家計(jì)算機(jī)病毒應(yīng)急處理中心�����、央視新聞
2022年6月22日,西北工業(yè)大學(xué)發(fā)布《公開聲明》稱,該校遭受境外網(wǎng)絡(luò)攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報(bào)》�����,證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬樣本����,西安警方已對此正式立案調(diào)查����。
國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成技術(shù)團(tuán)隊(duì)(以下簡稱“技術(shù)團(tuán)隊(duì)”)����,全程參與了此案的技術(shù)分析工作��。技術(shù)團(tuán)隊(duì)先后從西北工業(yè)大學(xué)的多個信息系統(tǒng)和上網(wǎng)終端中提取到了多款木馬樣本��,綜合使用國內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段,并得到了歐洲、南亞部分國家合作伙伴的通力支持�,全面還原了相關(guān)攻擊事件的總體概貌���、技術(shù)特征���、攻擊武器��、攻擊路徑和攻擊源頭,初步判明相關(guān)攻擊活動源自美國國家安全局(NSA)“特定入侵行動辦公室”(Office of Tailored Access Operation,后文簡稱TAO)�����。
一�����、攻擊事件概貌
本次調(diào)查發(fā)現(xiàn)�����,在近年里,美國NSA下屬TAO對中國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬次的惡意網(wǎng)絡(luò)攻擊����,控制了數(shù)以萬計(jì)的網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端���、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)��、路由器�����、防火墻等)���,竊取了超過140GB的高價(jià)值數(shù)據(jù)�����。TAO利用其網(wǎng)絡(luò)攻擊武器平臺、“零日漏洞”(0day)及其控制的網(wǎng)絡(luò)設(shè)備等�,持續(xù)擴(kuò)大網(wǎng)絡(luò)攻擊和范圍���。經(jīng)技術(shù)分析與溯源��,技術(shù)團(tuán)隊(duì)現(xiàn)已澄清TAO攻擊活動中使用的網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施、專用武器裝備及技戰(zhàn)術(shù)��,還原了攻擊過程和被竊取的文件�����,掌握了美國NSA及其下屬TAO對中國信息網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的相關(guān)證據(jù)��,涉及在美國國內(nèi)對中國直接發(fā)起網(wǎng)絡(luò)攻擊的人員13名,以及NSA通過掩護(hù)公司為構(gòu)建網(wǎng)絡(luò)攻擊環(huán)境而與美國電信運(yùn)營商簽訂的合同60余份��,電子文件170余份����。
二��、攻擊事件分析
在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中��,TAO使用了40余種不同的NSA專屬網(wǎng)絡(luò)攻擊武器,持續(xù)對西北工業(yè)大學(xué)開展攻擊竊密�,竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置��、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。通過取證分析,技術(shù)團(tuán)隊(duì)累計(jì)發(fā)現(xiàn)攻擊者在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路多達(dá)1100余條����、操作的指令序列90余個����,并從被入侵的網(wǎng)絡(luò)設(shè)備中定位了多份遭竊取的網(wǎng)絡(luò)設(shè)備配置文件�、遭嗅探的網(wǎng)絡(luò)通信數(shù)據(jù)及口令、其它類型的日志和密鑰文件以及其他與攻擊活動相關(guān)的主要細(xì)節(jié)�����。具體分析情況如下:
(一)相關(guān)網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施
為掩護(hù)其攻擊行動���,TAO在開始行動前會進(jìn)行較長時(shí)間的準(zhǔn)備工作��,主要進(jìn)行匿名化攻擊基礎(chǔ)設(shè)施的建設(shè)���。TAO利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具�����,選擇了中國周邊國家的教育機(jī)構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo)�;攻擊成功后,安裝NOPEN木馬程序(詳見有關(guān)研究報(bào)告),控制了大批跳板機(jī)���。
