NSA網(wǎng)絡(luò)攻擊事件調(diào)查西北工業(yè)大學(xué)：使用41種網(wǎng)絡(luò)攻擊武器，54臺(tái)跳板機(jī)和代理服務(wù)器

今天(5日)，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布了西北理工大學(xué)海外網(wǎng)絡(luò)攻擊調(diào)查報(bào)告。報(bào)告顯示，網(wǎng)絡(luò)攻擊的來(lái)源是美國(guó)國(guó)家安全局（NSA）。

NSA使用41種網(wǎng)絡(luò)攻擊武器竊取數(shù)據(jù)

調(diào)查發(fā)現(xiàn)，在西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中，美國(guó)國(guó)家安全局（NSA）下屬具體入侵行動(dòng)辦公室（TAO）利用40多種不同的專屬網(wǎng)絡(luò)攻擊武器，繼續(xù)攻擊西北理工大學(xué)，竊取學(xué)校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)管理數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。

西北工業(yè)大學(xué)位于陜西省西安，隸屬于工業(yè)和信息化部，是一所多學(xué)科、研究型、開(kāi)放式大學(xué)。

西安市公安局北林分局副局長(zhǎng)金琪：西北理工大學(xué)是中國(guó)從事航空、航天、航海工程教育和科研領(lǐng)域的重點(diǎn)大學(xué)。擁有大量國(guó)家頂尖科研團(tuán)隊(duì)和高端人才，承擔(dān)多個(gè)國(guó)家重點(diǎn)科研項(xiàng)目。它的地位非常特殊，網(wǎng)絡(luò)安全非常關(guān)鍵。由于其特殊的地位和敏感的科學(xué)研究，它已成為網(wǎng)絡(luò)攻擊的目標(biāo)。

調(diào)查報(bào)告顯示，美國(guó)國(guó)家安全局（NSA）在西北理工大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中，使用了41種特殊的網(wǎng)絡(luò)攻擊武器裝備，只有14種不同版本的后門(mén)工具“狡猾的異端犯罪”（NSA命名）。

360公司網(wǎng)絡(luò)安全專家邊亮：在早期階段，它將有一些偵察模塊。經(jīng)過(guò)調(diào)查，我們發(fā)現(xiàn)，如果在其目標(biāo)環(huán)境中，有些人可能需要竊取密碼或重要的信息，并根據(jù)不同的情況、不同的系統(tǒng)或不同的平臺(tái)定制武器攻擊和交付。

通過(guò)證據(jù)收集分析，技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)攻擊者滲透西北理工大學(xué)攻擊鏈路1100多個(gè)，操作指令序列90多個(gè)，從入侵網(wǎng)絡(luò)設(shè)備定位多個(gè)盜竊網(wǎng)絡(luò)設(shè)備配置文件、嗅覺(jué)網(wǎng)絡(luò)通信數(shù)據(jù)和密碼、其他類(lèi)型的日志和密鑰文件等攻擊活動(dòng)相關(guān)的主要細(xì)節(jié)。

技術(shù)團(tuán)隊(duì)將本次攻擊中使用的武器分為四類(lèi)，包括：

1、漏洞攻擊突破武器；2、持久控制武器；3、嗅探竊取秘密武器；4.、隱藏消痕武器。

杜振華，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心高級(jí)工程師:從這個(gè)漏洞的攻擊突破開(kāi)始，突破后投入第二類(lèi)。我們說(shuō)持久控制武器工具。然后到第三類(lèi)，然后它實(shí)現(xiàn)了嗅覺(jué)的秘密竊取，然后長(zhǎng)期潛伏竊取我們的重要數(shù)據(jù)，然后攻擊活動(dòng)，它認(rèn)為任務(wù)已經(jīng)完成，然后開(kāi)始使用第四類(lèi)武器是隱藏的痕跡，清理現(xiàn)場(chǎng)，讓受害者無(wú)法察覺(jué)。

根據(jù)調(diào)查報(bào)告，美國(guó)國(guó)家安全局（NSA）利用大量的網(wǎng)絡(luò)攻擊武器，對(duì)中國(guó)各行業(yè)龍頭企業(yè)、政府、大學(xué)、醫(yī)療、科研等機(jī)構(gòu)進(jìn)行長(zhǎng)期的秘密黑客攻擊。

