報(bào)告：美國(guó)安局對(duì)中國(guó)網(wǎng)絡(luò)目標(biāo)實(shí)施上萬(wàn)次攻擊，控制大量網(wǎng)絡(luò)設(shè)備

物聯(lián)網(wǎng)智庫(kù)

+ 關(guān)注

2022-09-06 11:42

580次閱讀

報(bào)告：美國(guó)安局對(duì)中國(guó)網(wǎng)絡(luò)目標(biāo)實(shí)施上萬(wàn)次攻擊，控制大量網(wǎng)絡(luò)設(shè)備

資料來(lái)源：央視新聞等

作者：Alex

物聯(lián)網(wǎng)智庫(kù) 整理發(fā)布

導(dǎo)讀

今天，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告，初步判定相關(guān)攻擊活動(dòng)的“真兇”為美國(guó)國(guó)家安全局（NSA）下屬的特定入侵行動(dòng)辦公室（Office of Tailored Access Operation，簡(jiǎn)稱TAO），目前相關(guān)證據(jù)已被上報(bào)國(guó)家有關(guān)部門(mén)。

“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”。今天，不知道大家是否有收到來(lái)自中國(guó)聯(lián)通推送的國(guó)家網(wǎng)絡(luò)安全宣傳周公益短信，9月5日至11日是2022年國(guó)家網(wǎng)絡(luò)安全宣傳周，9月7日是宣傳周電信日。可能平時(shí)大家并不會(huì)在意這樣一條短信，但今天的一件大事可能會(huì)讓你有所改觀。

也就在宣傳周開(kāi)始的第一天，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告，報(bào)告顯示，經(jīng)過(guò)技術(shù)團(tuán)隊(duì)對(duì)相關(guān)攻擊事件全面還原，初步判定相關(guān)攻擊活動(dòng)的“真兇”為美國(guó)國(guó)家安全局（NSA）下屬的特定入侵行動(dòng)辦公室（Office of Tailored Access Operation，簡(jiǎn)稱TAO），目前相關(guān)證據(jù)已被上報(bào)國(guó)家有關(guān)部門(mén)。

此外報(bào)告中還提到，多年來(lái)，TAO對(duì)我國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊，控制了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備，包括網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等，竊取高價(jià)值數(shù)據(jù)超過(guò)140GB。并且，TAO還利用其網(wǎng)絡(luò)攻擊武器平臺(tái)、“零日漏洞”（0day）及其控制的網(wǎng)絡(luò)設(shè)備等，持續(xù)擴(kuò)大著網(wǎng)絡(luò)的攻擊和范圍。

“真兇”曝光！證據(jù)確鑿

今年4月，西安市公安機(jī)關(guān)接到了一起網(wǎng)絡(luò)攻擊的報(bào)警，報(bào)案的是西北工業(yè)大學(xué)。據(jù)信息化建設(shè)和管理處副處長(zhǎng)兼信息中心主任宋強(qiáng)介紹，該校信息系統(tǒng)發(fā)現(xiàn)了木馬程序，企圖非法獲取權(quán)限，這給學(xué)校的正常工作和生活秩序造成了重大的風(fēng)險(xiǎn)隱患。隨后西安市公安局立即組織警力，與網(wǎng)絡(luò)安全技術(shù)專家成立聯(lián)合專案組對(duì)此案進(jìn)行立案?jìng)刹椤?/span>

6月22日，西北工業(yè)大學(xué)面向社會(huì)面再次發(fā)布聲明，稱有來(lái)自境外的黑客組織和不法分子向?qū)W校師生發(fā)送包含木馬程序的釣魚(yú)郵件，企圖竊取相關(guān)師生郵件數(shù)據(jù)和公民個(gè)人信息。隨后西安市公安局碑林分局發(fā)布警情通報(bào)，證實(shí)了西北工業(yè)大學(xué)的說(shuō)法，并對(duì)提取到的木馬和釣魚(yú)郵件樣本進(jìn)一步開(kāi)展技術(shù)分析。

隨著調(diào)查的進(jìn)行，今天一切的真相得以浮出水面。根據(jù)央視新聞播報(bào)，中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成的技術(shù)團(tuán)隊(duì)對(duì)此案進(jìn)行了全面技術(shù)分析工作。技術(shù)團(tuán)隊(duì)先后從西北工業(yè)大學(xué)的多個(gè)信息系統(tǒng)和上網(wǎng)終端中提取到了多款木馬樣本，綜合使用國(guó)內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段，并得到了歐洲、南亞部分國(guó)家合作伙伴的通力支持，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭。技術(shù)團(tuán)隊(duì)初步判明對(duì)西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊行動(dòng)的正是NSA信息情報(bào)部（代號(hào)S）數(shù)據(jù)偵察局（代號(hào)S3）下屬TAO（代號(hào)S32）部門(mén)。

