|
西北工業(yè)大學(xué)6月份曾發(fā)布聲明,稱有來(lái)自境外的黑客組織和不法分子向?qū)W校師生發(fā)送包含木馬程序的釣魚郵件���,企圖竊取相關(guān)師生郵件數(shù)據(jù)和公民個(gè)人信息���。9月5日,《環(huán)球時(shí)報(bào)》從相關(guān)部門獲悉���,“西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊”的“真兇”是美國(guó)國(guó)家安全局(NSA)特定入侵行動(dòng)辦公室(TAO)�����。在各部門的通力協(xié)作下��,此次行動(dòng)全面還原了數(shù)年間美國(guó)NSA利用網(wǎng)絡(luò)武器發(fā)起的一系列攻擊行為�,打破了一直以來(lái)美國(guó)對(duì)我國(guó)的“單向透明”優(yōu)勢(shì)。
證據(jù)確鑿��!網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)的是美國(guó)國(guó)家安全局.png (289.37 KB, 下載次數(shù): 260)
下載附件
保存到相冊(cè)
證據(jù)確鑿��!網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)的是美國(guó)國(guó)家安全局
2022-9-5 12:22 上傳
“真兇”曝光:美國(guó)特定入侵行動(dòng)辦公室
6月22日�,西北工業(yè)大學(xué)發(fā)布聲明,稱有來(lái)自境外的黑客組織和不法分子向?qū)W校師生發(fā)送包含木馬程序的釣魚郵件�����,企圖竊取相關(guān)師生郵件數(shù)據(jù)和公民個(gè)人信息���,給學(xué)校正常工作和生活秩序造成重大風(fēng)險(xiǎn)隱患��。6月23日�����,西安市公安局碑林分局發(fā)布警情通報(bào)�,稱已立案?jìng)刹椋?duì)提取到的木馬和釣魚郵件樣本進(jìn)一步開展技術(shù)分析�。初步判定,此事件為境外黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊行為����。
針對(duì)“西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊”,中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成技術(shù)團(tuán)隊(duì)(以下簡(jiǎn)稱“技術(shù)團(tuán)隊(duì)”)��,對(duì)此案進(jìn)行全面技術(shù)分析工作�。技術(shù)團(tuán)隊(duì)先后從西北工業(yè)大學(xué)的多個(gè)信息系統(tǒng)和上網(wǎng)終端中提取到了多款木馬樣本��,綜合使用國(guó)內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段��,并得到了歐洲�、南亞部分國(guó)家合作伙伴的通力支持,全面還原了相關(guān)攻擊事件的總體概貌����、技術(shù)特征、攻擊武器�����、攻擊路徑和攻擊源頭��。技術(shù)團(tuán)隊(duì)初步判明對(duì)西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊行動(dòng)是NSA信息情報(bào)部(代號(hào)S)數(shù)據(jù)偵察局(代號(hào)S3)下屬TAO(代號(hào)S32)部門。
攻擊行動(dòng)代號(hào) “阻擊XXXX”
TAO成立于1998年���,是目前美國(guó)政府專門從事對(duì)他國(guó)實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊竊密活動(dòng)的戰(zhàn)術(shù)實(shí)施單位����,由2000多名軍人和文職人員組成�,下設(shè)10個(gè)處室。
證據(jù)確鑿�!網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)的是美國(guó)國(guó)家安全局1.png (242.97 KB, 下載次數(shù): 256)
下載附件
保存到相冊(cè)
證據(jù)確鑿!網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)的是美國(guó)國(guó)家安全局
2022-9-5 12:22 上傳
《環(huán)球時(shí)報(bào)》記者了解到���,此案在NSA內(nèi)部攻擊行動(dòng)代號(hào)為“阻擊XXXX”(shotXXXX)�����。直接參與指揮與行動(dòng)的主要包括TAO負(fù)責(zé)人�����,遠(yuǎn)程操作中心(主要負(fù)責(zé)操作武器平臺(tái)和工具進(jìn)入并控制目標(biāo)系統(tǒng)或網(wǎng)絡(luò))以及任務(wù)基礎(chǔ)設(shè)施技術(shù)處(負(fù)責(zé)開發(fā)與建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全監(jiān)控平臺(tái)����,用于構(gòu)建攻擊行動(dòng)網(wǎng)絡(luò)環(huán)境與匿名網(wǎng)絡(luò))�。
除此之外�����,還有四個(gè)處室參與了此次行動(dòng)����,分別是:先進(jìn)/接入網(wǎng)絡(luò)技術(shù)處�、數(shù)據(jù)網(wǎng)絡(luò)技術(shù)處、電信網(wǎng)絡(luò)技術(shù)處負(fù)責(zé)提供負(fù)責(zé)提供技術(shù)支撐����,需求與定位處則負(fù)責(zé)確定攻擊行動(dòng)戰(zhàn)略和情報(bào)評(píng)估��。
