网攻西北工大的真凶:美国国安局
2022-09-06袁宏
袁宏
西北工业大学6月曾发表声明,称有来自境外的黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。9月5日,《环球时报》从相关部门获悉,“西北工业大学遭受境外网络攻击”的“真凶”是美国国家安全局(NSA)特定入侵行动办公室(TAO)。在各部门的通力协作下,此次侦破行动全面还原了数年间NSA利用网络武器发起的一系列攻击行为,打破了一直以来美国对我国的“单向透明”优势。
对于TAO针对中国的网络目标实施的一系列恶意攻击一,中国外交部发言人毛宁5日表示,美方行径严重危害中国国家安全和公民个人信息安全。中方对此强烈谴责,要求美方作出解释并立即停止不法行为。
真凶曝光:美国特定入侵行动办公室
6月22日,西北工业大学发表声明,称有来自境外的黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,给学校正常工作和生活秩序造成重大风险隐患。6月23日,西安市公安局碑林分局发布警情通报,称已立案侦查,并对提取到的木马和钓鱼邮件样本进一步开展技术分析。初步判定,此事件为境外黑客组织和不法分子发起的网络攻击行为。
针对“西北工业大学遭受境外网络攻击”,中国国家计算枕有毒应急处理中心和360公司联合组成技术团队(以下简称“技术团队”),对此案进行全面技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持。技术团队初步判明对西北工业大学实施网络攻击行动的是NSA信息情报部(代号S)数据侦查局(代号S3)下属TAO(代号S32)。
TAO成立于1998年,是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,下设10个处室。《环球时报》记者了解到,此案在NSA内部的攻击行动代号为“阻击XXXX”。直接参与指挥和行动的主要包括TAO负责人、远程操作中心以及任务基础设施技术处。除此之外,还有4个处室参与了此次行动。当时TAO负责人是罗伯特•乔伊斯。此人1967年9月13日出生,1993年毕业于约翰•霍普金斯大学,获硕士学位,1989年进入NSA工作,2013年至2017年担任TAO主任,现担任NSA网络安全局主管。
使用41种专属网络攻击武器
本次调查发现,近年来,TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。技术分析中还发现,TAO已于此次攻击活动开始前,在美国多家大型知名互联网企业的配合下,掌握了中国大量通信网络设备的管理权限,为NSA持续侵入中国国内的重要信息网络打开方便之门。
经溯源分析,技术团队现已全部还原此次攻击窃密过程:在针对西北工业大学的网络攻击中,TAO使用了41种NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。技术团队累计发现NSA在西北工业大学内部渗透的攻击链路1100余条、操作的指令序列90余个,掌握并固定了多条相关证据链,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。
锁定四个IP地址
为掩护其攻击行动,TAO在开始行动前进行了较长时间的准备工作,主要蛙行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序,控制了大批跳板机。据介绍,TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边,如日本、韩国等。
这些跳板机的功能仅限于指令中转,即将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前,技术团队已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的4个IP地址。同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,令受攻击者无法通过公开渠道进行查询。
技术团队通过威胁情报数据关联分析,发现针对西北工业大学的攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司(Jackson Smith Consultants)和穆勒多元系统公司(Mueller Diversified Systems)同时,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达•拉米雷斯(Amanda Ramirea)”的名字匿名购买域名和一份通用的SSL证书。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击,特别是对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。
打破美国“单向透明”优势
根据介绍,,一直以来,NSA针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构,长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害。
此次西北工业大学联合中国国家计算机病毒应急处理中心与360公司,全面还原了数年间NSA利用网络武器发起的一系列攻击行为,打破了一直以来美国对我国的“单向透明”优势。面对国家级背景的强大对手,首先要知道风险在哪,是什么样的风险,什么时候的风险,从此次美国NSA攻击事件也可证明,看不见就要挨打,这是一次三方集中精力联手攻克“看见”难题的成功实践,帮助国家真正感知风险、看见威胁、抵御攻击,将境外黑客攻击暴露在阳光下。
西北工业大学联合相关部门积极采取防御措施的行动将成为世界各国有效防范抵御NSA网络攻击行为的有力借鉴,《环球时报》也将持续关注此事的进展情况。▲