NSA网络攻击事件调查西北工业大学:使用41种网络攻击武器,54台跳板机和代理服务器
今天(5日),国家计算机病毒应急处理中心和360公司分别发布了西北理工大学海外网络攻击调查报告。报告显示,网络攻击的来源是美国国家安全局(NSA)。
NSA使用41种网络攻击武器窃取数据
调查发现,在西北工业大学的网络攻击中,美国国家安全局(NSA)下属具体入侵行动办公室(TAO)利用40多种不同的专属网络攻击武器,继续攻击西北理工大学,窃取学校关键网络设备配置、网络管理数据、运维数据等核心技术数据。
西北工业大学位于陕西省西安,隶属于工业和信息化部,是一所多学科、研究型、开放式大学。
西安市公安局北林分局副局长金琪:西北理工大学是中国从事航空、航天、航海工程教育和科研领域的重点大学。拥有大量国家顶尖科研团队和高端人才,承担多个国家重点科研项目。它的地位非常特殊,网络安全非常关键。由于其特殊的地位和敏感的科学研究,它已成为网络攻击的目标。
调查报告显示,美国国家安全局(NSA)在西北理工大学的网络攻击行动中,使用了41种特殊的网络攻击武器装备,只有14种不同版本的后门工具“狡猾的异端犯罪”(NSA命名)。
360公司网络安全专家边亮:在早期阶段,它将有一些侦察模块。经过调查,我们发现,如果在其目标环境中,有些人可能需要窃取密码或重要的信息,并根据不同的情况、不同的系统或不同的平台定制武器攻击和交付。
通过证据收集分析,技术团队发现攻击者渗透西北理工大学攻击链路1100多个,操作指令序列90多个,从入侵网络设备定位多个盗窃网络设备配置文件、嗅觉网络通信数据和密码、其他类型的日志和密钥文件等攻击活动相关的主要细节。
技术团队将本次攻击中使用的武器分为四类,包括:
1、漏洞攻击突破武器;2、持久控制武器;3、嗅探窃取秘密武器;4.、隐藏消痕武器。
杜振华,国家计算机病毒应急处理中心高级工程师:从这个漏洞的攻击突破开始,突破后投入第二类。我们说持久控制武器工具。然后到第三类,然后它实现了嗅觉的秘密窃取,然后长期潜伏窃取我们的重要数据,然后攻击活动,它认为任务已经完成,然后开始使用第四类武器是隐藏的痕迹,清理现场,让受害者无法察觉。
根据调查报告,美国国家安全局(NSA)利用大量的网络攻击武器,对中国各行业龙头企业、政府、大学、医疗、科研等机构进行长期的秘密黑客攻击。
360公司创始人周鸿毅:针对国家科研机构、政府部门、军事单位、大学窃取信息或数据,从攻击从规划到部署,通过长跳板,到攻击核心岗位,可能持续几年。那么危害是非常大的,因为未来我们整个国家都在从事数字化,我们的许多重要业务都是由数据驱动的。你认为,一旦数据被盗或损坏,它肯定会带来严重的风险。
调查还发现,美国国家安全局(NSA)它还利用其控制的网络攻击武器平台和“零日漏洞”(Oday)与网络设备一样,中国手机用户长期进行语音监控,非法窃取手机用户的短信内容,并进行无线定位。
NSA掩盖真实IP,精心伪装网络攻击痕迹
根据调查报告,美国国家安全局(NSA)为了隐瞒其对西北工业大学等中国信息网络实施网络攻击的行为,做了长期的准备,并精心伪装。
技术团队发现,美国国家安全局(NSA)下属具体入侵行动办公室(TAO)在开始行动之前,将进行长期的准备,主要是匿名攻击基础设施的建设。特定入侵办公室(TAO)利用Sunos操作系统的两个“零日漏洞”工具,选择中国周边国家的教育机构、商业公司等网络应用流量较大的服务器作为攻击目标;攻击成功后,安装了NOPEN木马程序,控制了大量跳板机。
特定入侵办公室(TAO)54台跳板机和代理服务器用于西北工业大学的网络攻击,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于日本、韩国等中国周边国家。其中,用来掩盖真实IP的跳板机是精心挑选的,所有IP都属于非“五眼联盟”国家。
涉及代理服务器的网络资源用于西北工业大学攻击平台,美国国家安全局(NSA)两家秘密成立的掩护公司购买了埃及、荷兰和哥伦比亚的IP,并租用了一批服务器。
国家计算机病毒应急处理中心高级工程师杜振华:使用虚拟身份或代理身份。然后在互联网上租用和购买服务器、IP地址、域名,甚至可以通过这种网络攻击接管第三方用户的服务器资源。然后实施网络攻击,以实现这种刀杀人的效果。
美国国家安全局(NSA)为了保护其身份安全,美国隐私保护公司使用匿名保护服务,相关域名和证书指向无关人员,以掩盖西北理工大学等中国信息网络的真实攻击平台。
国家计算机病毒应急处理中心高级工程师杜振华:有了这些跳板机,TAO可以躲在这些跳板机后面,向目标发动网络攻击。这样,从受害者的角度来看,即使他发现了攻击,也实际上是这些跳板机。因此,它起到了保护真实攻击源网络地址的作用。
技术团队还发现,在相关网络攻击开始前,美国国家安全局(NSA)在美国众多知名互联网企业的配合下,向美国国家安全局等情报机构提供了大量中国通信网络设备的管理权限,为不断入侵中国的重要信息网络开辟了便利之门。
什么是TAO?网络攻击盗窃活动的战术实施单位
根据调查报告,美国国家安全局(NSA)下属“特定入侵行动办公室”(TAO)不仅对中国重点企事业单位实施恶意网络攻击,而且对中国手机用户进行长期无差异的语音监控,非法窃取手机用户的短信内容,进行无线定位。那么,TAO特定入侵办公室是什么组织呢?