TAO在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動中先后使用了54臺跳板機(jī)和代理服務(wù)器,主要分布在日本、韓國、瑞典�、波蘭���、烏克蘭等17個國家���,其中70%位于中國周邊國家�,如日本��、韓國等�。
這些跳板機(jī)的功能僅限于指令中轉(zhuǎn)���,即:將上一級的跳板指令轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng)���,從而掩蓋美國國家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實(shí)IP���。目前已經(jīng)至少掌握TAO從其接入環(huán)境(美國國內(nèi)電信運(yùn)營商)控制跳板機(jī)的四個IP地址���,分別為209.59.36.*�����、69.165.54.*�����、207.195.240.*和209.118.143.*。同時(shí),為了進(jìn)一步掩蓋跳板機(jī)和代理服務(wù)器與NSA之間的關(guān)聯(lián)關(guān)系,NSA使用了美國Register公司的匿名保護(hù)服務(wù)���,對相關(guān)域名�、證書以及注冊人等可溯源信息進(jìn)行匿名化處理,無法通過公開渠道進(jìn)行查詢����。
技術(shù)團(tuán)隊(duì)通過威脅情報(bào)數(shù)據(jù)關(guān)聯(lián)分析����,發(fā)現(xiàn)針對西北工業(yè)大學(xué)攻擊平臺所使用的網(wǎng)絡(luò)資源共涉及5臺代理服務(wù)器����,NSA通過秘密成立的兩家掩護(hù)公司向美國泰瑞馬克(Terremark)公司購買了埃及、荷蘭和哥倫比亞等地的IP地址����,并租用一批服務(wù)器����。這兩家公司分別為杰克?史密斯咨詢公司(Jackson Smith Consultants)、穆勒多元系統(tǒng)公司(Mueller Diversified Systems)�。同時(shí)���,技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn)����,TAO基礎(chǔ)設(shè)施技術(shù)處(MIT)工作人員使用“阿曼達(dá)?拉米雷斯(Amanda Ramirez)”的名字匿名購買域名和一份通用的SSL證書(ID:e42d3bea0a16111e67ef79f9cc2*****)�����。隨后�,上述域名和證書被部署在位于美國本土的中間人攻擊平臺“酸狐貍”(Foxacid)上�,對中國的大量網(wǎng)絡(luò)目標(biāo)開展攻擊。特別是,TAO對西北工業(yè)大學(xué)等中國信息網(wǎng)絡(luò)目標(biāo)展開了多輪持續(xù)性的攻擊、竊密行動。
(二)相關(guān)網(wǎng)絡(luò)攻擊武器
TAO在對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動中�,先后使用了41種NSA的專用網(wǎng)絡(luò)攻擊武器裝備���。并且在攻擊過程中,TAO會根據(jù)目標(biāo)環(huán)境對同一款網(wǎng)絡(luò)武器進(jìn)行靈活配置���。例如,對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊中使用的網(wǎng)絡(luò)武器中���,僅后門工具“狡詐異端犯”(NSA命名)就有14個不同版本。技術(shù)團(tuán)隊(duì)將此次攻擊活動中TAO所使用工具類別分為四大類��,具體包括:
1����、漏洞攻擊突破類武器
TAO依托此類武器對西北工業(yè)大學(xué)的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器��、辦公內(nèi)網(wǎng)主機(jī)等實(shí)施攻擊突破����,同時(shí)也用來攻擊控制境外跳板機(jī)以構(gòu)建匿名化網(wǎng)絡(luò)作為行動掩護(hù)。此類武器共有3種:
①“剃須刀”
此武器可針對開放了指定RPC服務(wù)的X86和SPARC架構(gòu)的Solarise系統(tǒng)實(shí)施遠(yuǎn)程漏洞攻擊����,攻擊時(shí)可自動探知目標(biāo)系統(tǒng)服務(wù)開放情況并智能化選擇合適版本的漏洞利用代碼��,直接獲取對目標(biāo)主機(jī)的完整控制權(quán)。此武器用于對日本�、韓國等國家跳板機(jī)的攻擊�����,所控制跳板機(jī)被用于對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊。
②“孤島”
