今天,國家計算機病毒應急處理中心和360公司分別發布關于西北工業大學遭受境外網絡攻擊的調查報告,初步判定相關攻擊活動的“真兇”為美國國家安全局(NSA)下屬的特定入侵行動辦公室(Office of Tailored Access Operation,簡稱TAO),目前相關證據已被上報國家有關部門。
“網絡安全為人民,網絡安全靠人民”。今天,不知道大家是否有收到來自中國聯通推送的國家網絡安全宣傳周公益短信,9月5日至11日是2022年國家網絡安全宣傳周,9月7日是宣傳周電信日。可能平時大家并不會在意這樣一條短信,但今天的一件大事可能會讓你有所改觀。
也就在宣傳周開始的第一天,國家計算機病毒應急處理中心和360公司分別發布了關于西北工業大學遭受境外網絡攻擊的調查報告,報告顯示,經過技術團隊對相關攻擊事件全面還原,初步判定相關攻擊活動的“真兇”為美國國家安全局(NSA)下屬的特定入侵行動辦公室(Office of Tailored Access Operation,簡稱TAO),目前相關證據已被上報國家有關部門。
此外報告中還提到,多年來,TAO對我國國內的網絡目標實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡設備,包括網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火墻等,竊取高價值數據超過140GB。并且,TAO還利用其網絡攻擊武器平臺、“零日漏洞”(0day)及其控制的網絡設備等,持續擴大著網絡的攻擊和范圍。
“真兇”曝光!證據確鑿
今年4月,西安市公安機關接到了一起網絡攻擊的報警,報案的是西北工業大學。據信息化建設和管理處副處長兼信息中心主任宋強介紹,該校信息系統發現了木馬程序,企圖非法獲取權限,這給學校的正常工作和生活秩序造成了重大的風險隱患。隨后西安市公安局立即組織警力,與網絡安全技術專家成立聯合專案組對此案進行立案偵查。
6月22日,西北工業大學面向社會面再次發布聲明,稱有來自境外的黑客組織和不法分子向學校師生發送包含木馬程序的釣魚郵件,企圖竊取相關師生郵件數據和公民個人信息。隨后西安市公安局碑林分局發布警情通報,證實了西北工業大學的說法,并對提取到的木馬和釣魚郵件樣本進一步開展技術分析。
隨著調查的進行,今天一切的真相得以浮出水面。根據央視新聞播報,中國國家計算機病毒應急處理中心和360公司聯合組成的技術團隊對此案進行了全面技術分析工作。技術團隊先后從西北工業大學的多個信息系統和上網終端中提取到了多款木馬樣本,綜合使用國內現有數據資源和分析手段,并得到了歐洲、南亞部分國家合作伙伴的通力支持,全面還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭。技術團隊初步判明對西北工業大學實施網絡攻擊行動的正是NSA信息情報部(代號S)數據偵察局(代號S3)下屬TAO(代號S32)部門。
TAO成立于1998年,是目前美國政府專門從事對他國實施大規模網絡攻擊竊密活動的戰術實施單位,它不僅負責對中國國內的各重點企業和機構實施惡意網絡攻擊,而且還長期對中國的手機用戶進行無差別的語音監聽,非法竊取手機用戶的短信內容,并對其進行無線定位。
TAO的力量部署主要依托于NSA在美國和歐洲的各密碼中心,目前已被公布的六個密碼中心分別是:國安局馬里蘭州的米德堡總部、瓦湖島的國安局夏威夷密碼中心(NSAH)、戈登堡的國安局喬治亞密碼中心(NSAG)、圣安東尼奧的國安局得克薩斯密碼中心(NSAT)、丹佛馬克利空軍基地的國安局科羅拉羅密碼中心(NSAC)、德國達姆施塔特美軍基地的國安局歐洲密碼中心(NSAE)。該組織由2000多名軍人和文職人員組成,下設10個處:
