NSA網絡攻擊事件調查西北工業大學:使用41種網絡攻擊武器,54臺跳板機和代理服務器
今天(5日),國家計算機病毒應急處理中心和360公司分別發布了西北理工大學海外網絡攻擊調查報告。報告顯示,網絡攻擊的來源是美國國家安全局(NSA)。
NSA使用41種網絡攻擊武器竊取數據
調查發現,在西北工業大學的網絡攻擊中,美國國家安全局(NSA)下屬具體入侵行動辦公室(TAO)利用40多種不同的專屬網絡攻擊武器,繼續攻擊西北理工大學,竊取學校關鍵網絡設備配置、網絡管理數據、運維數據等核心技術數據。
西北工業大學位于陜西省西安,隸屬于工業和信息化部,是一所多學科、研究型、開放式大學。
西安市公安局北林分局副局長金琪:西北理工大學是中國從事航空、航天、航海工程教育和科研領域的重點大學。擁有大量國家頂尖科研團隊和高端人才,承擔多個國家重點科研項目。它的地位非常特殊,網絡安全非常關鍵。由于其特殊的地位和敏感的科學研究,它已成為網絡攻擊的目標。
調查報告顯示,美國國家安全局(NSA)在西北理工大學的網絡攻擊行動中,使用了41種特殊的網絡攻擊武器裝備,只有14種不同版本的后門工具“狡猾的異端犯罪”(NSA命名)。
360公司網絡安全專家邊亮:在早期階段,它將有一些偵察模塊。經過調查,我們發現,如果在其目標環境中,有些人可能需要竊取密碼或重要的信息,并根據不同的情況、不同的系統或不同的平臺定制武器攻擊和交付。
通過證據收集分析,技術團隊發現攻擊者滲透西北理工大學攻擊鏈路1100多個,操作指令序列90多個,從入侵網絡設備定位多個盜竊網絡設備配置文件、嗅覺網絡通信數據和密碼、其他類型的日志和密鑰文件等攻擊活動相關的主要細節。
技術團隊將本次攻擊中使用的武器分為四類,包括:
1、漏洞攻擊突破武器;2、持久控制武器;3、嗅探竊取秘密武器;4.、隱藏消痕武器。
杜振華,國家計算機病毒應急處理中心高級工程師:從這個漏洞的攻擊突破開始,突破后投入第二類。我們說持久控制武器工具。然后到第三類,然后它實現了嗅覺的秘密竊取,然后長期潛伏竊取我們的重要數據,然后攻擊活動,它認為任務已經完成,然后開始使用第四類武器是隱藏的痕跡,清理現場,讓受害者無法察覺。
根據調查報告,美國國家安全局(NSA)利用大量的網絡攻擊武器,對中國各行業龍頭企業、政府、大學、醫療、科研等機構進行長期的秘密黑客攻擊。
360公司創始人周鴻毅:針對國家科研機構、政府部門、軍事單位、大學竊取信息或數據,從攻擊從規劃到部署,通過長跳板,到攻擊核心崗位,可能持續幾年。那么危害是非常大的,因為未來我們整個國家都在從事數字化,我們的許多重要業務都是由數據驅動的。你認為,一旦數據被盜或損壞,它肯定會帶來嚴重的風險。
調查還發現,美國國家安全局(NSA)它還利用其控制的網絡攻擊武器平臺和“零日漏洞”(Oday)與網絡設備一樣,中國手機用戶長期進行語音監控,非法竊取手機用戶的短信內容,并進行無線定位。
NSA掩蓋真實IP,精心偽裝網絡攻擊痕跡
根據調查報告,美國國家安全局(NSA)為了隱瞞其對西北工業大學等中國信息網絡實施網絡攻擊的行為,做了長期的準備,并精心偽裝。
技術團隊發現,美國國家安全局(NSA)下屬具體入侵行動辦公室(TAO)在開始行動之前,將進行長期的準備,主要是匿名攻擊基礎設施的建設。特定入侵辦公室(TAO)利用Sunos操作系統的兩個“零日漏洞”工具,選擇中國周邊國家的教育機構、商業公司等網絡應用流量較大的服務器作為攻擊目標;攻擊成功后,安裝了NOPEN木馬程序,控制了大量跳板機。
特定入侵辦公室(TAO)54臺跳板機和代理服務器用于西北工業大學的網絡攻擊,主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家,其中70%位于日本、韓國等中國周邊國家。其中,用來掩蓋真實IP的跳板機是精心挑選的,所有IP都屬于非“五眼聯盟”國家。
涉及代理服務器的網絡資源用于西北工業大學攻擊平臺,美國國家安全局(NSA)兩家秘密成立的掩護公司購買了埃及、荷蘭和哥倫比亞的IP,并租用了一批服務器。
國家計算機病毒應急處理中心高級工程師杜振華:使用虛擬身份或代理身份。然后在互聯網上租用和購買服務器、IP地址、域名,甚至可以通過這種網絡攻擊接管第三方用戶的服務器資源。然后實施網絡攻擊,以實現這種刀殺人的效果。
美國國家安全局(NSA)為了保護其身份安全,美國隱私保護公司使用匿名保護服務,相關域名和證書指向無關人員,以掩蓋西北理工大學等中國信息網絡的真實攻擊平臺。
國家計算機病毒應急處理中心高級工程師杜振華:有了這些跳板機,TAO可以躲在這些跳板機后面,向目標發動網絡攻擊。這樣,從受害者的角度來看,即使他發現了攻擊,也實際上是這些跳板機。因此,它起到了保護真實攻擊源網絡地址的作用。
技術團隊還發現,在相關網絡攻擊開始前,美國國家安全局(NSA)在美國眾多知名互聯網企業的配合下,向美國國家安全局等情報機構提供了大量中國通信網絡設備的管理權限,為不斷入侵中國的重要信息網絡開辟了便利之門。
什么是TAO?網絡攻擊盜竊活動的戰術實施單位
根據調查報告,美國國家安全局(NSA)下屬“特定入侵行動辦公室”(TAO)不僅對中國重點企事業單位實施惡意網絡攻擊,而且對中國手機用戶進行長期無差異的語音監控,非法竊取手機用戶的短信內容,進行無線定位。那么,TAO特定入侵辦公室是什么組織呢?