根据技术分析和在线可追溯性调查,美国国家安全局实施了网络攻击行动(NSA)下属特定入侵行动办公室(TAO)该部门成立于1998年,其力量部署主要依赖于美国国家安全局(NSA)在美国和欧洲的密码中心。已公布的六个密码中心是:
1、米德堡总部,国安局马里兰州;
2、夏威夷密码中心夏威夷国安局(NSAH);
3、乔治亚密码中心,戈登堡国安局(NSAG);
4、圣安东尼奥国安局得克萨斯密码中心(NSAT);
5、国安局科罗拉罗密码中心丹佛马克利空军基地(NSAC);
6、国安局欧洲密码中心,德国达姆施塔特美军基地(NSAE)。
特定入侵办公室TAO是由2000多名士兵和文职人员组成的战术实施单位,目前美国政府专门从事对其他国家的大规模网络攻击和秘密窃取活动。下面有10个单位:
1、远程操作中心(ROC,S321代码,主要负责操作武器平台和工具进入和控制目标系统或网络。
2、先进/接入网络技术部(ANT,代号S322)负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。
3、数据网络技术部(DNT,S323)负责复杂计算机软件工具的研发,为TAO操作人员执行网络攻击任务提供支持。
4、电信网络技术部(TNT,代号S324)负责电信相关技术的研究,为TAO运营商隐藏渗透电信网络提供支持。
5、任务基础设施技术部(MIT,代号S325)负责开发和建立攻击行动网络环境和匿名网络的网络基础设施和安全监控平台。
6、接入行动处(AO,代码S326)负责通过供应链安装拟送达目标的产品后门。
7、需求与定位(R&T,代号S327);接收相关单位的任务,确定侦察目标,分析评价情报价值。
8、接入技术行动处(ATO,S328)负责开发接触式秘密盗窃设备,并与美国中央情报局和联邦调查局合作,通过人工接触将秘密盗窃软件或设备安装在目标计算机和电信系统中。
9、S32P:项目规划整合处(PPI,S32P代码,负责总体规划和项目管理。
10、NWT:网络战小组(NWT),负责联系133个网络作战队。
罗伯特乔伊斯是美国国家安全局NSA对西北工业大学的攻击和盗窃行动的负责人(RobertEdwardJoyce)。这个人出生于1967年9月13日,1989年在美国国家安全局工作。曾担任“特定入侵行动办公室TAO”副主任、主任,现担任美国国家安全局NSA网络安全主管。
据我们所知,360公司网络安全专家边亮:(TAO)它代表了全球网络攻击的最高水平。他们掌握的大量攻击武器相当于拥有互联网上的通用钥匙。它可以随意进出所需的目标设备,从而窃取或破坏情报等动作。
你的信息也可能被泄露!专家呼吁提高网络安全意识
调查报告显示,美国国家安全局长期以来一直存在(NSA)长期以来,我国各行业龙头企业、政府、大学、医疗机构、科研机构,甚至与国计民生有关的重要信息基础设施运维单位,都开展了秘密黑客攻击活动。其行为对我国国防安全、关键基础设施安全、金融安全、社会安全、生产安全和公民个人信息造成严重危害,值得深思和警惕。
西北工业大学与中国国家计算机病毒应急处理中心和360公司合作,多年来全面恢复了美国国家安全局(NSA)利用网络武器发起的一系列攻击打破了美国对中国的单向透明优势。面对强大的国家背景竞争对手,首先要知道风险在哪里,什么样的风险,什么时候的风险。
360公司创始人周鸿毅:只要你能快速发现,你就能看到这种威胁,感知到这种攻击。然后你可以找到可追溯性,知道它从哪里进来,知道它们使用了什么漏洞,然后你可以处理它,清理它,同时修复所有修复的漏洞。
根据调查报告,西北理工大学公开发布了一份受到海外网络攻击的声明。本着实事求是、绝不姑息的决心,坚决查到底,积极采取防御措施,值得世界各地的美国国家安全局(NSA)学习网络攻击受害者将成为世界各国对美国国家安全局的有效防范(NSA)有力借鉴后续网络攻击行为。
(总台央视记者白央陈雷张岗董良言吴成轩陈庆滨刘功河白龙飞)
