繼9月5日，國家計算機病毒應急處理中心發布第一份「西北工業大學（下稱「西工大」）遭受美國NSA網絡攻擊調查報告」，指出此次網絡攻擊源頭係美國國家安全局（NSA）下屬的特定入侵行動辦公室（下稱TAO）後。27日，技術團隊再次發布最新調查報告揭露美國對西工大網絡攻擊的目的：滲透控制中國基礎設施核心設備，竊取中國用戶隱私數據，入侵過程中還查詢一批中國境內敏感身份人員，並將用戶信息打包加密後經多級跳板回傳至美國國家安全局總部。此外，研究團隊經過持續攻堅，成功查明了13名攻擊者的真實身份。

西北工業大學柔性電子團隊在實驗室進行實驗。

最新的調查報告進一步表明，TAO長期隱蔽控制西工大的運維管理服務器，同時採取替換原系統文件和擦除系統日誌的方式消痕隱身，規避溯源。網絡安全技術人員根據TAO攻擊西工大的隱蔽鏈路、滲透工具、木馬樣本等特徵關聯發現，TAO對我國基礎設施運營商核心數據網絡實施了滲透控制。

黑手伸向全球80國電信基建

TAO利用竊取到的網絡設備賬號口令，以「合法」身份進入中國某基礎設施運營商服務網絡，控制相關服務質量監控系統，竊取用戶隱私數據，非法查詢多名身份敏感人員的用戶信息，TAO將查詢到的用戶數據保存在被攻擊服務器目錄下，被打包回傳至攻擊跳板，隨後竊密過程中上傳的滲透工具、用戶數據等攻擊痕跡被專用工具快速清除。

國家計算機病毒應急處理中心高級工程師杜振華表示，TAO在這次針對西工大的攻擊中使用了很多網絡武器，比如「酸狐狸」，它屬於典型的漏洞突破類武器，它通過中間人的攻擊方式，向內網的被受害主機投送其他網絡武器，像「怒火噴射」、「絕不公開」這種持久控制類武器，就可以根據TAO遠程發送的控制指令來實施進一步的攻擊滲透。也部署了像嗅探竊密類武器，像飲茶，竊取更多的遠程管理主機賬號密碼。

據技術團隊分析，美國國家安全局（NSA）下屬的TAO以上述手法，利用相同的武器工具組合，「合法」控制了全球不少於80個國家的電信基礎設施網絡。技術團隊與歐洲和東南亞國家的合作夥伴通力協作，成功提取並固定了上述武器工具樣本，並成功完成了技術分析，擬適時對外公布，協助全球共同抵禦和防範美國國家安全局NSA的網絡滲透攻擊。

長期攻擊竊取網絡運維日誌

TAO還長期攻擊入侵西北工業大學網絡運維管理服務器，秘密竊取網絡設備運維配置文件和日誌文件。

北京時間20××年10月11日10時41分，TAO通過位於韓國的代理服務器（IP：210.115.××.××）入侵控制了西北工業大學一台內網服務器。10時48分，TAO經過兩次橫向移動，入侵了另一台內網服務器，訪問了特定目錄下的定期任務配置腳本，共檢索到14個用於定期執行任務的配置文件。隨後，一次性竊取了這14個文件，這些文件可用於執行定期清理、備份、檢查電源等操作。

98%攻擊時間在美國工作日發動

美國國安局對中國西北工業大學發動網路攻擊。圖為美國國安局總部。

特定入侵行動辦公室（下稱TAO）在網絡攻擊西北工業大學過程中，暴露出多項技術漏洞，多次出現操作失誤，相關證據進一步證明對西北工業大學實施網絡攻擊竊密行動的幕後黑手即為美國國家安全局（下稱NSA）。

西北工業大學。

據數據分析，對西北工業大學的網絡攻擊行動98%集中在北京時間21時至凌晨4時之間，完全脗合美國工作作息時間規律。而在美國時間的周六、周日，以及美國特有的節假日，均未發生對西北工業大學的網絡攻擊行動。此外，國家計算機病毒應急處理中心高級工程師杜振華表示，事故中洩露的指令及代碼中的字符串，其自然語言特徵符合英語母語國家的特點。而且與攻擊者相關聯的上網設備均安裝英文操作系統及各類英文版應用程式，且使用美式鍵盤輸入。

另一方面，武器操作失誤暴露工作路徑。TAO曾在一次入侵時出現人為失誤，信息中暴露出攻擊者上網終端的工作目錄和相應的文件名。同時，大量武器與遭曝光的NSA武器基因高度同源。此次被捕獲的41款不同網絡攻擊武器工具中，有16款工具與「影子經紀人」曝光的TAO武器完全一致；有23款工具雖然與「影子經紀人」曝光的工具不完全相同，但其基因相似度高達97%，屬於同一類武器。

專家倡多國協作護網絡安全

西北工業大學「翼鯤班」同學聆聽華為技術專家何慧作報告。

技術團隊經過持續攻堅，成功鎖定了美國國家安全局（下稱NSA）下屬特定入侵行動辦公室（下稱TAO）對西北工業大學實施網絡攻擊的目標節點、多級跳板、主控平台、加密隧道、攻擊武器和發起攻擊的原始終端，發現了攻擊實施者的身份線索，並成功查明了13名攻擊者的真實身份。

報告顯示，國家計算機病毒應急處理中心和360公司聯合組成技術團隊，全程參與了此案的技術分析工作，技術團隊得到歐洲、東南亞部分國家合作夥伴的通力支持，全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關攻擊活動源自NSA的TAO。本系列研究報告將為全球各國有效發現和防範TAO的後續網絡攻擊行為提供可以借鑒的案例。

中國科技大學公共事務學院網絡空間安全學院教授左曉棟表示，由於網絡攻擊它是跨國界的，所以網絡攻擊的溯源，無論是在技術上，還是在程序上，都有巨大難度。專家表示，網絡空間是人類共同家園，網絡攻擊是全球面臨的共同威脅，維護網絡安全是國際社會的共同責任。針對此類網絡攻擊，更需要相關國家通力合作才能揪出幕後黑手。