-
西北工業(yè)大學(xué)遭網(wǎng)絡(luò)攻擊調(diào)查報(bào)告發(fā)布:攻擊源頭系美國(guó)國(guó)家安全局
最后更新: 2022-09-05 10:50:21國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心網(wǎng)站9月5日發(fā)布西北工業(yè)大學(xué)遭美國(guó)NSA網(wǎng)絡(luò)攻擊事件調(diào)查報(bào)告。
2022年6月22日,西北工業(yè)大學(xué)發(fā)布《公開(kāi)聲明》稱,該校遭受境外網(wǎng)絡(luò)攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報(bào)》,證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬樣本,西安警方已對(duì)此正式立案調(diào)查。
國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成技術(shù)團(tuán)隊(duì)(以下簡(jiǎn)稱“技術(shù)團(tuán)隊(duì)”),全程參與了此案的技術(shù)分析工作。技術(shù)團(tuán)隊(duì)先后從西北工業(yè)大學(xué)的多個(gè)信息系統(tǒng)和上網(wǎng)終端中提取到了多款木馬樣本,綜合使用國(guó)內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段,并得到了歐洲、南亞部分國(guó)家合作伙伴的通力支持,全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關(guān)攻擊活動(dòng)源自美國(guó)國(guó)家安全局(NSA)“特定入侵行動(dòng)辦公室”(Office of Tailored Access Operation,后文簡(jiǎn)稱TAO)。
一、攻擊事件概貌
本次調(diào)查發(fā)現(xiàn),在近年里,美國(guó)NSA下屬TAO對(duì)中國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊,控制了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等),竊取了超過(guò)140GB的高價(jià)值數(shù)據(jù)。TAO利用其網(wǎng)絡(luò)攻擊武器平臺(tái)、“零日漏洞”(0day)及其控制的網(wǎng)絡(luò)設(shè)備等,持續(xù)擴(kuò)大網(wǎng)絡(luò)攻擊和范圍。經(jīng)技術(shù)分析與溯源,技術(shù)團(tuán)隊(duì)現(xiàn)已澄清TAO攻擊活動(dòng)中使用的網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施、專用武器裝備及技戰(zhàn)術(shù),還原了攻擊過(guò)程和被竊取的文件,掌握了美國(guó)NSA及其下屬TAO對(duì)中國(guó)信息網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的相關(guān)證據(jù),涉及在美國(guó)國(guó)內(nèi)對(duì)中國(guó)直接發(fā)起網(wǎng)絡(luò)攻擊的人員13名,以及NSA通過(guò)掩護(hù)公司為構(gòu)建網(wǎng)絡(luò)攻擊環(huán)境而與美國(guó)電信運(yùn)營(yíng)商簽訂的合同60余份,電子文件170余份。
二、攻擊事件分析
在針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中,TAO使用了40余種不同的NSA專屬網(wǎng)絡(luò)攻擊武器,持續(xù)對(duì)西北工業(yè)大學(xué)開(kāi)展攻擊竊密,竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。通過(guò)取證分析,技術(shù)團(tuán)隊(duì)累計(jì)發(fā)現(xiàn)攻擊者在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路多達(dá)1100余條、操作的指令序列90余個(gè),并從被入侵的網(wǎng)絡(luò)設(shè)備中定位了多份遭竊取的網(wǎng)絡(luò)設(shè)備配置文件、遭嗅探的網(wǎng)絡(luò)通信數(shù)據(jù)及口令、其它類型的日志和密鑰文件以及其他與攻擊活動(dòng)相關(guān)的主要細(xì)節(jié)。具體分析情況如下:
(一)相關(guān)網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施