1.遠程操作中心(ROC,代號 S321),主要負責操作武器平臺和工具進入并控制目標系統或網絡。
2.先進/接入網絡技術處(ANT,代號 S322),負責研究相關硬件技術,為TAO網絡攻擊行動提供硬件相關技術和武器裝備支持。
3.數據網絡技術處(DNT,代號 S323),負責研發復雜的計算機軟件工具,為TAO操作人員執行網絡攻擊任務提供支撐。
4.電信網絡技術處(TNT,代號 S324),負責研究電信相關技術,為TAO操作人員隱蔽滲透電信網絡提供支撐。
5.任務基礎設施技術處(MIT,代號 S325),負責開發與建立網絡基礎設施和安全監控平臺,用于構建攻擊行動網絡環境與匿名網絡。
6.接入行動處(AO,代號 S326),負責通過供應鏈,對擬送達目標的產品進行后門安裝。
7.需求與定位處(R&T,代號 S327);接收各相關單位的任務,確定偵察目標,分析評估情報價值。
8.接入技術行動處(ATO,編號 S328),負責研發接觸式竊密裝置,并與美國中央情報局和聯邦調查局人員合作,通過人力接觸方式將竊密軟件或裝置安裝在目標的計算機和電信系統中。
9.S32P:項目計劃整合處(PPI,代號 S32P),負責總體規劃與項目管理。
10.NWT:網絡戰小組(NWT),負責與133個網絡作戰小隊聯絡。
可以說,TAO代表了全球網絡攻擊的最高水平,以他們所掌握的網絡攻擊武器而言,就如同有了一把能夠打開互聯網中任何目標設備的萬能鑰匙。
此此次針對西北工業大學的NSA內部攻擊行動代號為“阻擊XXXX”(shotXXXX)。該行動由TAO負責人羅伯特·喬伊斯(Robert Joyce)直接指揮,ROC(S321)和MIT(S325)負責構建偵查環境、租用攻擊資源,ANT(S322)、DNT(S323)、TNT(S324)負責提供技術支撐,ROC(S321)負責組織開展攻擊偵查行動,R&T( S327)負責確定攻擊行動戰略和情報評估。
手段卑劣,危害巨大
本次調查發現,TAO在近年對我國國內的網絡目標實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡設備,竊取了超過140GB的高價值數據。而在此次攻擊活動開始前,TAO就已經在美國多家大型知名互聯網企業的配合下,掌握了中國大量通信網絡設備的管理權限,為NSA持續侵入中國國內的重要信息網絡打開了方便之門。
經過復雜分析和溯源,聯合技術團隊已經掌握了TAO對我國信息網絡實施網絡攻擊和數據竊密的相關證據,涉及在美國國內對中國直接發起網絡攻擊的人員13名,以及NSA通過掩護公司為構建網絡攻擊環境而與美國電信運營商簽訂的合同60余份、電子文件170余份。目前,相關調查結果已經上報國家有關部門。
在針對西北工業大學的網絡攻擊中,TAO先后使用了多達41種NSA專屬網絡攻擊武器,僅后門工具“狡詐異端犯”(NSA命名)就有14款不同版本,具體包括了漏洞攻擊突破類武器、持久化控制類武器、嗅探竊密類武器和隱蔽消痕類武器,持續對西北工業大學開展攻擊竊密,竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。技術團隊澄清其在西北工業大學內部滲透的攻擊鏈路1100余條、操作的指令序列90余個,并從被入侵的網絡設備中定位到了多份遭竊取的網絡設備配置文件、遭嗅探的網絡通信數據及口令、其它類型的日志和密鑰文件,以及其他與攻擊活動相關的主要細節。
為了隱匿的對西北工業大學的信息網絡實施攻擊行為,TAO做了相當長時間的準備工作和精心偽裝。TAO先是利用其掌握的針對SunOS操作系統的兩個“零日漏洞”利用工具,選擇了中國周邊國家的教育機構、商業公司等網絡應用流量較多的服務器為攻擊目標。攻擊成功后,即安裝NOPEN木馬程序,控制大批跳板機。