此武器同樣可針對開放了指定RPC服務(wù)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊�,直接獲取對目標(biāo)主機(jī)的完整控制權(quán)����。與“剃須刀”的不同之處在于此工具不具備自主探測目標(biāo)服務(wù)開放情況的能力�,需由使用者手動配置目標(biāo)及相關(guān)參數(shù)。NSA使用此武器攻擊控制了西北工業(yè)大學(xué)的邊界服務(wù)器�。
③“酸狐貍”武器平臺
此武器平臺部署在哥倫比亞�����,可結(jié)合“二次約會”中間人攻擊武器使用,可智能化配置漏洞載荷針對IE、FireFox����、Safari��、Android Webkit等多平臺上的主流瀏覽器開展遠(yuǎn)程溢出攻擊,獲取目標(biāo)系統(tǒng)的控制權(quán)(詳見:國家計(jì)算機(jī)病毒應(yīng)急處理中心《美國國家安全局(NSA)“酸狐貍”漏洞攻擊武器平臺技術(shù)分析報(bào)告》)。TAO主要使用該武器平臺對西北工業(yè)大學(xué)辦公內(nèi)網(wǎng)主機(jī)進(jìn)行入侵��。
2��、持久化控制類武器
TAO依托此類武器對西北工業(yè)大學(xué)網(wǎng)絡(luò)進(jìn)行隱蔽持久控制�����,TAO行動隊(duì)可通過加密通道發(fā)送控制指令操作此類武器實(shí)施對西北工業(yè)大學(xué)網(wǎng)絡(luò)的滲透、控制、竊密等行為。此類武器共有6種:
①“二次約會”
此武器長期駐留在網(wǎng)關(guān)服務(wù)器��、邊界路由器等網(wǎng)絡(luò)邊界設(shè)備及服務(wù)器上�,可針對海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過濾與自動化劫持,實(shí)現(xiàn)中間人攻擊功能。TAO在西北工業(yè)大學(xué)邊界設(shè)備上安置該武器�,劫持流經(jīng)該設(shè)備的流量引導(dǎo)至“酸狐貍”平臺實(shí)施漏洞攻擊����。
②“NOPEN”
此武器是一種支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬,可通過加密隧道接收指令執(zhí)行文件管理��、進(jìn)程管理�����、系統(tǒng)命令執(zhí)行等多種操作��,并且本身具備權(quán)限提升和持久化能力(詳見:國家計(jì)算機(jī)病毒應(yīng)急處理中心《“NOPEN”遠(yuǎn)控木馬分析報(bào)告》)。TAO主要使用該武器對西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制��。
③“怒火噴射”
此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬���,可根據(jù)目標(biāo)系統(tǒng)環(huán)境定制化生成不同類型的木馬服務(wù)端��,服務(wù)端本身具備極強(qiáng)的抗分析、反調(diào)試能力。TAO主要使用該武器配合“酸狐貍”平臺對西北工業(yè)大學(xué)辦公網(wǎng)內(nèi)部的個人主機(jī)實(shí)施持久化控制����。
④“狡詐異端犯”
此武器是一款輕量級的后門植入工具�,運(yùn)行后即自刪除���,具備權(quán)限提升能力���,持久駐留于目標(biāo)設(shè)備上并可隨系統(tǒng)啟動��。TAO主要使用該武器實(shí)現(xiàn)持久駐留����,以便在合適時(shí)機(jī)建立加密管道上傳NOPEN木馬�����,保障對西北工業(yè)大學(xué)信息網(wǎng)絡(luò)的長期控制�。
⑤“堅(jiān)忍外科醫(yī)生”
此武器是一款針對Linux����、Solaris、JunOS、FreeBSD等4種類型操作系統(tǒng)的后門�����,該武器可持久化運(yùn)行于目標(biāo)設(shè)備上����,根據(jù)指令對目標(biāo)設(shè)備上的指定文件�����、目錄��、進(jìn)程等進(jìn)行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進(jìn)程����,避免其被監(jiān)控發(fā)現(xiàn)��。技術(shù)分析發(fā)現(xiàn),TAO在對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中��,累計(jì)使用了該武器的12個不同版本��。
3�����、嗅探竊密類武器
TAO依托此類武器嗅探西北工業(yè)大學(xué)工作人員運(yùn)維網(wǎng)絡(luò)時(shí)使用的賬號口令、命令行操作記錄�,竊取西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的敏感信息和運(yùn)維數(shù)據(jù)等����。此類武器共有兩種:
①“飲茶”
此武器可長期駐留在32位或64位的Solaris系統(tǒng)中����,通過嗅探進(jìn)程間通信的方式獲取ssh�����、telnet、rlogin等多種遠(yuǎn)程登錄方式下暴露的賬號口令��。TAO主要使用該武器嗅探西北工業(yè)大學(xué)業(yè)務(wù)人員實(shí)施運(yùn)維工作時(shí)產(chǎn)生的賬號口令�、命令行操作記錄��、日志文件等�,壓縮加密存儲后供NOPEN木馬下載���。