360公司創(chuàng)始人周鴻毅：針對(duì)國(guó)家科研機(jī)構(gòu)、政府部門(mén)、軍事單位、大學(xué)竊取信息或數(shù)據(jù)，從攻擊從規(guī)劃到部署，通過(guò)長(zhǎng)跳板，到攻擊核心崗位，可能持續(xù)幾年。那么危害是非常大的，因?yàn)槲磥?lái)我們整個(gè)國(guó)家都在從事數(shù)字化，我們的許多重要業(yè)務(wù)都是由數(shù)據(jù)驅(qū)動(dòng)的。你認(rèn)為，一旦數(shù)據(jù)被盜或損壞，它肯定會(huì)帶來(lái)嚴(yán)重的風(fēng)險(xiǎn)。

調(diào)查還發(fā)現(xiàn)，美國(guó)國(guó)家安全局（NSA）它還利用其控制的網(wǎng)絡(luò)攻擊武器平臺(tái)和“零日漏洞”（Oday）與網(wǎng)絡(luò)設(shè)備一樣，中國(guó)手機(jī)用戶長(zhǎng)期進(jìn)行語(yǔ)音監(jiān)控，非法竊取手機(jī)用戶的短信內(nèi)容，并進(jìn)行無(wú)線定位。

NSA掩蓋真實(shí)IP，精心偽裝網(wǎng)絡(luò)攻擊痕跡

根據(jù)調(diào)查報(bào)告，美國(guó)國(guó)家安全局（NSA）為了隱瞞其對(duì)西北工業(yè)大學(xué)等中國(guó)信息網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)攻擊的行為，做了長(zhǎng)期的準(zhǔn)備，并精心偽裝。

技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)，美國(guó)國(guó)家安全局（NSA）下屬具體入侵行動(dòng)辦公室（TAO）在開(kāi)始行動(dòng)之前，將進(jìn)行長(zhǎng)期的準(zhǔn)備，主要是匿名攻擊基礎(chǔ)設(shè)施的建設(shè)。特定入侵辦公室（TAO）利用Sunos操作系統(tǒng)的兩個(gè)“零日漏洞”工具，選擇中國(guó)周邊國(guó)家的教育機(jī)構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較大的服務(wù)器作為攻擊目標(biāo)；攻擊成功后，安裝了NOPEN木馬程序，控制了大量跳板機(jī)。

特定入侵辦公室（TAO）54臺(tái)跳板機(jī)和代理服務(wù)器用于西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊，主要分布在日本、韓國(guó)、瑞典、波蘭、烏克蘭等17個(gè)國(guó)家，其中70%位于日本、韓國(guó)等中國(guó)周邊國(guó)家。其中，用來(lái)掩蓋真實(shí)IP的跳板機(jī)是精心挑選的，所有IP都屬于非“五眼聯(lián)盟”國(guó)家。

涉及代理服務(wù)器的網(wǎng)絡(luò)資源用于西北工業(yè)大學(xué)攻擊平臺(tái)，美國(guó)國(guó)家安全局（NSA）兩家秘密成立的掩護(hù)公司購(gòu)買(mǎi)了埃及、荷蘭和哥倫比亞的IP，并租用了一批服務(wù)器。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心高級(jí)工程師杜振華：使用虛擬身份或代理身份。然后在互聯(lián)網(wǎng)上租用和購(gòu)買(mǎi)服務(wù)器、IP地址、域名，甚至可以通過(guò)這種網(wǎng)絡(luò)攻擊接管第三方用戶的服務(wù)器資源。然后實(shí)施網(wǎng)絡(luò)攻擊，以實(shí)現(xiàn)這種刀殺人的效果。

美國(guó)國(guó)家安全局（NSA）為了保護(hù)其身份安全，美國(guó)隱私保護(hù)公司使用匿名保護(hù)服務(wù)，相關(guān)域名和證書(shū)指向無(wú)關(guān)人員，以掩蓋西北理工大學(xué)等中國(guó)信息網(wǎng)絡(luò)的真實(shí)攻擊平臺(tái)。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心高級(jí)工程師杜振華：有了這些跳板機(jī)，TAO可以躲在這些跳板機(jī)后面，向目標(biāo)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。這樣，從受害者的角度來(lái)看，即使他發(fā)現(xiàn)了攻擊，也實(shí)際上是這些跳板機(jī)。因此，它起到了保護(hù)真實(shí)攻擊源網(wǎng)絡(luò)地址的作用。