在此次針對西北工業大學的網絡攻擊中,TAO就先后使用了54臺跳板機和代理服務器。為了掩蓋真實的IP,TAO先是精心挑選了一大批“傀儡”機器,它們主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家,其中70%均位于中國周邊。有了這些跳板機,TAO就可以躲在后方向目標發起網絡攻擊,如此一來,即便受害者發現攻擊,也只能指向這些前面的“傀儡”跳板機,而發現不了真實的攻擊來源網絡地址。
然后針對西北工業大學攻擊平臺所使用的網絡資源涉及代理服務器,則由NSA通過秘密成立的兩家掩護公司購買埃及、荷蘭和哥倫比亞等地的IP,并租用了一批服務器。通過使用這種虛擬身份或者代理人身份,TAO甚至可以通過網絡攻擊手段在對方不知情的情況下接管第三方用戶的服務器資源,實現“借刀殺人”的效果。
調查顯示,從目前來看,聯合技術團隊至少掌握TAO從其接入環境(美國國內電信運營商)控制跳板機的四個IP地址,分別為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時,為了進一步撇清或掩蓋這些“傀儡”機器、代理服務器與NSA之間的關系,保護其身份安全,NSA還使用了美國隱私保護公司的匿名保護服務,使相關域名和證書均指向無關聯人員,以便他們去“瞞天過海”行卑劣之事。
危害國家,危害百姓
針對美國刺探西北工業大學數據機密,很多人可能會表示不解,畢竟不是清華、北大、浙大、復旦等超級名校。但事實上了解西北工業大學就會發現,美國對西北工業大學下手是有絕對理由的。
西北工業大學是隸屬于工業和信息化部的一所多科性、研究性、開放式大學,擁有強大軍工背景,是我國的“國防七子”之一。西北工業大學是目前我國從事航空、航天、航海工程教育和科學研究領域的重點大學,擁有大量國家頂級科研團隊和高端人才,承擔著國家很多的重點技術研發和機密科研項目研究工作,一直以來都是中國最重要的尖端技術人才培養高地。在美國制裁的中國13所知名高校當中,西北工業大學赫然在列。
用句玩笑話來講:西北工業大學牛不牛,可能只有西北工業大學自己、國家和美國五角大樓知道。
當然,不要以為美國只會對其虎視眈眈的政府部門、科研機構、軍工單位、高校院所、龍頭企業、醫療機構等這些一般人觸摸不到的地方進行網絡攻擊。實際調查中發現,除了以上單位之外,NSA還利用其控制的網絡攻擊武器平臺、“零日漏洞”(Oday)和網絡設備,長期對中國的手機用戶進行著無差別的語音監聽,非法竊取手機用戶的短信內容,并對其進行無線定位。
根據中國計算機網絡應急技術處理協調中心數據顯示,我國每年遭遇境外惡意網絡攻擊超200萬次,其中從境外攻擊來源地來看,美國高居榜首。與此同時,中國遭受的美國網絡攻擊還在連年增加,數據顯示,2020年位于美國的約1.9萬臺木馬或僵尸網絡控制服務器,控制了中國境內約446 萬臺主機。
在此,也提醒大家借國家網絡安全宣傳周短信提醒大家,尤其在我們所處的數字化時代,從國家到個人,數字化建設已經涉及社會的方方面面的,大家一定要共同關注網絡安全,提升網絡安全意識,強化數據安全防護,從每個人做起,加強個人信息的保護。最后向大家普及幾條規避釣魚郵件風險的方法:
提高郵箱安全等級,如使用復雜密碼、開啟手機驗證等
不要輕易相信和點開陌生郵件中的附件和鏈接
重要的事情請勿通過郵件溝通,需要通過郵件的請主動發起確認
參考資料:
1.《西北工業大學遭美國NSA網絡攻擊事件調查》,央視新聞
2.《證據確鑿!西北工業大學遭網絡攻擊事件:源頭系美國國家安全局》,極目新聞