②“敵后行動”系列武器
此系列武器是專門針對電信運(yùn)營商特定業(yè)務(wù)系統(tǒng)使用的工具��,根據(jù)被控業(yè)務(wù)設(shè)備的不同類型�,“敵后行動”會與不同的解析工具配合使用����。TAO在對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中使用了“魔法學(xué)校”“小丑食物”和“詛咒之火”等3類針對電信運(yùn)營商的攻擊竊密工具����。
4����、隱蔽消痕類武器
TAO依托此類武器消除其在西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的行為痕跡��,隱藏�、掩飾其惡意操作和竊密行為�,同時(shí)為上述三類武器提供保護(hù)。現(xiàn)已發(fā)現(xiàn)1種此類武器:
“吐司面包” ���,此武器可用于查看、修改utmp��、wtmp���、lastlog等日志文件以清除操作痕跡�。TAO主要使用該武器清除、替換被控西北工業(yè)大學(xué)上網(wǎng)設(shè)備上的各類日志文件�,隱藏其惡意行為�。TAO對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中共使用了3款不同版本的“吐司面包”�����。
三、攻擊溯源
技術(shù)團(tuán)隊(duì)結(jié)合上述技術(shù)分析結(jié)果和溯源調(diào)查情況,初步判斷對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊行動的是美國國家安全局(NSA)信息情報(bào)部(代號S)數(shù)據(jù)偵查局(代號S3)下屬TAO(代號S32)部門�。該部門成立于1998年����,其力量部署主要依托美國國家安全局(NSA)在美國和歐洲的各密碼中心��。目前已被公布的六個密碼中心分別是:
1�、美國馬里蘭州米德堡的NSA總部��;
2����、美國夏威夷瓦胡島的NSA夏威夷密碼中心(NSAH)��;
3��、美國佐治亞州戈登堡的NSA佐治亞密碼中心(NSAG);
4、美國得克薩斯州圣安東尼奧的NSA得克薩斯密碼中心(NSAT)�����;
5�����、美國科羅拉羅州丹佛馬克利空軍基地的NSA科羅拉羅密碼中心(NSAC)���;
6�����、德國達(dá)姆施塔特美軍基地的NSA歐洲密碼中心(NSAE)。
TAO是目前美國政府專門從事對他國實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊竊密活動的戰(zhàn)術(shù)實(shí)施單位�,由2000多名軍人和文職人員組成�����,其內(nèi)設(shè)機(jī)構(gòu)包括:
第一處:遠(yuǎn)程操作中心(ROC,代號S321),主要負(fù)責(zé)操作武器平臺和工具進(jìn)入并控制目標(biāo)系統(tǒng)或網(wǎng)絡(luò)。
第二處:先進(jìn)/接入網(wǎng)絡(luò)技術(shù)處(ANT��,代號S322)�����,負(fù)責(zé)研究相關(guān)硬件技術(shù)�����,為TAO網(wǎng)絡(luò)攻擊行動提供硬件相關(guān)技術(shù)和武器裝備支持。
第三處:數(shù)據(jù)網(wǎng)絡(luò)技術(shù)處(DNT,代號S323)�,負(fù)責(zé)研發(fā)復(fù)雜的計(jì)算機(jī)軟件工具��,為TAO操作人員執(zhí)行網(wǎng)絡(luò)攻擊任務(wù)提供支撐。
第四處:電信網(wǎng)絡(luò)技術(shù)處(TNT,代號S324)��,負(fù)責(zé)研究電信相關(guān)技術(shù)����,為TAO操作人員隱蔽滲透電信網(wǎng)絡(luò)提供支撐。
第五處:任務(wù)基礎(chǔ)設(shè)施技術(shù)處(MIT�,代號S325)�,負(fù)責(zé)開發(fā)與建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全監(jiān)控平臺���,用于構(gòu)建攻擊行動網(wǎng)絡(luò)環(huán)境與匿名網(wǎng)絡(luò)��。
第六處:接入行動處(ATO�,代號S326)����,負(fù)責(zé)通過供應(yīng)鏈�,對擬送達(dá)目標(biāo)的產(chǎn)品進(jìn)行后門安裝。
第七處:需求與定位處(R&T�,代號S327)����,接收各相關(guān)單位的任務(wù)���,確定偵察目標(biāo)�,分析評估情報(bào)價(jià)值。
S32P:項(xiàng)目計(jì)劃整合處(PPI����,代號S32P)�,負(fù)責(zé)總體規(guī)劃與項(xiàng)目管理�。
NWT:網(wǎng)絡(luò)戰(zhàn)小組(NWT),負(fù)責(zé)與網(wǎng)絡(luò)作戰(zhàn)小隊(duì)聯(lián)絡(luò)���。
