天天看點

西北工業大學遭網絡攻擊活動源自美國國家安全局

作者:光明網

央視網消息:9月5日,國家計算機病毒應急進行中心釋出《西北工業大學遭美國NSA網絡攻擊事件調查報告(之一)》。

西北工業大學遭網絡攻擊活動源自美國國家安全局

2022年6月22日,西北工業大學釋出《公開聲明》稱,該校遭受境外網絡攻擊。陝西省西安市警察局碑林分局随即釋出《警情通報》,證明在西北工業大學的資訊網絡中發現了多款源于境外的木馬樣本,西安警方已對此正式立案調查。

國家計算機病毒應急進行中心和360公司聯合組成技術團隊(以下簡稱“技術團隊”),全程參與了此案的技術分析工作。技術團隊先後從西北工業大學的多個資訊系統和上網終端中提取到了多款木馬樣本,綜合使用國内現有資料資源和分析手段,并得到了歐洲、南亞部分國家合作夥伴的通力支援,全面還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關攻擊活動源自美國國家安全局(NSA)“特定入侵行動辦公室”(Office of Tailored Access Operation,後文簡稱TAO)。

一、攻擊事件概貌

本次調查發現,在近年裡,美國NSA下屬TAO對中國國内的網絡目标實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡裝置(網絡伺服器、上網終端、網絡交換機、電話交換機、路由器、防火牆等),竊取了超過140GB的高價值資料。TAO利用其網絡攻擊武器平台、“零日漏洞”(0day)及其控制的網絡裝置等,持續擴大網絡攻擊和範圍。經技術分析與溯源,技術團隊現已澄清TAO攻擊活動中使用的網絡攻擊基礎設施、專用武器裝備及技戰術,還原了攻擊過程和被竊取的檔案,掌握了美國NSA及其下屬TAO對中國資訊網絡實施網絡攻擊和資料竊密的相關證據,涉及在美國國内對中國直接發起網絡攻擊的人員13名,以及NSA通過掩護公司為建構網絡攻擊環境而與美國電信營運商簽訂的合同60餘份,電子檔案170餘份。

二、攻擊事件分析

在針對西北工業大學的網絡攻擊中,TAO使用了40餘種不同的NSA專屬網絡攻擊武器,持續對西北工業大學開展攻擊竊密,竊取該校關鍵網絡裝置配置、網管資料、運維資料等核心技術資料。通過驗證分析,技術團隊累計發現攻擊者在西北工業大學内部滲透的攻擊鍊路多達1100餘條、操作的指令序列90餘個,并從被入侵的網絡裝置中定位了多份遭竊取的網絡裝置配置檔案、遭嗅探的網絡通信資料及密碼、其它類型的日志和密鑰檔案以及其他與攻擊活動相關的主要細節。具體分析情況如下:

(一)相關網絡攻擊基礎設施

為掩護其攻擊行動,TAO在開始行動前會進行較長時間的準備工作,主要進行匿名化攻擊基礎設施的建設。TAO利用其掌握的針對SunOS作業系統的兩個“零日漏洞”利用工具,選擇了中國周邊國家的教育機構、商業公司等網絡應用流量較多的伺服器為攻擊目标;攻擊成功後,安裝NOPEN木馬程式(詳見有關研究報告),控制了大批跳闆機。

TAO在針對西北工業大學的網絡攻擊行動中先後使用了54台跳闆機和代理伺服器,主要分布在日本、南韓、瑞典、波蘭、烏克蘭等17個國家,其中70%位于中國周邊國家,如日本、南韓等。

這些跳闆機的功能僅限于指令中轉,即:将上一級的跳闆指令轉發到目标系統,進而掩蓋美國國家安全局發起網絡攻擊的真實IP。目前已經至少掌握TAO從其接入環境(美國國内電信營運商)控制跳闆機的四個IP位址,分别為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時,為了進一步掩蓋跳闆機和代理伺服器與NSA之間的關聯關系,NSA使用了美國Register公司的匿名保護服務,對相關域名、證書以及注冊人等可溯源資訊進行匿名化處理,無法通過公開管道進行查詢。

技術團隊通過威脅情報資料關聯分析,發現針對西北工業大學攻擊平台所使用的網絡資源共涉及5台代理伺服器,NSA通過秘密成立的兩家掩護公司向美國泰瑞馬克(Terremark)公司購買了埃及、荷蘭和哥倫比亞等地的IP位址,并租用一批伺服器。這兩家公司分别為傑克•史密斯咨詢公司(Jackson Smith Consultants)、穆勒多元系統公司(Mueller Diversified Systems)。同時,技術團隊還發現,TAO基礎設施技術處(MIT)從業人員使用“阿曼達•拉米雷斯(Amanda Ramirez)”的名字匿名購買域名和一份通用的SSL證書(ID:e42d3bea0a16111e67ef79f9cc2*****)。随後,上述域名和證書被部署在位于美國本土的中間人攻擊平台“酸狐狸”(Foxacid)上,對中國的大量網絡目标開展攻擊。特别是,TAO對西北工業大學等中國資訊網絡目标展開了多輪持續性的攻擊、竊密行動。

