西工大遭美网攻调查报告出炉 打破美国“单向透明优势”
针对西北工业大学遭受TAO网络攻击的技术分析行动中,中国打破了一直以来美国对我国的单向透明优势,掌握了美国实施网络攻击的充分证据。
西北工业大学遭受美国国家安全局(NSA)网络攻击事件调查又有了新进展。
9月27日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之二)》。
披露了美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)攻击渗透西北工业大学的流程、窃取西北工业大学和中国运营商敏感信息,公布了TAO网络攻击西北工业大学所使用的武器平台IP列表及所用跳板IP列表。
TAO攻击渗透西北工业大学流程
TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
经过长期的精心准备,TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。
利用木马级联控制渗透的方式,向西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权。
窃取身份验证数据,并进一步实施渗透拓展,最终达成了对西北工业大学内部网络的隐蔽控制。
TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器。
同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。
利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。
TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。
根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商。
构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。
TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络。
随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器。
利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
NSA掩盖真实IP
精心伪装网络攻击痕迹
此次通过两次调查报告披露,我们可以发现美国国家安全局(NSA)为了隐匿其对西北工业大学等中国信息网络实施网络攻击的行为,做了长时间准备工作,并且进行了精心伪装。
技术团队分析发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。
特定入侵行动办公室(TAO)利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,即安装NOPEN木马程序,控制了大批跳板机。
特定入侵行动办公室(TAO)在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
其中,用以掩盖真实IP的跳板机都是精心挑选,所有IP均归属于非“五眼联盟”国家。
针对西北工业大学攻击平台所使用的网络资源涉及代理服务器,美国国家安全局(NSA)通过秘密成立的两家掩护公司购买了埃及、荷兰和哥伦比亚等地的IP,并租用一批服务器。
技术团队还发现,相关网络攻击活动开始前,美国国家安全局(NSA)在美国多家大型知名互联网企业配合下,将掌握的中国大量通信网络设备的管理权限,提供给美国国家安全局等情报机构,为持续侵入中国国内的重要信息网络大开方便之门。
360公司网络安全专家边亮表示:“目前据我们了解是(TAO)代表了全球网络攻击的最高水平,他们所掌握的大量的攻击武器,相当于有了互联网当中的万能钥匙一样,它可以任意地去进出它想要的目标设备,从而去进行比如情报的窃取,或者说进行破坏等动作。”
加强网络防护与对抗
调查报告显示,一直以来,美国国家安全局(NSA)针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。
其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害,值得我们深思与警惕。
此次西北工业大学联合中国国家计算机病毒应急处理中心全面还原了数年间美国国家安全局(NSA)利用网络武器发起的一系列攻击行为,打破了一直以来美国对我国的单向透明优势。
调查报告认为,西北工业大学此次公开发布遭受境外网络攻击的声明,本着实事求是、绝不姑息的决心,坚决一查到底,积极采取防御措施的行动值得遍布全球的美国国家安全局(NSA)网络攻击活动受害者学习。
这将成为世界各国有效防范抵御美国国家安全局(NSA)后续网络攻击行为的有力借鉴。
最后,网络空间很大程度是物理空间的映射,网络活动轻易跨越国境的特性使之成为持续性斗争的先导。
没有网络安全就没有国家安全,只有发展我们在科技领域的非对称竞争优势,才能建立起属于中国的、独立自主的网络防护和对抗能力。
责编:孙浪
监制:李红梅
参考资料:
1.《西工大遭美网攻调查:美国国家安全局对我国基础设施渗透控制》央视新闻
2. 《美国网攻西工大背后又一细节:查询一批中国境内敏感身份人员》人民日报
3.《西工大遭网络攻击事件调查报告:源头系美国国安局》央视新闻
4.《西工大遭网袭细节:美将网络武器“饮茶”植入服务器进行窃密》澎湃新闻
5《调查报告显示:美国国安局窃取中国网络数据超140G》国家计算机病毒应急处理中心
6.《2022上半年网络安全漏洞态势观察》中国信息安全测评中心