美國國家安全局(NSA)針對西北工業(yè)大學(xué)的攻擊行動代號為“阻擊XXXX”(shotXXXX)。該行動由TAO負(fù)責(zé)人直接指揮�����,由MIT(S325)負(fù)責(zé)構(gòu)建偵察環(huán)境���、租用攻擊資源����;由R&T(S327)負(fù)責(zé)確定攻擊行動戰(zhàn)略和情報(bào)評估;由ANT(S322)����、DNT(S323)�����、TNT(S324)負(fù)責(zé)提供技術(shù)支撐����;由ROC(S321)負(fù)責(zé)組織開展攻擊偵察行動。由此可見,直接參與指揮與行動的主要包括TAO負(fù)責(zé)人,S321和S325單位�。
NSA對西北工業(yè)大學(xué)攻擊竊密期間的TAO負(fù)責(zé)人是羅伯特?喬伊斯(Robert Edward Joyce)���。此人于1967年9月13日出生�����,曾就讀于漢尼拔高中�����,1989年畢業(yè)于克拉克森大學(xué),獲學(xué)士學(xué)位�����,1993年畢業(yè)于約翰斯?霍普金斯大學(xué)�����,獲碩士學(xué)位�。1989年進(jìn)入美國國家安全局工作�。曾經(jīng)擔(dān)任過TAO副主任,2013年至2017年擔(dān)任TAO主任�。2017年10月開始擔(dān)任代理美國國土安全顧問���。2018年4月至5月����,擔(dān)任美國白宮國務(wù)安全顧問���,后回到NSA擔(dān)任美國國家安全局局長網(wǎng)絡(luò)安全戰(zhàn)略高級顧問�����,現(xiàn)擔(dān)任NSA網(wǎng)絡(luò)安全主管。
四、總結(jié)
本次報(bào)告基于國家計(jì)算機(jī)病毒應(yīng)急處理中心與360公司聯(lián)合技術(shù)團(tuán)隊(duì)的分析成果��,揭露了美國NSA長期以來針對包括西北工業(yè)大學(xué)在內(nèi)的中國信息網(wǎng)絡(luò)用戶和重要單位開展網(wǎng)絡(luò)間諜活動的真相�。后續(xù)技術(shù)團(tuán)隊(duì)還將陸續(xù)公布相關(guān)事件調(diào)查的更多技術(shù)細(xì)節(jié)。
技術(shù)團(tuán)隊(duì)公布更多細(xì)節(jié)
西安市公安局碑林分局副局長 靳琪:西北工業(yè)大學(xué)是目前我國從事航空、航天、航海工程教育和科學(xué)研究領(lǐng)域的重點(diǎn)大學(xué),擁有大量國家頂級科研團(tuán)隊(duì)和高端人才����,承擔(dān)國家多個重點(diǎn)科研項(xiàng)目��,地位十分特殊,網(wǎng)絡(luò)安全十分關(guān)鍵。由于其所具有的特殊地位和從事的敏感科學(xué)研究,所以才成為此次網(wǎng)絡(luò)攻擊的針對性目標(biāo)��。
調(diào)查報(bào)告顯示�,美國國家安全局(NSA)在對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動中,先后使用了41種專用網(wǎng)絡(luò)攻擊武器裝備,僅后門工具“狡詐異端犯”( NSA 命名)就有14款不同版本��。
360公司網(wǎng)絡(luò)安全專家 邊亮:在前期的話�����,它會有一些偵查的模塊�。那么偵查之后發(fā)現(xiàn),如果說它的目標(biāo)環(huán)境當(dāng)中,可能比如說有的需要去竊取密碼或者竊取重要情報(bào)信息,根據(jù)不同的情況����、不同的系統(tǒng)或者不同的平臺�,去定制化進(jìn)行武器的攻擊和投遞����。
通過取證分析,技術(shù)團(tuán)隊(duì)累計(jì)發(fā)現(xiàn)攻擊者在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路多達(dá)1100余條、操作的指令序列90余個����,并從被入侵的網(wǎng)絡(luò)設(shè)備中定位了多份遭竊取的網(wǎng)絡(luò)設(shè)備配置文件、遭嗅探的網(wǎng)絡(luò)通信數(shù)據(jù)及口令�����、其他類型的日志和密鑰文件以及其他與攻擊活動相關(guān)的主要細(xì)節(jié)�。
技術(shù)團(tuán)隊(duì)將此次攻擊活動中所使用的武器類別分為四大類,具體包括:1��、漏洞攻擊突破類武器�;2、持久化控制類武器�����;3、嗅探竊密類武器��;4����、隱蔽消痕類武器。
國家計(jì)算機(jī)病毒應(yīng)急處理中心高級工程師 杜振華:從最開始的這種漏洞的攻擊突破�,突破之后去投送這種第二類的���,我們說持久控制類的武器工具�����。那么再到第三類,那么它實(shí)現(xiàn)這種嗅探的竊密,那么長期的潛伏竊取我們重要的數(shù)據(jù),然后把這個攻擊活動�����,它認(rèn)為任務(wù)已經(jīng)完成之后�����,那么開始使用第四類的武器就是隱蔽消痕類,把現(xiàn)場清理干凈����,讓被害人無法察覺����。
此次調(diào)查報(bào)告披露��,美國國家安全局(NSA)利用大量網(wǎng)絡(luò)攻擊武器�,針對我國各行業(yè)龍頭企業(yè)����、政府、大學(xué)����、醫(yī)療�、科研等機(jī)構(gòu)長期進(jìn)行秘密黑客攻擊活動���。