TAO成立于1998年，是目前美國(guó)政府專門(mén)從事對(duì)他國(guó)實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊竊密活動(dòng)的戰(zhàn)術(shù)實(shí)施單位，它不僅負(fù)責(zé)對(duì)中國(guó)國(guó)內(nèi)的各重點(diǎn)企業(yè)和機(jī)構(gòu)實(shí)施惡意網(wǎng)絡(luò)攻擊，而且還長(zhǎng)期對(duì)中國(guó)的手機(jī)用戶進(jìn)行無(wú)差別的語(yǔ)音監(jiān)聽(tīng)，非法竊取手機(jī)用戶的短信內(nèi)容，并對(duì)其進(jìn)行無(wú)線定位。

TAO的力量部署主要依托于NSA在美國(guó)和歐洲的各密碼中心，目前已被公布的六個(gè)密碼中心分別是：國(guó)安局馬里蘭州的米德堡總部、瓦湖島的國(guó)安局夏威夷密碼中心(NSAH)、戈登堡的國(guó)安局喬治亞密碼中心(NSAG)、圣安東尼奧的國(guó)安局得克薩斯密碼中心(NSAT)、丹佛馬克利空軍基地的國(guó)安局科羅拉羅密碼中心(NSAC)、德國(guó)達(dá)姆施塔特美軍基地的國(guó)安局歐洲密碼中心(NSAE)。該組織由2000多名軍人和文職人員組成，下設(shè)10個(gè)處：

1.遠(yuǎn)程操作中心(ROC，代號(hào) S321)，主要負(fù)責(zé)操作武器平臺(tái)和工具進(jìn)入并控制目標(biāo)系統(tǒng)或網(wǎng)絡(luò)。

2.先進(jìn)/接入網(wǎng)絡(luò)技術(shù)處(ANT，代號(hào) S322)，負(fù)責(zé)研究相關(guān)硬件技術(shù)，為T(mén)AO網(wǎng)絡(luò)攻擊行動(dòng)提供硬件相關(guān)技術(shù)和武器裝備支持。

3.數(shù)據(jù)網(wǎng)絡(luò)技術(shù)處(DNT，代號(hào) S323)，負(fù)責(zé)研發(fā)復(fù)雜的計(jì)算機(jī)軟件工具，為T(mén)AO操作人員執(zhí)行網(wǎng)絡(luò)攻擊任務(wù)提供支撐。

4.電信網(wǎng)絡(luò)技術(shù)處(TNT，代號(hào) S324)，負(fù)責(zé)研究電信相關(guān)技術(shù)，為T(mén)AO操作人員隱蔽滲透電信網(wǎng)絡(luò)提供支撐。

5.任務(wù)基礎(chǔ)設(shè)施技術(shù)處(MIT，代號(hào) S325)，負(fù)責(zé)開(kāi)發(fā)與建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全監(jiān)控平臺(tái)，用于構(gòu)建攻擊行動(dòng)網(wǎng)絡(luò)環(huán)境與匿名網(wǎng)絡(luò)。

6.接入行動(dòng)處(AO，代號(hào) S326)，負(fù)責(zé)通過(guò)供應(yīng)鏈，對(duì)擬送達(dá)目標(biāo)的產(chǎn)品進(jìn)行后門(mén)安裝。

7.需求與定位處(R&T，代號(hào) S327)；接收各相關(guān)單位的任務(wù)，確定偵察目標(biāo)，分析評(píng)估情報(bào)價(jià)值。

8.接入技術(shù)行動(dòng)處(ATO，編號(hào) S328)，負(fù)責(zé)研發(fā)接觸式竊密裝置，并與美國(guó)中央情報(bào)局和聯(lián)邦調(diào)查局人員合作，通過(guò)人力接觸方式將竊密軟件或裝置安裝在目標(biāo)的計(jì)算機(jī)和電信系統(tǒng)中。

9.S32P：項(xiàng)目計(jì)劃整合處(PPI，代號(hào) S32P)，負(fù)責(zé)總體規(guī)劃與項(xiàng)目管理。

10.NWT：網(wǎng)絡(luò)戰(zhàn)小組(NWT)，負(fù)責(zé)與133個(gè)網(wǎng)絡(luò)作戰(zhàn)小隊(duì)聯(lián)絡(luò)。

可以說(shuō)，TAO代表了全球網(wǎng)絡(luò)攻擊的最高水平，以他們所掌握的網(wǎng)絡(luò)攻擊武器而言，就如同有了一把能夠打開(kāi)互聯(lián)網(wǎng)中任何目標(biāo)設(shè)備的萬(wàn)能鑰匙。

