查看原文
其他

石锤!网攻西工大的神秘黑客身份被锁定

观察者网整理 大白聊IT
2024-08-23

据央视新闻客户端报道,近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”(SecondDate)的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。

据了解,在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局(NSA)网络攻击案过程中,成功提取了这款间谍软件的多个样本,并锁定了这起网络间谍行动背后美国国家安全局(NSA)工作人员的真实身份。

据环球网报道,相关人士向记者表示,适时将通过媒体公布NSA实施网络攻击人员真实身份信息。相信到时将会再次引发全球民众对美国政府肆意网攻他国的关注。

据技术分析报告显示,“二次约会”间谍软件是美国国家安全局(NSA)开发的网络间谍武器,该软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,它与其他恶意软件配合可以完成复杂的网络“间谍”活动。

国家计算机病毒应急处理中心高级工程师 杜振华:该软件是具有高技术水平的网络间谍工具,使攻击者能够全面接管被攻击的(目标)网络设备以及流经这些网络设备的网络流量,从而实现对目标网络中主机和用户的长期窃密,同时还可以作为下一阶段攻击的“前进基地”,随时向目标网络中投送更多网络攻击武器。

据专家介绍,“二次约会”间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上,其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。另外,“二次约会”间谍软件支持在各类操作系统上运行,同时兼容多种体系架构,适用范围较广。

国家计算机病毒应急处理中心高级工程师 杜振华:该间谍软件通常是结合特定入侵行动办公室(TAO)的各类针对防火墙、网络路由器的网络设备漏洞攻击工具一并使用。一旦漏洞攻击成功,攻击者成功获得了目标网络设备的控制权限,就可以将这款网络间谍软件植入到目标的网络设备中。

报告显示,国家计算机病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查,经层层溯源,发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本,并发现被美国国家安全局(NSA)远程控制的跳板服务器,其中多数分布在德国、日本、韩国、印度和中国台湾。

国家计算机病毒应急处理中心高级工程师 杜振华:在多国业内伙伴的通力配合下,我们的联合调查工作取得了突破性进展。目前已经成功锁定了针对西北工业大学发动网络攻击的美国国家安全局(NSA)相关工作人员的真实身份。

相关报道

去年6月23日,陕西省西安市公安局碑林分局官方微博发布通报称,2022年4月12日15时许,碑林分局太白路派出所接到西北工业大学信息化建设与管理处报警称:该校电子邮件系统发现批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序,引诱部分师生点击链接,非法获取师生电子邮箱登录权限,致使相关邮件数据出现被窃取风险。

同时,部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。上述发送钓鱼邮件和发起网络攻击的行为对西北工业大学校内信息系统和广大师生的重要数据造成重大安全威胁。接警后,碑林分局立即组织网安大队开展调查取证,初步掌握了相关事实,提取了木马程序和钓鱼邮件样本并依法固定了相关证据。

目前,碑林分局已根据中华人民共和国《刑法》第285条之规定,对此案进行立案侦查,并对提取到的木马和钓鱼邮件样本进一步开展技术分析。初步判定,此事件为境外黑客组织和不法分子发起的网络攻击行为。

警方提示:网络安全无小事,任何个人和组织在遇到危害网络安全的行为时,有权依照《中华人民共和国网络安全法》第十四条之规定,向当地公安机关网安部门举报,公安机关将依法对相关违法犯罪行为予以坚决打击。

2022年9月8日,外交部美大司司长杨涛就美国对我西北工业大学实施网络攻击窃密向美国驻华使馆提出严正交涉。

杨涛指出,日前,中国国家计算机病毒应急处理中心和360公司发布美国国家安全局下属部门对中国西北工业大学实施网络攻击的调查报告,有关事实清清楚楚,证据确凿充分。这不是美国政府第一次对中国机构实施网络攻击和窃密敏感信息。美方行径严重侵犯中国有关机构的技术秘密,严重危害中国关键基础设施、机构和个人信息安全,必须立即停止。

2022年9月27日,中国国家计算机病毒应急处理中心网站发布西北工业大学遭美国NSA网络攻击事件调查报告(之二)。

2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本,西安警方已对此正式立案调查。

中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、东南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自于美国国家安全局(NSA)的“特定入侵行动办公室”(即:Office of Tailored Access Operation,后文简称“TAO”)。

本系列研究报告将公布TAO对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。

报告还称,研究团队经过持续攻坚,成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端,发现了攻击实施者的身份线索,并成功查明了13名攻击者的真实身份。

来源|观察者网综合


往期推荐



今年的Apple Watch和iPhone 15系列都有哪些新亮点?

有这3个迹象,你就该离职了

阿里新任CEO发布全员信:4年内让85后90后成主力管理者

OpenAI:颠覆一切,也被一切颠覆

张勇卸任阿里云董事长与CEO,蔡崇信、吴泳铭履新阿里集团董事长、CEO

卫星通话来了,中国电信正式上线1000 元/年...


素材来源官方媒体/网络新闻
继续滑动看下一个
大白聊IT
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存