13名攻击者，真实身份查明！

此前报道↓

小心“饮茶”！细节公布，外交部发声

美国国安局干的！详情公布

• 窃取西工大核心网络设备账号口令及配置信息

• 多次窃取接入网认证设备账号口令及配置信息

• 北京时间20××年5月30日0时28分，TAO以位于日本的代理服务器（IP：210.135.××.××）为攻击跳板，非法入侵了西北工业大学运维网络“telnet”管理服务器，上传并安装NOPEN木马，然后级联控制其内网监控管理服务器，这2台服务器事先均已被安装“饮茶”嗅探工具，TAO远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括接入网认证设备的账号、口令及配置信息。

• 北京时间20××年7月4日1时12分，TAO利用位于德国莱比锡技术经济和文化学院的代理服务器（IP：141.57.××.××）作为攻击跳板，非法入侵西北工业大学运维网络“telnet”管理服务器，上传并安装NOPEN木马工具，级联控制其内网监控管理服务器等其他3台服务器，这4台服务器事先均已被安装“饮茶”嗅探工具，TAO远程操控木马检索并下载窃密文件后清痕退出。

• 北京时间20××年10月11日10时35分，TAO利用位于韩国首尔国立江原大学的代理服务器（IP：210.115.××.××）作为攻击跳板，非法入侵西北工业大学运维网络监控管理服务器，上传并安装NOPEN木马工具，然后级联控制其内网备份服务器、认证服务器等其他4台服务器，这5台服务器事先均已被安装“饮茶”嗅探工具，TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。

• 北京时间20××年10月19日2时46分，TAO以位于韩国大田的高等科学技术研究学院的代理服务器（IP：143.248.××.××）为攻击跳板，非法入侵西北工业大学运维网络“telnet”管理服务器，级联控制其内网监管服务器等其他2台服务器，这3台服务器事先均已被安装“饮茶”嗅探工具，TAO通过远程操控木马检索并下载窃密文件，然后清痕退出。

• 窃取西北工业大学网络运行日志文件

• 窃取西北工业大学服务器定期任务配置脚本

• 窃取西北工业大学公司服务器系统信息文件

• 窃取中国用户隐私数据

• 北京时间20××年3月7日22时53分，美国国家安全局“特定入侵行动办公室”（TAO）通过位于墨西哥的攻击代理148.208.××.××，攻击控制中国某基础设施运营商的业务服务器211.136.××.××，通过两次内网横向移动（10.223.140.××、10.223.14.××）后，攻击控制了用户数据库服务器，非法查询多名身份敏感人员的用户信息。

• 同日15时02分，TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下，被打包回传至攻击跳板，随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。

• 美国国家安全局“特定入侵行动办公室”（TAO）运用同样的手法，分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分，攻击控制另外1家中国基础设施业务服务器，非法多批次查询、导出、窃取多名身份敏感人员的用户信息。

• 渗透控制全球电信基础设施

• 首先，根据对相关网络攻击行为的大数据分析，对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间，该时段对应着美国东部时间9时至16时，属于美国国内的工作时间段。
• 其次，美国时间的全部周六、周日中，均未发生对西北工业大学的网络攻击行动。
• 第三，分析美国特有的节假日，发现美国的“阵亡将士纪念日”放假3天，美国“独立日”放假1天，在这四天中攻击方没有实施任何攻击窃密行动。
• 第四，长时间对攻击行为密切跟踪发现，在历年圣诞节期间，所有网络攻击活动都处于静默状态。

• 攻击者有使用美式英语的习惯；
• 与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序；
• 攻击者使用美式键盘进行输入。