此此次針對(duì)西北工業(yè)大學(xué)的NSA內(nèi)部攻擊行動(dòng)代號(hào)為“阻擊XXXX”（shotXXXX）。該行動(dòng)由TAO負(fù)責(zé)人羅伯特·喬伊斯（Robert Joyce）直接指揮，ROC（S321）和MIT（S325）負(fù)責(zé)構(gòu)建偵查環(huán)境、租用攻擊資源，ANT(S322)、DNT（S323）、TNT（S324）負(fù)責(zé)提供技術(shù)支撐，ROC（S321）負(fù)責(zé)組織開(kāi)展攻擊偵查行動(dòng)，R&T（ S327）負(fù)責(zé)確定攻擊行動(dòng)戰(zhàn)略和情報(bào)評(píng)估。

手段卑劣，危害巨大

本次調(diào)查發(fā)現(xiàn)，TAO在近年對(duì)我國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊，控制了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備，竊取了超過(guò)140GB的高價(jià)值數(shù)據(jù)。而在此次攻擊活動(dòng)開(kāi)始前，TAO就已經(jīng)在美國(guó)多家大型知名互聯(lián)網(wǎng)企業(yè)的配合下，掌握了中國(guó)大量通信網(wǎng)絡(luò)設(shè)備的管理權(quán)限，為NSA持續(xù)侵入中國(guó)國(guó)內(nèi)的重要信息網(wǎng)絡(luò)打開(kāi)了方便之門(mén)。

經(jīng)過(guò)復(fù)雜分析和溯源，聯(lián)合技術(shù)團(tuán)隊(duì)已經(jīng)掌握了TAO對(duì)我國(guó)信息網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的相關(guān)證據(jù)，涉及在美國(guó)國(guó)內(nèi)對(duì)中國(guó)直接發(fā)起網(wǎng)絡(luò)攻擊的人員13名，以及NSA通過(guò)掩護(hù)公司為構(gòu)建網(wǎng)絡(luò)攻擊環(huán)境而與美國(guó)電信運(yùn)營(yíng)商簽訂的合同60余份、電子文件170余份。目前，相關(guān)調(diào)查結(jié)果已經(jīng)上報(bào)國(guó)家有關(guān)部門(mén)。

在針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中，TAO先后使用了多達(dá)41種NSA專屬網(wǎng)絡(luò)攻擊武器，僅后門(mén)工具“狡詐異端犯”（NSA命名）就有14款不同版本，具體包括了漏洞攻擊突破類武器、持久化控制類武器、嗅探竊密類武器和隱蔽消痕類武器，持續(xù)對(duì)西北工業(yè)大學(xué)開(kāi)展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。技術(shù)團(tuán)隊(duì)澄清其在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路1100余條、操作的指令序列90余個(gè)，并從被入侵的網(wǎng)絡(luò)設(shè)備中定位到了多份遭竊取的網(wǎng)絡(luò)設(shè)備配置文件、遭嗅探的網(wǎng)絡(luò)通信數(shù)據(jù)及口令、其它類型的日志和密鑰文件，以及其他與攻擊活動(dòng)相關(guān)的主要細(xì)節(jié)。

為了隱匿的對(duì)西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)實(shí)施攻擊行為，TAO做了相當(dāng)長(zhǎng)時(shí)間的準(zhǔn)備工作和精心偽裝。TAO先是利用其掌握的針對(duì)SunOS操作系統(tǒng)的兩個(gè)“零日漏洞”利用工具，選擇了中國(guó)周邊國(guó)家的教育機(jī)構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo)。攻擊成功后，即安裝NOPEN木馬程序，控制大批跳板機(jī)。

在此次針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中，TAO就先后使用了54臺(tái)跳板機(jī)和代理服務(wù)器。為了掩蓋真實(shí)的IP，TAO先是精心挑選了一大批“傀儡”機(jī)器，它們主要分布在日本、韓國(guó)、瑞典、波蘭、烏克蘭等17個(gè)國(guó)家，其中70%均位于中國(guó)周邊。有了這些跳板機(jī)，TAO就可以躲在后方向目標(biāo)發(fā)起網(wǎng)絡(luò)攻擊，如此一來(lái)，即便受害者發(fā)現(xiàn)攻擊，也只能指向這些前面的“傀儡”跳板機(jī)，而發(fā)現(xiàn)不了真實(shí)的攻擊來(lái)源網(wǎng)絡(luò)地址。

然后針對(duì)西北工業(yè)大學(xué)攻擊平臺(tái)所使用的網(wǎng)絡(luò)資源涉及代理服務(wù)器，則由NSA通過(guò)秘密成立的兩家掩護(hù)公司購(gòu)買(mǎi)埃及、荷蘭和哥倫比亞等地的IP，并租用了一批服務(wù)器。通過(guò)使用這種虛擬身份或者代理人身份，TAO甚至可以通過(guò)網(wǎng)絡(luò)攻擊手段在對(duì)方不知情的情況下接管第三方用戶的服務(wù)器資源，實(shí)現(xiàn)“借刀殺人”的效果。