(二)相關網絡攻擊武器

TAO在對西北工業大學的網絡攻擊行動中,先後使用了41種NSA的專用網絡攻擊武器裝備。并且在攻擊過程中,TAO會根據目标環境對同一款網絡武器進行靈活配置。例如,對西北工業大學實施網絡攻擊中使用的網絡武器中,僅後門工具“狡詐異端犯”(NSA命名)就有14個不同版本。技術團隊将此次攻擊活動中TAO所使用工具類别分為四大類,具體包括:

1、漏洞攻擊突破類武器

TAO依托此類武器對西北工業大學的邊界網絡裝置、網關伺服器、辦公内網主機等實施攻擊突破,同時也用來攻擊控制境外跳闆機以建構匿名化網絡作為行動掩護。此類武器共有3種:

①“刮胡刀”

此武器可針對開放了指定RPC服務的X86和SPARC架構的Solarise系統實施遠端漏洞攻擊,攻擊時可自動探知目标系統服務開放情況并智能化選擇合适版本的漏洞利用代碼,直接擷取對目标主機的完整控制權。此武器用于對日本、南韓等國家跳闆機的攻擊,所控制跳闆機被用于對西北工業大學的網絡攻擊。

②“孤島”

此武器同樣可針對開放了指定RPC服務的Solaris系統實施遠端溢出攻擊,直接擷取對目标主機的完整控制權。與“刮胡刀”的不同之處在于此工具不具備自主探測目标服務開放情況的能力,需由使用者手動配置目标及相關參數。NSA使用此武器攻擊控制了西北工業大學的邊界伺服器。

③“酸狐狸”武器平台

此武器平台部署在哥倫比亞,可結合“二次約會”中間人攻擊武器使用,可智能化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平台上的主流浏覽器開展遠端溢出攻擊,擷取目标系統的控制權(詳見:國家計算機病毒應急進行中心《美國國家安全局(NSA)“酸狐狸”漏洞攻擊武器平台技術分析報告》)。TAO主要使用該武器平台對西北工業大學辦公内網主機進行入侵。

2、持久化控制類武器

TAO依托此類武器對西北工業大學網絡進行隐蔽持久控制,TAO行動隊可通過加密通道發送控制指令操作此類武器實施對西北工業大學網絡的滲透、控制、竊密等行為。此類武器共有6種:

①“二次約會”

此武器長期駐留在網關伺服器、邊界路由器等網絡邊界裝置及伺服器上,可針對海量資料流量進行精準過濾與自動化劫持,實作中間人攻擊功能。TAO在西北工業大學邊界裝置上安置該武器,劫持流經該裝置的流量引導至“酸狐狸”平台實施漏洞攻擊。

②“NOPEN”

此武器是一種支援多種作業系統和不同體系架構的遠控木馬,可通過加密隧道接收指令執行檔案管理、程序管理、系統指令執行等多種操作,并且本身具備權限提升和持久化能力(詳見:國家計算機病毒應急進行中心《“NOPEN”遠控木馬分析報告》)。TAO主要使用該武器對西北工業大學網絡内部的核心業務伺服器和關鍵網絡裝置實施持久化控制。

③“怒火噴射”

此武器是一款基于Windows系統的支援多種作業系統和不同體系架構的遠控木馬,可根據目标系統環境定制化生成不同類型的木馬服務端,服務端本身具備極強的抗分析、反調試能力。TAO主要使用該武器配合“酸狐狸”平台對西北工業大學辦公網内部的個人主機實施持久化控制。

④“狡詐異端犯”

此武器是一款輕量級的後門植入工具,運作後即自删除,具備權限提升能力,持久駐留于目标裝置上并可随系統啟動。TAO主要使用該武器實作持久駐留,以便在合适時機建立加密管道上傳NOPEN木馬,保障對西北工業大學資訊網絡的長期控制。

⑤“堅忍外科醫生”

此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種類型作業系統的後門,該武器可持久化運作于目标裝置上,根據指令對目标裝置上的指定檔案、目錄、程序等進行隐藏。TAO主要使用該武器隐藏NOPEN木馬的檔案和程序,避免其被監控發現。技術分析發現,TAO在對西北工業大學的網絡攻擊中,累計使用了該武器的12個不同版本。

3、嗅探竊密類武器

TAO依托此類武器嗅探西北工業大學從業人員運維網絡時使用的賬号密碼、指令行操作記錄,竊取西北工業大學網絡内部的敏感資訊和運維資料等。此類武器共有兩種:

①“飲茶”

此武器可長期駐留在32位或64位的Solaris系統中,通過嗅探程序間通信的方式擷取ssh、telnet、rlogin等多種遠端登入方式下暴露的賬号密碼。TAO主要使用該武器嗅探西北工業大學業務人員實施運維工作時産生的賬号密碼、指令行操作記錄、日志檔案等,壓縮加密存儲後供NOPEN木馬下載下傳。

