來源:環球時報
【環球時報-環球網報道 特約記者袁宏】西北工業大學6月份曾釋出聲明,稱有來自境外的黑客組織和不法分子向學校師生發送包含木馬程式的釣魚郵件,企圖竊取相關師生郵件資料和公民個人資訊。9月5日,《環球時報》從相關部門獲悉,“西北工業大學遭受境外網絡攻擊”的“真兇”是美國國家安全局(NSA)特定入侵行動辦公室(TAO)。在各部門的通力協作下,此次行動全面還原了數年間美國NSA利用網絡武器發起的一系列攻擊行為,打破了一直以來美國對大陸的“單向透明”優勢。
“真兇”曝光:美國特定入侵行動辦公室
6月22日,西北工業大學釋出聲明,稱有來自境外的黑客組織和不法分子向學校師生發送包含木馬程式的釣魚郵件,企圖竊取相關師生郵件資料和公民個人資訊,給學校正常工作和生活秩序造成重大風險隐患。6月23日,西安市警察局碑林分局釋出警情通報,稱已立案偵查,并對提取到的木馬和釣魚郵件樣本進一步開展技術分析。初步判定,此事件為境外黑客組織和不法分子發起的網絡攻擊行為。
針對“西北工業大學遭受境外網絡攻擊”,中國國家計算機病毒應急進行中心和360公司聯合組成技術團隊(以下簡稱“技術團隊”),對此案進行全面技術分析工作。技術團隊先後從西北工業大學的多個資訊系統和上網終端中提取到了多款木馬樣本,綜合使用國内現有資料資源和分析手段,并得到了歐洲、南亞部分國家合作夥伴的通力支援,全面還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭。技術團隊初步判明對西北工業大學實施網絡攻擊行動是NSA資訊情報部(代号S)資料偵察局(代号S3)下屬TAO(代号S32)部門。
攻擊行動代号 “阻擊XXXX”
TAO成立于1998年,是目前美國政府專門從事對他國實施大規模網絡攻擊竊密活動的戰術實施機關,由2000多名軍人和文職人員組成,下設10個處室。
《環球時報》記者了解到,此案在NSA内部攻擊行動代号為“阻擊XXXX”(shotXXXX)。直接參與指揮與行動的主要包括TAO負責人,遠端操作中心(主要負責操作武器平台和工具進入并控制目标系統或網絡)以及任務基礎設施技術處(負責開發與建立網絡基礎設施和安全監控平台,用于建構攻擊行動網絡環境與匿名網絡)。
除此之外,還有四個處室參與了此次行動,分别是:先進/接入網絡技術處、資料網絡技術處、電信網絡技術處負責提供負責提供技術支撐,需求與定位處則負責确定攻擊行動戰略和情報評估。
而當時TAO負責人是羅伯特·喬伊斯。此人1967年9月13日出生,曾就讀于漢尼拔高中,1989年畢業于克拉克森大學,獲學士學位,1993年畢業于約翰·霍普金斯大學,獲碩士學位。1989年進入美國國家安全局工作。曾經擔任過TAO副主任,2013年至2017年擔任TAO主任。2017年10月開始擔任代理美國國土安全顧問。2018年4月至5月,擔任美國白宮國務安全顧問,後回到NSA擔任美國國家安全局局長網絡安全戰略進階顧問,現擔任NSA網絡安全局主管。
技術團隊全面還原攻擊竊密過程:TAO使用41種NSA專屬網絡攻擊武器
本次調查發現,在近年裡,美國NSA下屬TAO對中國國内的網絡目标實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡裝置(網絡伺服器、上網終端、網絡交換機、電話交換機、路由器、防火牆等),竊取了超過140GB的高價值資料。
技術分析中還發現,TAO已于此次攻擊活動開始前,在美國多家大型知名網際網路企業的配合下,掌握了中國大量通信網絡裝置的管理權限,為NSA持續侵入中國國内的重要資訊網絡大開友善之門。