360公司創(chuàng)始人 周鴻祎:就是瞄準(zhǔn)國家的這種科研機(jī)構(gòu)���、政府部門����、軍工單位、高校這些地方來竊取情報(bào)或者竊取數(shù)據(jù)����,它從攻擊從策劃到部署�,到通過很長的這種跳板�,一直到攻到核心崗位里面,大概持續(xù)的時(shí)間有的要長達(dá)數(shù)年�。那么危害也就非常大,因?yàn)槲磥砦覀冋麄€國家都在搞數(shù)字化,我們很多重要的這種業(yè)務(wù)都是由數(shù)據(jù)來驅(qū)動��,你想數(shù)據(jù)一旦被偷竊或一旦被破壞���,肯定會帶來嚴(yán)重的風(fēng)險(xiǎn)����。
調(diào)查同時(shí)發(fā)現(xiàn),美國國家安全局(NSA)還利用其控制的網(wǎng)絡(luò)攻擊武器平臺、“零日漏洞”(Oday)和網(wǎng)絡(luò)設(shè)備,長期對中國的手機(jī)用戶進(jìn)行無差別的語音監(jiān)聽��,非法竊取手機(jī)用戶的短信內(nèi)容�����,并對其進(jìn)行無線定位�。
NSA掩蓋真實(shí)IP精心偽裝網(wǎng)絡(luò)攻擊痕跡
此次調(diào)查報(bào)告披露�����,美國國家安全局(NSA)為了隱匿其對西北工業(yè)大學(xué)等中國信息網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)攻擊的行為��,做了長時(shí)間準(zhǔn)備工作����,并且進(jìn)行了精心偽裝���。
技術(shù)團(tuán)隊(duì)分析發(fā)現(xiàn)�,美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)在開始行動前會進(jìn)行較長時(shí)間的準(zhǔn)備工作,主要進(jìn)行匿名化攻擊基礎(chǔ)設(shè)施的建設(shè)�。特定入侵行動辦公室(TAO)利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具��,選擇了中國周邊國家的教育機(jī)構(gòu)��、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo);攻擊成功后�����,即安裝NOPEN木馬程序��,控制了大批跳板機(jī)。
特定入侵行動辦公室(TAO)在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動中先后使用了54臺跳板機(jī)和代理服務(wù)器,主要分布在日本���、韓國、瑞典��、波蘭���、烏克蘭等17個國家��,其中70%位于中國周邊國家���,如日本�、韓國等����。其中,用以掩蓋真實(shí)IP的跳板機(jī)都是精心挑選,所有IP均歸屬于非“五眼聯(lián)盟”國家。
針對西北工業(yè)大學(xué)攻擊平臺所使用的網(wǎng)絡(luò)資源涉及代理服務(wù)器�����,美國國家安全局(NSA)通過秘密成立的兩家掩護(hù)公司購買了埃及����、荷蘭和哥倫比亞等地的IP,并租用一批服務(wù)器。
國家計(jì)算機(jī)病毒應(yīng)急處理中心高級工程師 杜振華:它是使用這種虛擬身份���,或者是代理人的身份。那么去租用和購買互聯(lián)網(wǎng)上的這種服務(wù)器���、IP地址、域名���,甚至它還可以通過這種網(wǎng)絡(luò)攻擊的手段�,在對方不知情的情況下��,接管第三方用戶的這種服務(wù)器資源。那么來實(shí)施網(wǎng)絡(luò)攻擊���,實(shí)現(xiàn)這種借刀殺人的效果。
美國國家安全局(NSA)為了保護(hù)其身份安全��,使用了美國隱私保護(hù)公司的匿名保護(hù)服務(wù)�,相關(guān)域名和證書均指向無關(guān)聯(lián)人員,以便掩蓋真實(shí)攻擊平臺對西北工業(yè)大學(xué)等中國信息網(wǎng)絡(luò)展開的多輪持續(xù)性攻擊����、竊密行動���。
國家計(jì)算機(jī)病毒應(yīng)急處理中心高級工程師 杜振華:有了這些跳板機(jī)之后����,TAO就可以躲在這些跳板機(jī)的后面,去向目標(biāo)發(fā)動網(wǎng)絡(luò)攻擊���。這樣從受害者的角度去看�,即使他發(fā)現(xiàn)了攻擊,實(shí)際上也是這些跳板機(jī)的����。那么這樣起到一個��,就是對真實(shí)的攻擊來源網(wǎng)絡(luò)地址的一個保護(hù)的這種作用�。
技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn),相關(guān)網(wǎng)絡(luò)攻擊活動開始前�,美國國家安全局(NSA)在美國多家大型知名互聯(lián)網(wǎng)企業(yè)配合下,將掌握的中國大量通信網(wǎng)絡(luò)設(shè)備的管理權(quán)限�,提供給美國國家安全局等情報(bào)機(jī)構(gòu)���,為持續(xù)侵入中國國內(nèi)的重要信息網(wǎng)絡(luò)大開方便之門�����。
TAO到底是什么�����?