為掩護(hù)其攻擊行動(dòng),TAO在開(kāi)始行動(dòng)前會(huì)進(jìn)行較長(zhǎng)時(shí)間的準(zhǔn)備工作,主要進(jìn)行匿名化攻擊基礎(chǔ)設(shè)施的建設(shè)。TAO利用其掌握的針對(duì)SunOS操作系統(tǒng)的兩個(gè)“零日漏洞”利用工具,選擇了中國(guó)周邊國(guó)家的教育機(jī)構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo);攻擊成功后,安裝NOPEN木馬程序(詳見(jiàn)有關(guān)研究報(bào)告),控制了大批跳板機(jī)。
TAO在針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中先后使用了54臺(tái)跳板機(jī)和代理服務(wù)器,主要分布在日本、韓國(guó)、瑞典、波蘭、烏克蘭等17個(gè)國(guó)家,其中70%位于中國(guó)周邊國(guó)家,如日本、韓國(guó)等。
這些跳板機(jī)的功能僅限于指令中轉(zhuǎn),即:將上一級(jí)的跳板指令轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng),從而掩蓋美國(guó)國(guó)家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實(shí)IP。目前已經(jīng)至少掌握TAO從其接入環(huán)境(美國(guó)國(guó)內(nèi)電信運(yùn)營(yíng)商)控制跳板機(jī)的四個(gè)IP地址,分別為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時(shí),為了進(jìn)一步掩蓋跳板機(jī)和代理服務(wù)器與NSA之間的關(guān)聯(lián)關(guān)系,NSA使用了美國(guó)Register公司的匿名保護(hù)服務(wù),對(duì)相關(guān)域名、證書(shū)以及注冊(cè)人等可溯源信息進(jìn)行匿名化處理,無(wú)法通過(guò)公開(kāi)渠道進(jìn)行查詢。
技術(shù)團(tuán)隊(duì)通過(guò)威脅情報(bào)數(shù)據(jù)關(guān)聯(lián)分析,發(fā)現(xiàn)針對(duì)西北工業(yè)大學(xué)攻擊平臺(tái)所使用的網(wǎng)絡(luò)資源共涉及5臺(tái)代理服務(wù)器,NSA通過(guò)秘密成立的兩家掩護(hù)公司向美國(guó)泰瑞馬克(Terremark)公司購(gòu)買(mǎi)了埃及、荷蘭和哥倫比亞等地的IP地址,并租用一批服務(wù)器。這兩家公司分別為杰克?史密斯咨詢公司(Jackson Smith Consultants)、穆勒多元系統(tǒng)公司(Mueller Diversified Systems)。同時(shí),技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn),TAO基礎(chǔ)設(shè)施技術(shù)處(MIT)工作人員使用“阿曼達(dá)?拉米雷斯(Amanda Ramirez)”的名字匿名購(gòu)買(mǎi)域名和一份通用的SSL證書(shū)(ID:e42d3bea0a16111e67ef79f9cc2*****)。隨后,上述域名和證書(shū)被部署在位于美國(guó)本土的中間人攻擊平臺(tái)“酸狐貍”(Foxacid)上,對(duì)中國(guó)的大量網(wǎng)絡(luò)目標(biāo)開(kāi)展攻擊。特別是,TAO對(duì)西北工業(yè)大學(xué)等中國(guó)信息網(wǎng)絡(luò)目標(biāo)展開(kāi)了多輪持續(xù)性的攻擊、竊密行動(dòng)。
(二)相關(guān)網(wǎng)絡(luò)攻擊武器
TAO在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中,先后使用了41種NSA的專用網(wǎng)絡(luò)攻擊武器裝備。并且在攻擊過(guò)程中,TAO會(huì)根據(jù)目標(biāo)環(huán)境對(duì)同一款網(wǎng)絡(luò)武器進(jìn)行靈活配置。例如,對(duì)西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊中使用的網(wǎng)絡(luò)武器中,僅后門(mén)工具“狡詐異端犯”(NSA命名)就有14個(gè)不同版本。技術(shù)團(tuán)隊(duì)將此次攻擊活動(dòng)中TAO所使用工具類別分為四大類,具體包括:
1、漏洞攻擊突破類武器
TAO依托此類武器對(duì)西北工業(yè)大學(xué)的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器、辦公內(nèi)網(wǎng)主機(jī)等實(shí)施攻擊突破,同時(shí)也用來(lái)攻擊控制境外跳板機(jī)以構(gòu)建匿名化網(wǎng)絡(luò)作為行動(dòng)掩護(hù)。此類武器共有3種:
①“剃須刀”