調(diào)查顯示，從目前來(lái)看，聯(lián)合技術(shù)團(tuán)隊(duì)至少掌握TAO從其接入環(huán)境（美國(guó)國(guó)內(nèi)電信運(yùn)營(yíng)商）控制跳板機(jī)的四個(gè)IP地址，分別為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時(shí)，為了進(jìn)一步撇清或掩蓋這些“傀儡”機(jī)器、代理服務(wù)器與NSA之間的關(guān)系，保護(hù)其身份安全，NSA還使用了美國(guó)隱私保護(hù)公司的匿名保護(hù)服務(wù)，使相關(guān)域名和證書(shū)均指向無(wú)關(guān)聯(lián)人員，以便他們?nèi)?ldquo;瞞天過(guò)海”行卑劣之事。

危害國(guó)家，危害百姓

針對(duì)美國(guó)刺探西北工業(yè)大學(xué)數(shù)據(jù)機(jī)密，很多人可能會(huì)表示不解，畢竟不是清華、北大、浙大、復(fù)旦等超級(jí)名校。但事實(shí)上了解西北工業(yè)大學(xué)就會(huì)發(fā)現(xiàn)，美國(guó)對(duì)西北工業(yè)大學(xué)下手是有絕對(duì)理由的。

西北工業(yè)大學(xué)是隸屬于工業(yè)和信息化部的一所多科性、研究性、開(kāi)放式大學(xué)，擁有強(qiáng)大軍工背景，是我國(guó)的“國(guó)防七子”之一。西北工業(yè)大學(xué)是目前我國(guó)從事航空、航天、航海工程教育和科學(xué)研究領(lǐng)域的重點(diǎn)大學(xué)，擁有大量國(guó)家頂級(jí)科研團(tuán)隊(duì)和高端人才，承擔(dān)著國(guó)家很多的重點(diǎn)技術(shù)研發(fā)和機(jī)密科研項(xiàng)目研究工作，一直以來(lái)都是中國(guó)最重要的尖端技術(shù)人才培養(yǎng)高地。在美國(guó)制裁的中國(guó)13所知名高校當(dāng)中，西北工業(yè)大學(xué)赫然在列。

用句玩笑話來(lái)講：西北工業(yè)大學(xué)牛不牛，可能只有西北工業(yè)大學(xué)自己、國(guó)家和美國(guó)五角大樓知道。

當(dāng)然，不要以為美國(guó)只會(huì)對(duì)其虎視眈眈的政府部門(mén)、科研機(jī)構(gòu)、軍工單位、高校院所、龍頭企業(yè)、醫(yī)療機(jī)構(gòu)等這些一般人觸摸不到的地方進(jìn)行網(wǎng)絡(luò)攻擊。實(shí)際調(diào)查中發(fā)現(xiàn)，除了以上單位之外，NSA還利用其控制的網(wǎng)絡(luò)攻擊武器平臺(tái)、“零日漏洞”(Oday)和網(wǎng)絡(luò)設(shè)備，長(zhǎng)期對(duì)中國(guó)的手機(jī)用戶進(jìn)行著無(wú)差別的語(yǔ)音監(jiān)聽(tīng)，非法竊取手機(jī)用戶的短信內(nèi)容，并對(duì)其進(jìn)行無(wú)線定位。

根據(jù)中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心數(shù)據(jù)顯示，我國(guó)每年遭遇境外惡意網(wǎng)絡(luò)攻擊超200萬(wàn)次，其中從境外攻擊來(lái)源地來(lái)看，美國(guó)高居榜首。與此同時(shí)，中國(guó)遭受的美國(guó)網(wǎng)絡(luò)攻擊還在連年增加，數(shù)據(jù)顯示，2020年位于美國(guó)的約1.9萬(wàn)臺(tái)木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器，控制了中國(guó)境內(nèi)約446 萬(wàn)臺(tái)主機(jī)。

在此，也提醒大家借國(guó)家網(wǎng)絡(luò)安全宣傳周短信提醒大家，尤其在我們所處的數(shù)字化時(shí)代，從國(guó)家到個(gè)人，數(shù)字化建設(shè)已經(jīng)涉及社會(huì)的方方面面的，大家一定要共同關(guān)注網(wǎng)絡(luò)安全，提升網(wǎng)絡(luò)安全意識(shí)，強(qiáng)化數(shù)據(jù)安全防護(hù)，從每個(gè)人做起，加強(qiáng)個(gè)人信息的保護(hù)。最后向大家普及幾條規(guī)避釣魚(yú)郵件風(fēng)險(xiǎn)的方法：