據(jù)調(diào)查報(bào)告顯示,美國國家安全局(NSA)下屬的“特定入侵行動辦公室”(TAO)不僅對中國國內(nèi)的各重點(diǎn)企業(yè)和機(jī)構(gòu)實(shí)施惡意網(wǎng)絡(luò)攻擊����,而且還長期對中國的手機(jī)用戶進(jìn)行無差別的語音監(jiān)聽����,非法竊取手機(jī)用戶的短信內(nèi)容,并對其進(jìn)行無線定位�����。那么這個簡稱TAO的特定入侵行動辦公室到底是一個什么機(jī)構(gòu)呢���?
經(jīng)技術(shù)分析和網(wǎng)上溯源調(diào)查發(fā)現(xiàn)�,實(shí)施此次網(wǎng)絡(luò)攻擊行動美國國家安全局(NSA)下屬特定入侵行動辦公室(TAO)部門,成立于1998年���,其力量部署主要依托美國國家安全局(NSA)在美國和歐洲的各密碼中心。目前已被公布的六個密碼中心分別是:
1����、國安局馬里蘭州的米德堡總部;
2��、瓦湖島的國安局夏威夷密碼中心(NSAH);
3、戈登堡的國安局喬治亞密碼中心(NSAG)����;
4���、圣安東尼奧的國安局得克薩斯密碼中心(NSAT);
5����、丹佛馬克利空軍基地的國安局科羅拉羅密碼中心(NSAC);
6���、德國達(dá)姆施塔特美軍基地的國安局歐洲密碼中心(NSAE)��。
特定入侵行動辦公室TAO是目前美國政府專門從事對他國實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊竊密活動的戰(zhàn)術(shù)實(shí)施單位����,由2000多名軍人和文職人員組成�。下設(shè)10個單位:
1、遠(yuǎn)程操作中心(ROC,代號 S321)�,主要負(fù)責(zé)操作武器平臺和工具進(jìn)入并控制目標(biāo)系統(tǒng)或網(wǎng)絡(luò)�����。
2、先進(jìn)/接入網(wǎng)絡(luò)技術(shù)處(ANT����,代號 S322)���,負(fù)責(zé)研究相關(guān)硬件技術(shù)����,為TAO網(wǎng)絡(luò)攻擊行動提供硬件相關(guān)技術(shù)和武器裝備支持��。
3��、數(shù)據(jù)網(wǎng)絡(luò)技術(shù)處(DNT,代號 S323),負(fù)責(zé)研發(fā)復(fù)雜的計(jì)算機(jī)軟件工具,為TAO操作人員執(zhí)行網(wǎng)絡(luò)攻擊任務(wù)提供支撐���。
4、電信網(wǎng)絡(luò)技術(shù)處(TNT,代號 S324)����,負(fù)責(zé)研究電信相關(guān)技術(shù)����,為TAO操作人員隱蔽滲透電信網(wǎng)絡(luò)提供支撐����。
5、任務(wù)基礎(chǔ)設(shè)施技術(shù)處(MIT�,代號 S325)���,負(fù)責(zé)開發(fā)與建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全監(jiān)控平臺�����,用于構(gòu)建攻擊行動網(wǎng)絡(luò)環(huán)境與匿名網(wǎng)絡(luò)。
6����、接入行動處(AO���,代號 S326)�,負(fù)責(zé)通過供應(yīng)鏈���,對擬送達(dá)目標(biāo)的產(chǎn)品進(jìn)行后門安裝��。
7、需求與定位處(R&T���,代號 S327);接收各相關(guān)單位的任務(wù)���,確定偵察目標(biāo),分析評估情報(bào)價(jià)值�。
8��、接入技術(shù)行動處(ATO,編號 S328)�,負(fù)責(zé)研發(fā)接觸式竊密裝置�,并與美國中央情報(bào)局和聯(lián)邦調(diào)查局人員合作�,通過人力接觸方式將竊密軟件或裝置安裝在目標(biāo)的計(jì)算機(jī)和電信系統(tǒng)中。