技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn)，在相關(guān)網(wǎng)絡(luò)攻擊開(kāi)始前，美國(guó)國(guó)家安全局（NSA）在美國(guó)眾多知名互聯(lián)網(wǎng)企業(yè)的配合下，向美國(guó)國(guó)家安全局等情報(bào)機(jī)構(gòu)提供了大量中國(guó)通信網(wǎng)絡(luò)設(shè)備的管理權(quán)限，為不斷入侵中國(guó)的重要信息網(wǎng)絡(luò)開(kāi)辟了便利之門(mén)。

什么是TAO？網(wǎng)絡(luò)攻擊盜竊活動(dòng)的戰(zhàn)術(shù)實(shí)施單位

根據(jù)調(diào)查報(bào)告，美國(guó)國(guó)家安全局（NSA）下屬“特定入侵行動(dòng)辦公室”(TAO)不僅對(duì)中國(guó)重點(diǎn)企事業(yè)單位實(shí)施惡意網(wǎng)絡(luò)攻擊，而且對(duì)中國(guó)手機(jī)用戶進(jìn)行長(zhǎng)期無(wú)差異的語(yǔ)音監(jiān)控，非法竊取手機(jī)用戶的短信內(nèi)容，進(jìn)行無(wú)線定位。那么，TAO特定入侵辦公室是什么組織呢？

根據(jù)技術(shù)分析和在線可追溯性調(diào)查，美國(guó)國(guó)家安全局實(shí)施了網(wǎng)絡(luò)攻擊行動(dòng)（NSA）下屬特定入侵行動(dòng)辦公室（TAO）該部門(mén)成立于1998年，其力量部署主要依賴于美國(guó)國(guó)家安全局（NSA）在美國(guó)和歐洲的密碼中心。已公布的六個(gè)密碼中心是：

1、米德堡總部，國(guó)安局馬里蘭州；

2、夏威夷密碼中心夏威夷國(guó)安局（NSAH）；

3、喬治亞密碼中心，戈登堡國(guó)安局（NSAG）；

4、圣安東尼奧國(guó)安局得克薩斯密碼中心（NSAT）；

5、國(guó)安局科羅拉羅密碼中心丹佛馬克利空軍基地（NSAC）；

6、國(guó)安局歐洲密碼中心，德國(guó)達(dá)姆施塔特美軍基地（NSAE）。

特定入侵辦公室TAO是由2000多名士兵和文職人員組成的戰(zhàn)術(shù)實(shí)施單位，目前美國(guó)政府專門(mén)從事對(duì)其他國(guó)家的大規(guī)模網(wǎng)絡(luò)攻擊和秘密竊取活動(dòng)。下面有10個(gè)單位:

1、遠(yuǎn)程操作中心（ROC，S321代碼，主要負(fù)責(zé)操作武器平臺(tái)和工具進(jìn)入和控制目標(biāo)系統(tǒng)或網(wǎng)絡(luò)。

2、先進(jìn)/接入網(wǎng)絡(luò)技術(shù)部（ANT，代號(hào)S322)負(fù)責(zé)研究相關(guān)硬件技術(shù)，為T(mén)AO網(wǎng)絡(luò)攻擊行動(dòng)提供硬件相關(guān)技術(shù)和武器裝備支持。

3、數(shù)據(jù)網(wǎng)絡(luò)技術(shù)部（DNT，S323)負(fù)責(zé)復(fù)雜計(jì)算機(jī)軟件工具的研發(fā)，為T(mén)AO操作人員執(zhí)行網(wǎng)絡(luò)攻擊任務(wù)提供支持。

4、電信網(wǎng)絡(luò)技術(shù)部（TNT，代號(hào)S324)負(fù)責(zé)電信相關(guān)技術(shù)的研究，為T(mén)AO運(yùn)營(yíng)商隱藏滲透電信網(wǎng)絡(luò)提供支持。

5、任務(wù)基礎(chǔ)設(shè)施技術(shù)部（MIT，代號(hào)S325)負(fù)責(zé)開(kāi)發(fā)和建立攻擊行動(dòng)網(wǎng)絡(luò)環(huán)境和匿名網(wǎng)絡(luò)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全監(jiān)控平臺(tái)。

6、接入行動(dòng)處（AO，代碼S326)負(fù)責(zé)通過(guò)供應(yīng)鏈安裝擬送達(dá)目標(biāo)的產(chǎn)品后門(mén)。

7、需求與定位（R&T，代號(hào)S327）；接收相關(guān)單位的任務(wù)，確定偵察目標(biāo)，分析評(píng)價(jià)情報(bào)價(jià)值。