根據技術分析和在線可追溯性調查,美國國家安全局實施了網絡攻擊行動(NSA)下屬特定入侵行動辦公室(TAO)該部門成立于1998年,其力量部署主要依賴于美國國家安全局(NSA)在美國和歐洲的密碼中心。已公布的六個密碼中心是:
1、米德堡總部,國安局馬里蘭州;
2、夏威夷密碼中心夏威夷國安局(NSAH);
3、喬治亞密碼中心,戈登堡國安局(NSAG);
4、圣安東尼奧國安局得克薩斯密碼中心(NSAT);
5、國安局科羅拉羅密碼中心丹佛馬克利空軍基地(NSAC);
6、國安局歐洲密碼中心,德國達姆施塔特美軍基地(NSAE)。
特定入侵辦公室TAO是由2000多名士兵和文職人員組成的戰術實施單位,目前美國政府專門從事對其他國家的大規模網絡攻擊和秘密竊取活動。下面有10個單位:
1、遠程操作中心(ROC,S321代碼,主要負責操作武器平臺和工具進入和控制目標系統或網絡。
2、先進/接入網絡技術部(ANT,代號S322)負責研究相關硬件技術,為TAO網絡攻擊行動提供硬件相關技術和武器裝備支持。
3、數據網絡技術部(DNT,S323)負責復雜計算機軟件工具的研發,為TAO操作人員執行網絡攻擊任務提供支持。
4、電信網絡技術部(TNT,代號S324)負責電信相關技術的研究,為TAO運營商隱藏滲透電信網絡提供支持。
5、任務基礎設施技術部(MIT,代號S325)負責開發和建立攻擊行動網絡環境和匿名網絡的網絡基礎設施和安全監控平臺。
6、接入行動處(AO,代碼S326)負責通過供應鏈安裝擬送達目標的產品后門。
7、需求與定位(R&T,代號S327);接收相關單位的任務,確定偵察目標,分析評價情報價值。
8、接入技術行動處(ATO,S328)負責開發接觸式秘密盜竊設備,并與美國中央情報局和聯邦調查局合作,通過人工接觸將秘密盜竊軟件或設備安裝在目標計算機和電信系統中。
9、S32P:項目規劃整合處(PPI,S32P代碼,負責總體規劃和項目管理。
10、NWT:網絡戰小組(NWT),負責聯系133個網絡作戰隊。
羅伯特喬伊斯是美國國家安全局NSA對西北工業大學的攻擊和盜竊行動的負責人(RobertEdwardJoyce)。這個人出生于1967年9月13日,1989年在美國國家安全局工作。曾擔任“特定入侵行動辦公室TAO”副主任、主任,現擔任美國國家安全局NSA網絡安全主管。
據我們所知,360公司網絡安全專家邊亮:(TAO)它代表了全球網絡攻擊的最高水平。他們掌握的大量攻擊武器相當于擁有互聯網上的通用鑰匙。它可以隨意進出所需的目標設備,從而竊取或破壞情報等動作。
你的信息也可能被泄露!專家呼吁提高網絡安全意識
調查報告顯示,美國國家安全局長期以來一直存在(NSA)長期以來,我國各行業龍頭企業、政府、大學、醫療機構、科研機構,甚至與國計民生有關的重要信息基礎設施運維單位,都開展了秘密黑客攻擊活動。其行為對我國國防安全、關鍵基礎設施安全、金融安全、社會安全、生產安全和公民個人信息造成嚴重危害,值得深思和警惕。
西北工業大學與中國國家計算機病毒應急處理中心和360公司合作,多年來全面恢復了美國國家安全局(NSA)利用網絡武器發起的一系列攻擊打破了美國對中國的單向透明優勢。面對強大的國家背景競爭對手,首先要知道風險在哪里,什么樣的風險,什么時候的風險。
360公司創始人周鴻毅:只要你能快速發現,你就能看到這種威脅,感知到這種攻擊。然后你可以找到可追溯性,知道它從哪里進來,知道它們使用了什么漏洞,然后你可以處理它,清理它,同時修復所有修復的漏洞。
根據調查報告,西北理工大學公開發布了一份受到海外網絡攻擊的聲明。本著實事求是、絕不姑息的決心,堅決查到底,積極采取防御措施,值得世界各地的美國國家安全局(NSA)學習網絡攻擊受害者將成為世界各國對美國國家安全局的有效防范(NSA)有力借鑒后續網絡攻擊行為。
(總臺央視記者白央陳雷張崗董良言吳成軒陳慶濱劉功河白龍飛)