9��、S32P:項(xiàng)目計(jì)劃整合處(PPI����,代號 S32P),負(fù)責(zé)總體規(guī)劃與項(xiàng)目管理���。
10、NWT:網(wǎng)絡(luò)戰(zhàn)小組(NWT)�,負(fù)責(zé)與133個網(wǎng)絡(luò)作戰(zhàn)小隊(duì)聯(lián)絡(luò)�。
美國國家安全局NSA針對西北工業(yè)大學(xué)的攻擊竊密行動負(fù)責(zé)人是羅伯特·喬伊斯(Robert Edward Joyce)�����。此人于1967年9月13日出生���,1989年進(jìn)入美國國家安全局工作�����。曾經(jīng)擔(dān)任過“特定入侵行動辦公室TAO”副主任、主任��,現(xiàn)擔(dān)任美國國家安全局NSA網(wǎng)絡(luò)安全主管���。
360公司網(wǎng)絡(luò)安全專家 邊亮:目前據(jù)我們了解是(TAO)代表了全球網(wǎng)絡(luò)攻擊的最高水平���,他們所掌握的大量的攻擊武器����,相當(dāng)于有了互聯(lián)網(wǎng)當(dāng)中的萬能鑰匙一樣,它可以任意地去進(jìn)出它想要的目標(biāo)設(shè)備���,從而去進(jìn)行比如情報(bào)的竊取,或者說進(jìn)行破壞等動作�。
你的信息也可能被泄露��!
專家呼吁提高網(wǎng)絡(luò)安全防范
調(diào)查報(bào)告顯示,一直以來�����,美國國家安全局(NSA)針對我國各行業(yè)龍頭企業(yè)��、政府����、大學(xué)�、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)甚至關(guān)乎國計(jì)民生的重要信息基礎(chǔ)設(shè)施運(yùn)維單位等機(jī)構(gòu)長期進(jìn)行秘密黑客攻擊活動���。其行為或?qū)ξ覈膰腊踩㈥P(guān)鍵基礎(chǔ)設(shè)施安全�、金融安全�、社會安全���、生產(chǎn)安全以及公民個人信息造成嚴(yán)重危害���,值得我們深思與警惕���。
此次西北工業(yè)大學(xué)聯(lián)合中國國家計(jì)算機(jī)病毒應(yīng)急處理中心與360公司�����,全面還原了數(shù)年間美國國家安全局(NSA)利用網(wǎng)絡(luò)武器發(fā)起的一系列攻擊行為,打破了一直以來美國對我國的單向透明優(yōu)勢。面對國家級背景的強(qiáng)大對手,首先要知道風(fēng)險(xiǎn)在哪�,是什么樣的風(fēng)險(xiǎn)�����,什么時(shí)候的風(fēng)險(xiǎn)。
360公司創(chuàng)始人 周鴻祎:只要能迅速發(fā)現(xiàn)����,能看見這種威脅���,感知到這種攻擊���。那么就能夠定位溯源��,就知道它從哪進(jìn)來的,知道他們用什么漏洞進(jìn)來的,然后就能把它給處置掉��,把它清理掉���,同時(shí)把該修補(bǔ)的漏洞都修補(bǔ)上��。
調(diào)查報(bào)告認(rèn)為�����,西北工業(yè)大學(xué)此次公開發(fā)布遭受境外網(wǎng)絡(luò)攻擊的聲明�����,本著實(shí)事求是�����、絕不姑息的決心�����,堅(jiān)決一查到底,積極采取防御措施的行動值得遍布全球的美國國家安全局(NSA)網(wǎng)絡(luò)攻擊活動受害者學(xué)習(xí)����,這將成為世界各國有效防范抵御美國國家安全局(NSA)后續(xù)網(wǎng)絡(luò)攻擊行為的有力借鑒�。
本期編輯 鄒姍