②“敵後行動”系列武器

此系列武器是專門針對電信營運商特定業務系統使用的工具,根據被控業務裝置的不同類型,“敵後行動”會與不同的解析工具配合使用。TAO在對西北工業大學的網絡攻擊中使用了“魔法學校”、“小醜食物”和“詛咒之火”等3類針對電信營運商的攻擊竊密工具。

4、隐蔽消痕類武器

TAO依托此類武器消除其在西北工業大學網絡内部的行為痕迹,隐藏、掩飾其惡意操作和竊密行為,同時為上述三類武器提供保護。現已發現1種此類武器:

“吐司面包” ,此武器可用于檢視、修改utmp、wtmp、lastlog等日志檔案以清除操作痕迹。TAO主要使用該武器清除、替換被控西北工業大學上網裝置上的各類日志檔案,隐藏其惡意行為。TAO對西北工業大學的網絡攻擊中共使用了3款不同版本的“吐司面包”。

三、攻擊溯源

技術團隊結合上述技術分析結果和溯源調查情況,初步判斷對西北工業大學實施網絡攻擊行動的是美國國家安全局(NSA)資訊情報部(代号S)資料偵察局(代号S3)下屬TAO(代号S32)部門。該部門成立于1998年,其力量部署主要依托美國國家安全局(NSA)在美國和歐洲的各密碼中心。目前已被公布的六個密碼中心分别是:

1、美國馬裡蘭州米德堡的NSA總部;

2、美國夏威夷瓦胡島的NSA夏威夷密碼中心(NSAH);

3、美國佐治亞州戈登堡的NSA佐治亞密碼中心(NSAG);

4、美國德克薩斯州聖安東尼奧的NSA德克薩斯密碼中心(NSAT);

5、美國科羅拉羅州丹佛馬克利空軍基地的NSA科羅拉羅密碼中心(NSAC);

6、德國達姆施塔特美軍基地的NSA歐洲密碼中心(NSAE)。

TAO是目前美國政府專門從事對他國實施大規模網絡攻擊竊密活動的戰術實施機關,由2000多名軍人和文職人員組成,其内設機構包括:

第一處:遠端操作中心(ROC,代号S321),主要負責操作武器平台和工具進入并控制目标系統或網絡。

第二處:先進/接入網絡技術處(ANT,代号S322),負責研究相關硬體技術,為TAO網絡攻擊行動提供硬體相關技術和武器裝備支援。

第三處:資料網絡技術處(DNT,代号S323),負責研發複雜的計算機軟體工具,為TAO操作人員執行網絡攻擊任務提供支撐。

第四處:電信網絡技術處(TNT,代号S324),負責研究電信相關技術,為TAO操作人員隐蔽滲透電信網絡提供支撐。

第五處:任務基礎設施技術處(MIT,代号S325),負責開發與建立網絡基礎設施和安全監控平台,用于建構攻擊行動網絡環境與匿名網絡。

第六處:接入行動處(ATO,代号S326),負責通過供應鍊,對拟送達目标的産品進行後門安裝。

第七處:需求與定位處(R&T,代号S327),接收各相關機關的任務,确定偵察目标,分析評估情報價值。

S32P:項目計劃整合處(PPI,代号S32P),負責總體規劃與項目管理。

NWT:網絡戰小組(NWT),負責與網絡作戰小隊聯絡。

美國國家安全局(NSA)針對西北工業大學的攻擊行動代号為“阻擊XXXX”(shotXXXX)。該行動由TAO負責人直接指揮,由MIT(S325)負責建構偵察環境、租用攻擊資源;由R&T(S327)負責确定攻擊行動戰略和情報評估;由ANT(S322)、DNT(S323)、TNT(S324)負責提供技術支撐;由ROC(S321)負責組織開展攻擊偵察行動。由此可見,直接參與指揮與行動的主要包括TAO負責人,S321和S325機關。

NSA對西北工業大學攻擊竊密期間的TAO負責人是羅伯特•喬伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,曾就讀于漢尼拔高中,1989年畢業于克拉克森大學,獲學士學位,1993年畢業于約翰斯•霍普金斯大學,獲碩士學位。1989年進入美國國家安全局工作。曾經擔任過TAO副主任,2013年至2017年擔任TAO主任。2017年10月開始擔任代理美國國土安全顧問。2018年4月至5月,擔任美國白宮國務安全顧問,後回到NSA擔任美國國家安全局局長網絡安全戰略進階顧問,現擔任NSA網絡安全主管。

四、總結

本次報告基于國家計算機病毒應急進行中心與360公司聯合技術團隊的分析成果,揭露了美國NSA長期以來針對包括西北工業大學在内的中國資訊網絡使用者和重要機關開展網絡間諜活動的真相。後續技術團隊還将陸續公布相關事件調查的更多技術細節。

來源: 央視網

繼續閱讀