今天,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。调查发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备,窃取了超过140GB的高价值数据。
原来不法分子是美国国安局
今年4月,西安市公安机关接到一起网络攻击的报警,西北工业大学的信息系统发现遭受网络攻击的痕迹。到了6月22日,西北工业大学在其官方微信上发布一则声明,声明表示学校电子邮件遭受境外网络攻击,对学校正常教学生活造成负面影响。
陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马程序样本。初步判定,此事件为境外黑客组织和不法分子发起的网络攻击行为,并正式立案调查。
中国国家计算机病毒应急处理中心和360公司第一时间成立技术团队开展调查工作,全程参与此案技术分析。技术团队先后从多个信息系统和上网终端中捕获到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)的“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO)。
本次调查还发现,在近年里,美国国家安全局(NSA)下属特定入侵行动办公室(TAO)对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括:网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取了超过140GB的高价值数据。经过复杂的技术分析与溯源,技术团队现已澄清NSA攻击活动中使用的网络资源、专用武器装备及具体手法,还原了攻击过程和被窃取的文件,掌握了美国NSA“特定入侵行动办公室”(TAO)对中国信息网络实施网络攻击和数据窃密的证据链。
美国国安局是怎样进行恶意攻击的
经技术分析和网上溯源调查发现,此次网络攻击行动是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。
图:参与网络攻击的TAO部门的下属单位
美国国家安全局TAO部门的S325单位,通过层层掩护,构建了由49台跳板机和5台代理服务器组成的匿名网络,购买专用网络资源,架设攻击平台。这些跳板机均经过精心挑选,所有IP均归属于非「五眼联盟」国家(五眼联盟包括美国、英国、加拿大、澳大利亚和新西兰),而且大部分选择了中国周边国家(如日本、韩国等)的IP,约占70%。根据溯源分析,本次窃密行动共选用了其中的49台跳板机,这些跳板机仅使用了中转指令,将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。
图:美国国家安全局(NSA)对西北工业大学实施网络攻击
此外,美国国家安全局NSA为了保护其身份安全,使用了美国Register公司的匿名保护服务,相关域名和证书无明确指向,无关联人员。另一方面,根据技术分析的结果,TAO已于此次攻击活动开始前,在美国多家大型知名互联网企业的配合下,掌握了中国大量通信网络设备的管理权限,为NSA持续侵入中国国内的重要信息网络大开方便之门。
有了这个前提条件,S321单位运用40余种不同的NSA专属网络攻击武器,持续对我国开展攻击窃密,窃取了关键网络设备配置、网管数据、运维数据等核心技术数据,窃密活动持续时间长,覆盖范围广。
TAO还利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具(已提取样本),工具名称分别为EXTREMEPARR(NSA命名)和EBBISLAND(NSA命名),选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN(NSA命名,已提取样本)后门,控制了大批跳板机。总体而言,美国国家安全局TAO的网络攻击武器装备针对性强,得到了美国互联网巨头的鼎力支持。
同一款装备会根据目标环境进行灵活配置,在这中使用的41款装备中,仅后门工具“狡诈异端犯”(NSA命名)在对西北工业大学的网络攻击中就有14款不同版本。NSA所使用工具类别主要分为四大类,分别是:
(一)漏洞攻击突破类武器TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名网络。
(二)持久化控制类武器TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO工作人员可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。
(三)嗅探窃密类武器
TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、生成的操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。
(四)隐蔽消痕类武器
TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。
美国国安局为什么要攻击西工大
「西北工业大学遭网络攻击的源头系美国国家安全局」的调查结果公布后,有网友不解:
还有调侃这是对西北工业大学最好的招生宣传:
还有人觉得,这是因为西北工业大学在国防领域有重要的地位。根据西北工业大学自己在官网上的介绍,西工大「为武器装备研制、国防领域关键核心技术自主安全可控和西部建设提供了有力支撑,是连续两次被中共中央、国务院、中央军委联合授予“重大贡献奖”的唯一高校」。
具体来说,在航空领域,一半以上的重大型号总师、副总师出自西北工业大学;在航天领域,担任国务院国资委管理的大型央企及所属企事业单位党政领导干部及副总师以上职务的,也有一大批西工大校友;在船舶工业、水中兵器行业的重要管理岗位与核心技术岗位上,也有相当比例的西工大校友。不过,西工大成为美国国安局的攻击目标,固然与西工大在军工领域有渊源存在关系,但从前面美国国家安全局TAO的网络攻击的技术分析来看,西工大并非美国国安局攻击的唯一目标。我国各行业龙头企业、政府、大学、医疗机构、科研机构其实都是美国国安局攻击对象,只是此次被攻击的西工大比较「幸运」,能及时发现攻击活动,加上国家计算机病毒应急处理中心和360公司应对及时、得当,从而让美国国安局的秘密活动曝光。
虽然此次成功分析出了美国国安局利用网络武器攻击西工大的行为,打破了一直以来美国对我国的单向透明优势,但对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息安全来说,此事仍值得们深思与警惕。
P.S.美国要断供中国的AI芯片前,美国商务部发言人说,「要防止技术落入坏人之手」,现在回看,也不知道谁是坏人……