8、接入技術(shù)行動(dòng)處（ATO，S328)負(fù)責(zé)開(kāi)發(fā)接觸式秘密盜竊設(shè)備，并與美國(guó)中央情報(bào)局和聯(lián)邦調(diào)查局合作，通過(guò)人工接觸將秘密盜竊軟件或設(shè)備安裝在目標(biāo)計(jì)算機(jī)和電信系統(tǒng)中。

9、S32P：項(xiàng)目規(guī)劃整合處（PPI，S32P代碼，負(fù)責(zé)總體規(guī)劃和項(xiàng)目管理。

10、NWT：網(wǎng)絡(luò)戰(zhàn)小組（NWT），負(fù)責(zé)聯(lián)系133個(gè)網(wǎng)絡(luò)作戰(zhàn)隊(duì)。

羅伯特喬伊斯是美國(guó)國(guó)家安全局NSA對(duì)西北工業(yè)大學(xué)的攻擊和盜竊行動(dòng)的負(fù)責(zé)人（RobertEdwardJoyce）。這個(gè)人出生于1967年9月13日，1989年在美國(guó)國(guó)家安全局工作。曾擔(dān)任“特定入侵行動(dòng)辦公室TAO”副主任、主任，現(xiàn)擔(dān)任美國(guó)國(guó)家安全局NSA網(wǎng)絡(luò)安全主管。

據(jù)我們所知，360公司網(wǎng)絡(luò)安全專家邊亮：（TAO）它代表了全球網(wǎng)絡(luò)攻擊的最高水平。他們掌握的大量攻擊武器相當(dāng)于擁有互聯(lián)網(wǎng)上的通用鑰匙。它可以隨意進(jìn)出所需的目標(biāo)設(shè)備，從而竊取或破壞情報(bào)等動(dòng)作。

你的信息也可能被泄露！專家呼吁提高網(wǎng)絡(luò)安全意識(shí)

調(diào)查報(bào)告顯示，美國(guó)國(guó)家安全局長(zhǎng)期以來(lái)一直存在（NSA）長(zhǎng)期以來(lái)，我國(guó)各行業(yè)龍頭企業(yè)、政府、大學(xué)、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)，甚至與國(guó)計(jì)民生有關(guān)的重要信息基礎(chǔ)設(shè)施運(yùn)維單位，都開(kāi)展了秘密黑客攻擊活動(dòng)。其行為對(duì)我國(guó)國(guó)防安全、關(guān)鍵基礎(chǔ)設(shè)施安全、金融安全、社會(huì)安全、生產(chǎn)安全和公民個(gè)人信息造成嚴(yán)重危害，值得深思和警惕。

西北工業(yè)大學(xué)與中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司合作，多年來(lái)全面恢復(fù)了美國(guó)國(guó)家安全局（NSA）利用網(wǎng)絡(luò)武器發(fā)起的一系列攻擊打破了美國(guó)對(duì)中國(guó)的單向透明優(yōu)勢(shì)。面對(duì)強(qiáng)大的國(guó)家背景競(jìng)爭(zhēng)對(duì)手，首先要知道風(fēng)險(xiǎn)在哪里，什么樣的風(fēng)險(xiǎn)，什么時(shí)候的風(fēng)險(xiǎn)。

360公司創(chuàng)始人周鴻毅：只要你能快速發(fā)現(xiàn)，你就能看到這種威脅，感知到這種攻擊。然后你可以找到可追溯性，知道它從哪里進(jìn)來(lái)，知道它們使用了什么漏洞，然后你可以處理它，清理它，同時(shí)修復(fù)所有修復(fù)的漏洞。

根據(jù)調(diào)查報(bào)告，西北理工大學(xué)公開(kāi)發(fā)布了一份受到海外網(wǎng)絡(luò)攻擊的聲明。本著實(shí)事求是、絕不姑息的決心，堅(jiān)決查到底，積極采取防御措施，值得世界各地的美國(guó)國(guó)家安全局（NSA）學(xué)習(xí)網(wǎng)絡(luò)攻擊受害者將成為世界各國(guó)對(duì)美國(guó)國(guó)家安全局的有效防范（NSA）有力借鑒后續(xù)網(wǎng)絡(luò)攻擊行為。

(總臺(tái)央視記者白央陳雷張崗董良言吳成軒陳慶濱劉功河白龍飛)