美国国家安全局NSA对我国西北工业大学发起网络攻击事件,又有新的细节公开。
9月27日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之二)》,披露了美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)攻击渗透西北工业大学的流程、窃取西北工业大学和中国运营商敏感信息,公布了TAO网络攻击西北工业大学所使用的*器武**平台IP列表及所用跳板IP列表。
今年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击,随后西安警方对此正式立案调查,中国国家计算机病毒应急处理中心和360公司联合组成技术团队全程参与了此案的技术分析工作,并于9月5日发布了第一份“西北工业大学遭受美国NSA网络攻击调查报告”,调查报告指出此次网络攻击源头系美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)。
TAO窃取西工大关键敏感数据
27日发布的第二份调查报告显示,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
360公司网络安全专家边亮介绍,它可以批量对网络中的设备或者一段IP进行投漏洞、投病毒,从而获取相关权限,这可以做到自动化。它后续需要进行潜伏和长期控制,并且需要有针对性地去窃取相关文件,以及在撤退时需要销毁,这背后需要有人来操作。整个过程属于半自动化。
技术团队发现,特定入侵行动办公室(TAO)经过长期的精心准备,使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制*器武**,控制多台关键服务器,进一步部署嗅探窃密类*器武**。
报告显示,特定入侵行动办公室(TAO)通过窃取西北工业大*运学**维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。
渗透控制中国基础设施核心设备
360公司网络安全专家边亮介绍,它控制了西工大相关设备之后,利用西工大再去对其他单位进行攻击,这个过程是打引号的“合法”。相当于我们数据库中有一个类似于人脸识别的防护机制。比如说一个美国人来的话,可以直接拦住,但是他刷了西工大的脸,我们就会认为他是一个正常的用户,对他放行。但实际上西工大的相关服务器是被TAO所控制的,TAO进一步对其他单位发动攻击。
技术团队根据特定入侵行动办公室(TAO)攻击链路、渗透方式、木马样本等特征,关联发现其非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的(所谓)“合法”通道,实现了对中国基础设施的渗透控制。
加密后回传至美国国安局总部
报告显示,特定入侵行动办公室(TAO)通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以(所谓)“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的*器武**工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。 据央视新闻
>>细节披露
查明了13名攻击者的真实身份
中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析。研究团队经过持续攻坚,成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击*器武**和发起攻击的原始终端,发现了攻击实施者的身份线索,并成功查明了13名攻击者的真实身份。
最新的调查报告进一步表明,TAO长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换原系统文件和擦除系统日志的方式消痕隐身,规避溯源。
入侵细节披露,人赃俱获
最新发布的报告公布了一系列细节进一步证明TAO实施网络攻击行为,其中包括其是在什么时间通过什么方式窃取中国用户隐私数据,相当于“人赃俱获”。
细节显示:北京时间20××年3月7日22:53,TAO通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。
同日15:02,TAO将查询到的用户数据保存在被攻 击 服 务 器“/var/tmp/.2e434fd8aeae73e1/erf/out/f/”目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。
此外,TAO运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外一家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。
攻击者使用美式英语、美式键盘
技术团队在对网络攻击者长时间追踪和反渗透过程中发现,攻击者具有以下语言特征:一是攻击者有使用美式英语的习惯;二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击者使用美式键盘进行输入。
攻击时操作失误
暴露工作路径
针对西北工业大学遭受TAO网络攻击的技术分析行动中,中国打破了一直以来美国对我国的“单向透明”优势,掌握了美国实施网络攻击的充分证据。
值得一提的是,TAO在实施网络攻击中因操作失误暴露工作路径。根据介绍,20××年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autout-ils”系TAO网络攻击*器武**工具目录的专用名称(aut-outils)。
攻击行为都是美国上班时间
此外,技术分析还发现,美国仰仗自己强大的技术优势,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。
根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。其次,美国时间的全部周六、周日时间内均未发生对西北工业大学的网络攻击行动。第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。 据环球时报