此武器可針對(duì)開(kāi)放了指定RPC服務(wù)的X86和SPARC架構(gòu)的Solarise系統(tǒng)實(shí)施遠(yuǎn)程漏洞攻擊,攻擊時(shí)可自動(dòng)探知目標(biāo)系統(tǒng)服務(wù)開(kāi)放情況并智能化選擇合適版本的漏洞利用代碼,直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。此武器用于對(duì)日本、韓國(guó)等國(guó)家跳板機(jī)的攻擊,所控制跳板機(jī)被用于對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊。
②“孤島”
此武器同樣可針對(duì)開(kāi)放了指定RPC服務(wù)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊,直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。與“剃須刀”的不同之處在于此工具不具備自主探測(cè)目標(biāo)服務(wù)開(kāi)放情況的能力,需由使用者手動(dòng)配置目標(biāo)及相關(guān)參數(shù)。NSA使用此武器攻擊控制了西北工業(yè)大學(xué)的邊界服務(wù)器。
③“酸狐貍”武器平臺(tái)
此武器平臺(tái)部署在哥倫比亞,可結(jié)合“二次約會(huì)”中間人攻擊武器使用,可智能化配置漏洞載荷針對(duì)IE、FireFox、Safari、Android Webkit等多平臺(tái)上的主流瀏覽器開(kāi)展遠(yuǎn)程溢出攻擊,獲取目標(biāo)系統(tǒng)的控制權(quán)(詳見(jiàn):國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心《美國(guó)國(guó)家安全局(NSA)“酸狐貍”漏洞攻擊武器平臺(tái)技術(shù)分析報(bào)告》)。TAO主要使用該武器平臺(tái)對(duì)西北工業(yè)大學(xué)辦公內(nèi)網(wǎng)主機(jī)進(jìn)行入侵。
2、持久化控制類武器
TAO依托此類武器對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)進(jìn)行隱蔽持久控制,TAO行動(dòng)隊(duì)可通過(guò)加密通道發(fā)送控制指令操作此類武器實(shí)施對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)的滲透、控制、竊密等行為。此類武器共有6種:
①“二次約會(huì)”
此武器長(zhǎng)期駐留在網(wǎng)關(guān)服務(wù)器、邊界路由器等網(wǎng)絡(luò)邊界設(shè)備及服務(wù)器上,可針對(duì)海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過(guò)濾與自動(dòng)化劫持,實(shí)現(xiàn)中間人攻擊功能。TAO在西北工業(yè)大學(xué)邊界設(shè)備上安置該武器,劫持流經(jīng)該設(shè)備的流量引導(dǎo)至“酸狐貍”平臺(tái)實(shí)施漏洞攻擊。
②“NOPEN”
此武器是一種支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬,可通過(guò)加密隧道接收指令執(zhí)行文件管理、進(jìn)程管理、系統(tǒng)命令執(zhí)行等多種操作,并且本身具備權(quán)限提升和持久化能力(詳見(jiàn):國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心《“NOPEN”遠(yuǎn)控木馬分析報(bào)告》)。TAO主要使用該武器對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制。
③“怒火噴射”
此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬,可根據(jù)目標(biāo)系統(tǒng)環(huán)境定制化生成不同類型的木馬服務(wù)端,服務(wù)端本身具備極強(qiáng)的抗分析、反調(diào)試能力。TAO主要使用該武器配合“酸狐貍”平臺(tái)對(duì)西北工業(yè)大學(xué)辦公網(wǎng)內(nèi)部的個(gè)人主機(jī)實(shí)施持久化控制。
④“狡詐異端犯”
此武器是一款輕量級(jí)的后門(mén)植入工具,運(yùn)行后即自刪除,具備權(quán)限提升能力,持久駐留于目標(biāo)設(shè)備上并可隨系統(tǒng)啟動(dòng)。TAO主要使用該武器實(shí)現(xiàn)持久駐留,以便在合適時(shí)機(jī)建立加密管道上傳NOPEN木馬,保障對(duì)西北工業(yè)大學(xué)信息網(wǎng)絡(luò)的長(zhǎng)期控制。
- 責(zé)任編輯: 房佶宜 
-
浙江宣傳:“低級(jí)紅”“高級(jí)黑”的六種形式
2022-09-05 10:44 -
國(guó)家衛(wèi)健委:昨日新增本土303+1249
2022-09-05 09:18 抗疫進(jìn)行時(shí) -
山東“萬(wàn)億國(guó)企”原董事長(zhǎng)被查:穿有自己名字的定制衣服
2022-09-05 09:03 廉政風(fēng)暴 -
拉薩深夜通報(bào)!