經溯源分析,技術團隊現已全部還原此次攻擊竊密過程:在針對西北工業大學的網絡攻擊中,TAO使用了41種NSA專屬網絡攻擊武器,持續對西北工業大學開展攻擊竊密,竊取該校關鍵網絡裝置配置、網管資料、運維資料等核心技術資料。技術團隊澄清其在西北工業大學内部滲透的攻擊鍊路1100餘條、操作的指令序列90餘個,多份遭竊取的網絡裝置配置檔案,嗅探的網絡通信資料及密碼、其它類型的日志和密鑰檔案,基本還原了每一次攻擊的主要細節。掌握并固定了多條相關證據鍊,涉及在美國國内對中國直接發起網絡攻擊的人員13名,以及NSA通過掩護公司為建構網絡攻擊環境而與美國電信營運商簽訂的合同60餘份,電子檔案170餘份。
證據确鑿:鎖定四個IP位址
為掩護其攻擊行動,TAO在開始行動前進行了較長時間的準備工作,主要進行匿名化攻擊基礎設施的建設。TAO利用其掌握的針對SunOS作業系統的兩個“零日漏洞”利用工具,選擇了中國周邊國家的教育機構、商業公司等網絡應用流量較多的伺服器為攻擊目标;攻擊成功後,安裝NOPEN木馬程式(參與有關研究報告),控制了大批跳闆機。
據介紹,TAO在針對西北工業大學的網絡攻擊行動中先後使用了54台跳闆機和代理伺服器,主要分布在日本、南韓、瑞典、波蘭、烏克蘭等17個國家,其中70%位于中國周邊國家,如日本、南韓等。
這些跳闆機的功能僅限于指令中轉,即:将上一級的跳闆指令轉發到目标系統,進而掩蓋美國國家安全局發起網絡攻擊的真實IP。目前已經至少掌握TAO從其接入環境(美國國内電信營運商)控制跳闆機的四個IP位址,分别為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時,為了進一步掩蓋跳闆機和代理伺服器與NSA之間的關聯關系,NSA使用了美國Register公司的匿名保護服務,對相關域名、證書以及注冊人等可溯源資訊進行匿名化處理,無法通過公開管道進行查詢。
技術團隊通過威脅情報資料關聯分析,發現針對西北工業大學攻擊平台所使用的網絡資源共涉及5台代理伺服器,NSA通過秘密成立的兩家掩護公司向美國泰瑞馬克(Terremark)公司購買了埃及、荷蘭和哥倫比亞等地的IP位址,并租用一批伺服器。這兩家公司分别為傑克·史密斯咨詢公司(Jackson Smith Consultants)、穆勒多元系統公司(Mueller Diversified Systems)。同時,技術團隊還發現,TAO基礎設施技術處(MIT)從業人員使用“阿曼達·拉米雷斯(Amanda Ramirez)”的名字匿名購買域名和一份通用的SSL證書(ID:e42d3bea0a16111e67ef79f9cc2*****)。随後,上述域名和證書被部署在位于美國本土的中間人攻擊平台“酸狐狸”(Foxacid)上,對中國的大量網絡目标開展攻擊,特别是,TAO對西北工業大學等中國資訊網絡目标展開了多輪持續性的攻擊、竊密行動。
為了掩藏攻擊行蹤,TAO在對西北工業大學的網絡攻擊行動中,會根據目标環境對同一款網絡武器進行靈活配置。例如,對西北工業大學實施網絡攻擊中使用的網絡武器中,僅後門工具“狡詐異端犯”(NSA命名)就有14個不同版本。
意義重大:打破美國對大陸的“單向透明”優勢
根據介紹,一直以來,美國國家安全局(NSA)針對大陸各行業龍頭企業、政府、大學、醫療機構、科研機構甚至關乎國計民生的重要資訊基礎設施運維機關等機構長期進行秘密黑客攻擊活動。其行為或對大陸的國防安全、關鍵基礎設施安全、金融安全、社會安全、生産安全以及公民個人資訊造成嚴重危害。
此次西北工業大學聯合中國國家計算機病毒應急進行中心與360公司,全面還原了數年間美國NSA利用網絡武器發起的一系列攻擊行為,打破了一直以來美國對大陸的“單向透明”優勢。面對國家級背景的強大對手,首先要知道風險在哪,是什麼樣的風險,什麼時候的風險,從此次美國NSA攻擊事件也可證明,看不見就要挨打。這是一次三方集中精力聯手攻克“看見”難題的成功實踐,幫助國家真正感覺風險、看見威脅、抵禦攻擊,将境外黑客攻擊暴露在陽光下。
此外,西北工業大學聯合相關部門積極采取防禦措施的行動更是值得遍布全球的NSA網絡攻擊活動受害者學習,這将成為世界各國有效防範抵禦美國NSA後續網絡攻擊行為的有力借鑒,《環球時報》也将持續關注此事進展。