的SSL证书。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。
技术团队结合上述技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻击行动的是美国国家安全局信息情报部数据侦察局下属TAO部门。其力量部署主要依托美国国家安全局在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是:1、美国马里兰州米德堡的NSA总部;2、美国夏威夷瓦胡岛的NSA夏威夷密码中心;3、美国佐治亚州戈登堡的NSA佐治亚密码中心;4、美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心;5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心;6、德国达姆施塔特美军基地的NSA欧洲密码中心。
外交部发言人:中方坚决反对任何形式网络攻击
2022年4月12日,西北工业大学就邮件系统遭受钓鱼邮件攻击的情况向公安机关报案。2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。
近期,公安机关向西北工业大学通报了案件侦办的相关情况。9月5日,西北工业大学公开声明称:我们坚决反对以任何形式实施网络攻击。学校高度重视网络安全工作,为师生营造安全的网络环境。学校号召广大师生进一步提高网络安全意识,共同维护学校网络安全。
对于西北工业大学遭美国NSA网络攻击一事,中国外交部发言人毛宁表示,美国应立即停止对他国进行窃密和攻击,为维护网络安全发挥建设性作用。毛宁指出,中方坚决反对任何形式网络攻击。维护网络安全是国际社会共同责任,愿同国际社会一道,携手构建网络空间命运共同体。
文/北京青年报记者 温婧
编辑/田野
