解密！為了攻擊西工大 美國國安局竟動用54台跳板機和代理服務器

今年4月，西北工業(ye) 大學的信息係統發現遭受網絡攻擊。今天，幕後黑手終於(yu) 挖出來了，沒想到竟是美國國家安全局。

今天，國家計算機病毒應急處理中心和360公司分別發布了關(guan) 於(yu) 西北工業(ye) 大學遭受境外網絡攻擊的調查報告。調查發現，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）多年來對我國國內(nei) 的網絡目標實施了上萬(wan) 次的惡意網絡攻擊，控製了相關(guan) 網絡設備，竊取了超過140GB的高價(jia) 值數據。

原來不法分子是美國國安局

今年4月，西安市公安機關(guan) 接到一起網絡攻擊的報警，西北工業(ye) 大學的信息係統發現遭受網絡攻擊的痕跡。到了6月22日，西北工業(ye) 大學在其官方微信上發布一則聲明，聲明表示學校電子郵件遭受境外網絡攻擊，對學校正常教學生活造成負麵影響。

陝西省西安市公安局碑林分局隨即發布《警情通報》，證實在西北工業(ye) 大學的信息網絡中發現了多款源於(yu) 境外的木馬程序樣本。初步判定，此事件為(wei) 境外黑客組織和不法分子發起的網絡攻擊行為(wei) ，並正式立案調查。

中國國家計算機病毒應急處理中心和360公司第一時間成立技術團隊開展調查工作，全程參與(yu) 此案技術分析。

技術團隊先後從(cong) 多個(ge) 信息係統和上網終端中捕獲到了木馬程序樣本，綜合使用國內(nei) 現有數據資源和分析手段，並得到歐洲、南亞(ya) 部分國家合作夥(huo) 伴的通力支持，全麵還原了相關(guan) 攻擊事件的總體(ti) 概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關(guan) 攻擊活動源自美國國家安全局（NSA）的“特定入侵行動辦公室”（Office of Tailored Access Operation，後文簡稱TAO）。

本次調查還發現，在近年裏，美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）對中國國內(nei) 的網絡目標實施了上萬(wan) 次的惡意網絡攻擊，控製了數以萬(wan) 計的網絡設備，包括：網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火牆等，竊取了超過140GB的高價(jia) 值數據。

經過複雜的技術分析與(yu) 溯源，技術團隊現已澄清NSA攻擊活動中使用的網絡資源、專(zhuan) 用武器裝備及具體(ti) 手法，還原了攻擊過程和被竊取的文件，掌握了美國NSA“特定入侵行動辦公室”（TAO）對中國信息網絡實施網絡攻擊和數據竊密的證據鏈。

美國國安局是怎樣進行惡意攻擊的

經技術分析和網上溯源調查發現，此次網絡攻擊行動是美國國家安全局（NSA）信息情報部（代號S）數據偵(zhen) 察局（代號S3）下屬TAO（代號S32）部門。

圖：參與(yu) 網絡攻擊的TAO部門的下屬單位

美國國家安全局TAO部門的S325單位，通過層層掩護，構建了由49台跳板機和5台代理服務器組成的匿名網絡，購買(mai) 專(zhuan) 用網絡資源，架設攻擊平台。

這些跳板機均經過精心挑選，所有IP均歸屬於(yu) 非「五眼聯盟」國家（五眼聯盟包括美國、英國、加拿大、澳大利亞(ya) 和新西蘭(lan) ），而且大部分選擇了中國周邊國家（如日本、韓國等）的IP，約占70%。

根據溯源分析，本次竊密行動共選用了其中的49台跳板機，這些跳板機僅(jin) 使用了中轉指令，將上一級的跳板指令轉發到目標係統，從(cong) 而掩蓋美國國家安全局發起網絡攻擊的真實IP。

圖：美國國家安全局（NSA）對西北工業(ye) 大學實施網絡攻擊

此外，美國國家安全局NSA為(wei) 了保護其身份安全，使用了美國Register公司的匿名保護服務，相關(guan) 域名和證書(shu) 無明確指向，無關(guan) 聯人員。另一方麵，根據技術分析的結果，TAO已於(yu) 此次攻擊活動開始前，在美國多家大型知名互聯網企業(ye) 的配合下，掌握了中國大量通信網絡設備的管理權限，為(wei) NSA持續侵入中國國內(nei) 的重要信息網絡大開方便之門。

有了這個(ge) 前提條件，S321單位運用40餘(yu) 種不同的NSA專(zhuan) 屬網絡攻擊武器，持續對我國開展攻擊竊密，竊取了關(guan) 鍵網絡設備配置、網管數據、運維數據等核心技術數據，竊密活動持續時間長，覆蓋範圍廣。