而當(dāng)時(shí)TAO負(fù)責(zé)人是羅伯特·喬伊斯�����。此人1967年9月13日出生���,曾就讀于漢尼拔高中���,1989年畢業(yè)于克拉克森大學(xué),獲學(xué)士學(xué)位�,1993年畢業(yè)于約翰·霍普金斯大學(xué)�����,獲碩士學(xué)位�。1989年進(jìn)入美國(guó)國(guó)家安全局工作��。曾經(jīng)擔(dān)任過(guò)TAO副主任�,2013年至2017年擔(dān)任TAO主任。2017年10月開始擔(dān)任代理美國(guó)國(guó)土安全顧問(wèn)�。2018年4月至5月,擔(dān)任美國(guó)白宮國(guó)務(wù)安全顧問(wèn)����,后回到NSA擔(dān)任美國(guó)國(guó)家安全局局長(zhǎng)網(wǎng)絡(luò)安全戰(zhàn)略高級(jí)顧問(wèn),現(xiàn)擔(dān)任NSA網(wǎng)絡(luò)安全局主管�����。
證據(jù)確鑿�!網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)的是美國(guó)國(guó)家安全局.jpeg (14.58 KB, 下載次數(shù): 254)
下載附件
保存到相冊(cè)
證據(jù)確鑿!網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)的是美國(guó)國(guó)家安全局
2022-9-5 12:23 上傳
技術(shù)團(tuán)隊(duì)全面還原攻擊竊密過(guò)程:TAO使用41種NSA專屬網(wǎng)絡(luò)攻擊武器
本次調(diào)查發(fā)現(xiàn)���,在近年里���,美國(guó)NSA下屬TAO對(duì)中國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊����,控制了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)服務(wù)器����、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)���、電話交換機(jī)��、路由器�����、防火墻等),竊取了超過(guò)140GB的高價(jià)值數(shù)據(jù)�。
技術(shù)分析中還發(fā)現(xiàn),TAO已于此次攻擊活動(dòng)開始前���,在美國(guó)多家大型知名互聯(lián)網(wǎng)企業(yè)的配合下���,掌握了中國(guó)大量通信網(wǎng)絡(luò)設(shè)備的管理權(quán)限,為NSA持續(xù)侵入中國(guó)國(guó)內(nèi)的重要信息網(wǎng)絡(luò)大開方便之門����。
經(jīng)溯源分析�,技術(shù)團(tuán)隊(duì)現(xiàn)已全部還原此次攻擊竊密過(guò)程:在針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中��,TAO使用了41種NSA專屬網(wǎng)絡(luò)攻擊武器�,持續(xù)對(duì)西北工業(yè)大學(xué)開展攻擊竊密,竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置����、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)�����。技術(shù)團(tuán)隊(duì)澄清其在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路1100余條�、操作的指令序列90余個(gè),多份遭竊取的網(wǎng)絡(luò)設(shè)備配置文件����,嗅探的網(wǎng)絡(luò)通信數(shù)據(jù)及口令、其它類型的日志和密鑰文件���,基本還原了每一次攻擊的主要細(xì)節(jié)�����。掌握并固定了多條相關(guān)證據(jù)鏈���,涉及在美國(guó)國(guó)內(nèi)對(duì)中國(guó)直接發(fā)起網(wǎng)絡(luò)攻擊的人員13名��,以及NSA通過(guò)掩護(hù)公司為構(gòu)建網(wǎng)絡(luò)攻擊環(huán)境而與美國(guó)電信運(yùn)營(yíng)商簽訂的合同60余份�����,電子文件170余份��。
證據(jù)確鑿:鎖定四個(gè)IP地址 為掩護(hù)其攻擊行動(dòng)���,TAO在開始行動(dòng)前進(jìn)行了較長(zhǎng)時(shí)間的準(zhǔn)備工作,主要進(jìn)行匿名化攻擊基礎(chǔ)設(shè)施的建設(shè)����。TAO利用其掌握的針對(duì)SunOS操作系統(tǒng)的兩個(gè)“零日漏洞”利用工具,選擇了中國(guó)周邊國(guó)家的教育機(jī)構(gòu)�、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo)��;攻擊成功后���,安裝NOPEN木馬程序(參與有關(guān)研究報(bào)告)�����,控制了大批跳板機(jī)��。
證據(jù)確鑿��!網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)的是美國(guó)國(guó)家安全局2.png (79.64 KB, 下載次數(shù): 243)
下載附件
保存到相冊(cè)
證據(jù)確鑿����!網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)的是美國(guó)國(guó)家安全局
2022-9-5 12:23 上傳
據(jù)介紹,TAO在針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中先后使用了54臺(tái)跳板機(jī)和代理服務(wù)器����,主要分布在日本、韓國(guó)��、瑞典�����、波蘭�、烏克蘭等17個(gè)國(guó)家,其中70%位于中國(guó)周邊國(guó)家��,如日本、韓國(guó)等���。
