动用40余种武器，美国NSA对西工大发起网络攻击

FB客服

发布于 2023-03-30 19:31:59

4330

发布于 2023-03-30 19:31:59

文章被收录于专栏：FreeBufFreeBuf

9月5日，据国家计算机病毒应急处理中心披露，西北工业大学遭网络攻击事件系美国国家安全局（NSA）所为。在针对该校的网络攻击中，NSA使用了40余种专属网络攻击武器，持续开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

西北工业大学曾在6月22日发布声明，称遭受境外网络攻击，学校师生收到包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息。随后，西安警方对该事件立案侦查。

公开资料显示，西北工业大学坐落于陕西西安，隶属于工业和信息化部，是中国唯一一所以同时发展航空、航天、航海工程教育和科学研究为特色的全国重点大学，位列国家“双一流”、“985工程”、“211工程”。

国家计算机病毒应急处理中心和360公司联合组成技术团队，从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，后文简称TAO）。

40余种攻击武器，数次攻击西工大

TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成。本次调查发现，在近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。

在针对西北工业大学的攻击中，TAO的内部渗透攻击链路达1100余条，操作指令序列90余个，先后使用了54台跳板机和代理服务器，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。根据调查报告，此次攻击中使用的工具可分为四大类：

1、漏洞攻击突破类武器

TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。包括：“剃须刀”、“孤岛”、“酸狐狸”武器平台。

2、持久化控制类武器

TAO依托此类武器对西北工业大学网络进行隐蔽持久控制，TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。包括：“二次约会”、“NOPEN”、“怒火喷射”、“狡诈异端犯”、“坚忍外科医生”。

3、嗅探窃密类武器

TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。包括：“饮茶”、“敌后行动”系列武器。

4、隐蔽消痕类武器

TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。例如“吐司面包”。

提前布局，持续攻击

美国国家安全局（NSA）针对西北工业大学的攻击行动代号为“阻击XXXX”（shotXXXX）。该行动由TAO负责人罗伯特•乔伊斯（Robert Edward Joyce）直接指挥，他目前在NSA担任网络安全主管。

调查报告显示，为掩护其攻击行动，TAO在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN木马程序控制大批跳板机。

TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。

调查报告还发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器，NSA通过秘密成立的两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP地址，并租用一批服务器。同时，TAO工作人员还匿名购买域名和通用的SSL证书，部署在中间人攻击平台“酸狐狸”，对西北工业大学等中国信息网络目标展开多轮持续性攻击和窃密行动。