2022-09-05 09:01 抗疫進(jìn)行時(shí) -
廈門(mén):3日至12日不得擅自起降民用小型航空器
2022-09-05 08:58 -
黑龍江昨日新增本土4+162,其中大慶2+146
2022-09-05 08:10 抗疫進(jìn)行時(shí) -
康希諾:吸入用重組新冠疫苗作為加強(qiáng)針被納入緊急使用
2022-09-05 07:11 抗疫進(jìn)行時(shí) -
成都:9月5日0時(shí)至7日24時(shí)全市范圍內(nèi)繼續(xù)全員核酸檢測(cè)
2022-09-04 22:27 抗疫進(jìn)行時(shí) -
臺(tái)風(fēng)“軒嵐諾”影響持續(xù),國(guó)家防總、應(yīng)急管理部部署防汛抗旱工作
2022-09-04 19:54 -
國(guó)家氣候中心:今夏為1961年來(lái)最熱夏天
2022-09-04 19:45 極端天氣 -
產(chǎn)科醫(yī)生辟謠“雙胞胎肚內(nèi)打架”:都不在一個(gè)“房間”!
2022-09-04 17:28 -
700年前文物將現(xiàn)身!福建圣杯嶼海域元代海船遺址正式發(fā)掘
2022-09-04 16:22 考古 -
創(chuàng)造性轉(zhuǎn)化、創(chuàng)新性發(fā)展,激發(fā)傳統(tǒng)文化生命力
2022-09-04 16:03 -
臺(tái)灣連續(xù)六日新增確診超3萬(wàn)
2022-09-04 15:14 臺(tái)灣 -
印度海軍一面新旗,英媒看了不大高興
2022-09-04 15:11 -
沉迷于當(dāng)“榜一大哥”,浙江一干部落馬前給主播打賞達(dá)五百萬(wàn)
2022-09-04 14:32 廉政風(fēng)暴 -
香港首個(gè)抗戰(zhàn)紀(jì)念館開(kāi)幕
2022-09-04 11:54 香港 -
“職校訂單班一些家長(zhǎng)學(xué)生存偏見(jiàn),有20%進(jìn)對(duì)口企業(yè)就不錯(cuò)了”
2022-09-04 11:34 -
“軒嵐諾”再次升為超強(qiáng)臺(tái)風(fēng),浙江暴雨、山洪、地質(zhì)災(zāi)害預(yù)警齊發(fā)
2022-09-04 10:46 極端天氣 -
成都核酸檢測(cè)系統(tǒng)崩潰背后,“東軟”是家什么樣的企業(yè)?
2022-09-04 10:04 抗疫進(jìn)行時(shí)
相關(guān)推薦 -
IMF對(duì)華講公道話,美媒酸了 評(píng)論 50美國(guó)發(fā)布首份AI備忘錄,“得防中國(guó)戰(zhàn)略突襲” 評(píng)論 95普京回應(yīng)“朝軍援俄”傳聞 評(píng)論 230“我們目前世界領(lǐng)先,但中國(guó)人正敲開(kāi)我們的大門(mén)” 評(píng)論 153“不止美德,北約至少七國(guó)反對(duì)” 評(píng)論 84最新聞 Hot
-
美國(guó)發(fā)布首份AI備忘錄,“得防中國(guó)戰(zhàn)略突襲”
-
“英國(guó)軍情五處完全在胡說(shuō)八道”
-
普京回應(yīng)“朝軍援俄”傳聞
-
被批“中國(guó)有支票美國(guó)有清單”,他又畫(huà)餅忽悠…
-
又嗆上了:野蠻人也好意思自詡捍衛(wèi)文明…
-
沒(méi)中國(guó)能成嗎?澳大利亞部長(zhǎng)這么說(shuō)
-
特朗普威脅襲擊莫斯科市中心?普京回應(yīng)
-
“我們目前世界領(lǐng)先,但中國(guó)人正敲開(kāi)我們的大門(mén)”
-
“我不太喜歡談?wù)摳?jìng)爭(zhēng),但我開(kāi)的是小米”
-
盧卡申科評(píng)“朝軍援俄”:胡說(shuō)八道,普京不是這性格
-
“不止美德,北約至少七國(guó)反對(duì)”
-
華裔老板拒絕“背書(shū)”哈里斯,加州第一大報(bào)編委辭職
-
英高級(jí)外交官搶、奪、撕...扎哈羅娃怒斥
-
連他都不敢說(shuō),“怕被特朗普?qǐng)?bào)復(fù)”
-
134條!金磚通過(guò)《喀山宣言》,“將在聯(lián)合國(guó)分發(fā)”
-
“我們?cè)缸鲆磺蟹现袊?guó)利益的事”
-