這些跳板機(jī)的功能僅限于指令中轉(zhuǎn)����,即:將上一級(jí)的跳板指令轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng)�,從而掩蓋美國(guó)國(guó)家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實(shí)IP。目前已經(jīng)至少掌握TAO從其接入環(huán)境(美國(guó)國(guó)內(nèi)電信運(yùn)營(yíng)商)控制跳板機(jī)的四個(gè)IP地址�,分別為209.59.36.*、69.165.54.*�����、207.195.240.*和209.118.143.*��。同時(shí)���,為了進(jìn)一步掩蓋跳板機(jī)和代理服務(wù)器與NSA之間的關(guān)聯(lián)關(guān)系�����,NSA使用了美國(guó)Register公司的匿名保護(hù)服務(wù)���,對(duì)相關(guān)域名、證書以及注冊(cè)人等可溯源信息進(jìn)行匿名化處理����,無(wú)法通過(guò)公開渠道進(jìn)行查詢。
技術(shù)團(tuán)隊(duì)通過(guò)威脅情報(bào)數(shù)據(jù)關(guān)聯(lián)分析����,發(fā)現(xiàn)針對(duì)西北工業(yè)大學(xué)攻擊平臺(tái)所使用的網(wǎng)絡(luò)資源共涉及5臺(tái)代理服務(wù)器,NSA通過(guò)秘密成立的兩家掩護(hù)公司向美國(guó)泰瑞馬克(Terremark)公司購(gòu)買了埃及�����、荷蘭和哥倫比亞等地的IP地址�,并租用一批服務(wù)器。這兩家公司分別為杰克·史密斯咨詢公司(Jackson Smith Consultants)���、穆勒多元系統(tǒng)公司(MuellerDiversified Systems)���。同時(shí),技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn)���,TAO基礎(chǔ)設(shè)施技術(shù)處(MIT)工作人員使用“阿曼達(dá)·拉米雷斯(Amanda Ramirez)”的名字匿名購(gòu)買域名和一份通用的SSL證書(ID:e42d3bea0a16111e67ef79f9cc2*****)���。隨后�����,上述域名和證書被部署在位于美國(guó)本土的中間人攻擊平臺(tái)“酸狐貍”(Foxacid)上���,對(duì)中國(guó)的大量網(wǎng)絡(luò)目標(biāo)開展攻擊,特別是���,TAO對(duì)西北工業(yè)大學(xué)等中國(guó)信息網(wǎng)絡(luò)目標(biāo)展開了多輪持續(xù)性的攻擊�����、竊密行動(dòng)��。
為了掩藏攻擊行蹤����,TAO在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中���,會(huì)根據(jù)目標(biāo)環(huán)境對(duì)同一款網(wǎng)絡(luò)武器進(jìn)行靈活配置��。例如�����,對(duì)西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊中使用的網(wǎng)絡(luò)武器中����,僅后門工具“狡詐異端犯”(NSA命名)就有14個(gè)不同版本��。
意義重大:打破美國(guó)對(duì)我國(guó)的“單向透明”優(yōu)勢(shì)
根據(jù)介紹�����, 一直以來(lái)�����,美國(guó)國(guó)家安全局(NSA)針對(duì)我國(guó)各行業(yè)龍頭企業(yè)��、政府���、大學(xué)�����、醫(yī)療機(jī)構(gòu)���、科研機(jī)構(gòu)甚至關(guān)乎國(guó)計(jì)民生的重要信息基礎(chǔ)設(shè)施運(yùn)維單位等機(jī)構(gòu)長(zhǎng)期進(jìn)行秘密黑客攻擊活動(dòng)�����。其行為或?qū)ξ覈?guó)的國(guó)防安全����、關(guān)鍵基礎(chǔ)設(shè)施安全����、金融安全、社會(huì)安全�、生產(chǎn)安全以及公民個(gè)人信息造成嚴(yán)重危害。
此次西北工業(yè)大學(xué)聯(lián)合中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心與360公司�,全面還原了數(shù)年間美國(guó)NSA利用網(wǎng)絡(luò)武器發(fā)起的一系列攻擊行為,打破了一直以來(lái)美國(guó)對(duì)我國(guó)的“單向透明”優(yōu)勢(shì)���。面對(duì)國(guó)家級(jí)背景的強(qiáng)大對(duì)手���,首先要知道風(fēng)險(xiǎn)在哪,是什么樣的風(fēng)險(xiǎn)��,什么時(shí)候的風(fēng)險(xiǎn)��,從此次美國(guó)NSA攻擊事件也可證明�����,看不見(jiàn)就要挨打。這是一次三方集中精力聯(lián)手攻克“看見(jiàn)”難題的成功實(shí)踐��,幫助國(guó)家真正感知風(fēng)險(xiǎn)�����、看見(jiàn)威脅��、抵御攻擊��,將境外黑客攻擊暴露在陽(yáng)光下�。
此外���,西北工業(yè)大學(xué)聯(lián)合相關(guān)部門積極采取防御措施的行動(dòng)更是值得遍布全球的NSA網(wǎng)絡(luò)攻擊活動(dòng)受害者學(xué)習(xí)�,這將成為世界各國(guó)有效防范抵御美國(guó)NSA后續(xù)網(wǎng)絡(luò)攻擊行為的有力借鑒����,《環(huán)球時(shí)報(bào)》也將持續(xù)關(guān)注此事進(jìn)展。
| 
分享
收藏
支持
反對(duì)