TAO還利用其掌握的針對SunOS操作係統的兩(liang) 個(ge) “零日漏洞”利用工具（已提取樣本），工具名稱分別為(wei) EXTREMEPARR（NSA命名）和EBBISLAND（NSA命名），選擇了中國周邊國家的教育機構、商業(ye) 公司等網絡應用流量較多的服務器為(wei) 攻擊目標；攻擊成功後，安裝NOPEN（NSA命名，已提取樣本）後門，控製了大批跳板機。總體(ti) 而言，美國國家安全局TAO的網絡攻擊武器裝備針對性強，得到了美國互聯網巨頭的鼎力支持。

同一款裝備會(hui) 根據目標環境進行靈活配置，在這中使用的41款裝備中，僅(jin) 後門工具“狡詐異端犯”（NSA命名）在對西北工業(ye) 大學的網絡攻擊中就有14款不同版本。NSA所使用工具類別主要分為(wei) 四大類，分別是：

（一）漏洞攻擊突破類武器

TAO依托此類武器對西北工業(ye) 大學的邊界網絡設備、網關(guan) 服務器、辦公內(nei) 網主機等實施攻擊突破，同時也用來攻擊控製境外跳板機以構建匿名網絡。

（二）持久化控製類武器

TAO依托此類武器對西北工業(ye) 大學網絡進行隱蔽持久控製，TAO工作人員可通過加密通道發送控製指令操作此類武器實施對西北工業(ye) 大學網絡的滲透、控製、竊密等行為(wei) 。

（三）嗅探竊密類武器

TAO依托此類武器嗅探西北工業(ye) 大學工作人員運維網絡時使用的賬號口令、生成的操作記錄，竊取西北工業(ye) 大學網絡內(nei) 部的敏感信息和運維數據等。

（四）隱蔽消痕類武器

TAO依托此類武器消除其在西北工業(ye) 大學網絡內(nei) 部的行為(wei) 痕跡，隱藏、掩飾其惡意操作和竊密行為(wei) ，同時為(wei) 上述三類武器提供保護。

美國國安局為(wei) 什麽(me) 要攻擊西工大

「西北工業(ye) 大學遭網絡攻擊的源頭係美國國家安全局」的調查結果公布後，有網友不解：

還有調侃這是對西北工業(ye) 大學最好的招生宣傳(chuan) ：

還有人覺得，這是因為(wei) 西北工業(ye) 大學在國防領域有重要的地位。根據西北工業(ye) 大學自己在官網上的介紹，西工大「為(wei) 武器裝備研製、國防領域關(guan) 鍵核心技術自主安全可控和西部建設提供了有力支撐，是連續兩(liang) 次被中共中央、國務院、中央軍(jun) 委聯合授予“重大貢獻獎”的唯一高校」。

具體(ti) 來說，在航空領域，一半以上的重大型號總師、副總師出自西北工業(ye) 大學；在航天領域，擔任國務院國資委管理的大型央企及所屬企事業(ye) 單位黨(dang) 政領導幹部及副總師以上職務的，也有一大批西工大校友；在船舶工業(ye) 、水中兵器行業(ye) 的重要管理崗位與(yu) 核心技術崗位上，也有相當比例的西工大校友。

不過，西工大成為(wei) 美國國安局的攻擊目標，固然與(yu) 西工大在軍(jun) 工領域有淵源存在關(guan) 係，但從(cong) 前麵美國國家安全局TAO的網絡攻擊的技術分析來看，西工大並非美國國安局攻擊的唯一目標。

我國各行業(ye) 龍頭企業(ye) 、政府、大學、醫療機構、科研機構其實都是美國國安局攻擊對象，隻是此次被攻擊的西工大比較「幸運」，能及時發現攻擊活動，加上國家計算機病毒應急處理中心和360公司應對及時、得當，從(cong) 而讓美國國安局的秘密活動曝光。

雖然此次成功分析出了美國國安局利用網絡武器攻擊西工大的行為(wei) ，打破了一直以來美國對我國的單向透明優(you) 勢，但對我國的國防安全、關(guan) 鍵基礎設施安全、金融安全、社會(hui) 安全、生產(chan) 安全以及公民個(ge) 人信息安全來說，此事仍值得們(men) 深思與(yu) 警惕。

P.S.美國要斷供中國的AI芯片前，美國商務部發言人說，「要防止技術落入壞人之手」，現在回看，也不知道誰是壞人……

參考資料：https://china.huanqiu.com/article/49WmaJ9bJnNhttps://www.zhihu.com/question/551866980

—版權聲明—

來源：新智元僅(jin) 用於(yu) 學術分享，版權屬於(yu) 原作者。若有侵權，請聯係刪除或修改！