美国国家安全局是西北工业大学遭网络攻击的源头

9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告,调查发现,美国国家安全局下属的“特定入侵行动办公室”多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备,疑似窃取了高价值数据。

图片

美国情报部想要对西工大学进行窃密,其实一点都不意外,毕竟西工大学校内的三大王牌学科:航空宇航科学与技术,材料科学与工程,计算机科学与技术,为中国输送了许多顶尖人才。该校还深度参与了国内航空航天领域内的顶尖科研成果,有着许多涉及国家机密性的文件,对美国来说是个“中国宝库”。

而西工大学作为“国防七子”之一,有着强大的军工背景,重要的国内地位也令该校长期以来高度重视网络安全工作,定期开展网络安全检查和技术监测,明确主动防御策略,全面采取技术防护措施,面对美国顶级情报部门的攻击,西工当场挫败其阴谋,如今更是将攻击者揪了出来,狠狠打了波美国的脸。

有了此次的经验,中国以后在防范抵御美国NSA的网络攻击行为上,或许能总结出一套有效的应对方式,甚至将其分享给其他饱受美国网络攻击所迫害的国家,甚至在金砖国家内部,组建起一个网络安全合作联盟,共同应对美国窃取他国机密的恶行。只要各国能够联手合作,超级大国仗着网络优势肆意妄为的日子,恐怕很快就将一去不复返了 。

西工大信息系统遭网络攻击

源头系美国国家安全局

今年4月,西安市公安机关接到一起网络攻击的报警,西北工业大学的信息系统发现遭受网络攻击的痕迹。

西北工业大学信息化建设与管理处副处长兼信息中心主任 宋强:近期我校系统发现木马程序,企图非法获取权限,这给我们学校的正常工作和生活秩序造成了重大的风险隐患。

图片

西安市公安机关对此高度重视,立即组织警力与网络安全技术专家成立联合专案组对此案进行立案侦查。国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局下属的“特定入侵行动办公室”。

本次调查还发现,在近年里,美国国家安全局下属的“特定入侵行动办公室”对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括:网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取了超过140GB的高价值数据。

NSA使用41种网络攻击武器

窃取数据

调查报告显示,美国国家安全局持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。先后使用了41种专用网络攻击武器装备,仅后门工具“狡诈异端犯”(NSA命名)就有14款不同版本。

通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其他类型的日志和密钥文件以及其他与攻击活动相关的主要细节。掌握并固定了多条相关证据链,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。

图片

此次调查报告披露,美国国家安全局利用大量网络攻击武器,针对我国各行业龙头企业、政府、大学、医疗、科研等机构长期进行秘密黑客攻击活动。

调查同时发现,美国国家安全局还利用其控制的网络攻击武器平台、“零日漏洞”(Oday)和网络设备,长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。

掩盖真实IP 精心伪装网络攻击痕迹

此次调查报告披露,美国国家安全局为了隐匿其对西北工业大学等中国信息网络实施网络攻击的行为,做了长时间准备工作,并且进行了精心伪装。

图片

技术团队分析发现,美国国家安全局下属的特定入侵行动办公室(TAO)在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。“特定入侵行动办公室”利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,即安装NOPEN木马程序,控制了大批跳板机。

“特定入侵行动办公室”在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。其中,用以掩盖真实IP的跳板机都是精心挑选,所有IP均归属于非“五眼联盟”国家。

技术团队还发现,相关网络攻击活动开始前,美国国家安全局在美国多家大型知名互联网企业配合下,将掌握的中国大量通信网络设备的管理权限,提供给美国国家安全局等情报机构,为持续侵入中国国内的重要信息网络大开方便之门。

“特定入侵行动办公室” 到底是什么机构?

据了解,“特定入侵行动办公室”成立于1998年,是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,其力量部署主要依托美国国家安全局在美国和欧洲的各密码中心,下设10个单位。

图片

目前已被公布的六个密码中心分别是:

1 国安局马里兰州的米德堡总部;

2 瓦湖岛的国安局夏威夷密码中心(NSAH);

3 戈登堡的国安局乔治亚密码中心(NSAG);

4 圣安东尼奥的国安局德克萨斯密码中心(NSAT);

5 丹佛马克利空军基地的国安局科罗拉罗密码中心(NSAC);

6 德国达姆施塔特美军基地的国安局欧洲密码中心(NSAE)

针对西北工业大学的攻击窃密行动的负责人是罗伯特·乔伊斯。此人于1967年9月13日出生,1989年进入美国国家安全局工作。曾经担任过“特定入侵行动办公室”副主任、主任,现担任美国国家安全局NSA网络安全主管。

图片

网络安全专家表示,据了解,入侵行动办公室代表了全球网络攻击的最高水平,他们所掌握的大量的攻击武器,相当于有了互联网当中的万能钥匙,可以任意进出它想要的目标设备,从而窃取情报,或进行破坏。

TAO的武器装备分析

技术分析发现,TAO先后使用了41种NSA的专用网络攻击武器装备,通过分布于日本、韩国、瑞典、波兰、乌克兰等17个国家的49台跳板机和5台代理服务器,对西北工业大学发起了攻击窃密行动上千次,窃取了一批网络数据。

美国国家安全局TAO的网络攻击武器装备针对性强,得到了美国互联网巨头的鼎力支持。同一款装备会根据目标环境进行灵活配置,在这中使用的41款装备中,仅后门工具“狡诈异端犯”(NSA命名)在对西北工业大学的网络攻击中就有14款不同版本。NSA所使用工具类别主要分为四大类,分别是:

(一)漏洞攻击突破类武器

TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名网络。此类武器共有3种:

1.“剃须刀”

此武器可针对开放了指定RPC服务的X86和SPARC架构的Solaris系统实施远程溢出攻击,攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。

此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。

2.“孤岛”

此武器同样可针对开放了制定RPC服务的Solaris系统实施远程溢出攻击,直接获取对目标主机的完整控制权。

与“剃须刀”工具不同之处在于此工具不具备自主探测目标服务开放情况的能力,需由使用者手动选择欲打击的目标服务。

NSA使用此武器攻击控制了西北工业大学的边界服务器。

3.“酸狐狸”武器平台

此武器平台部署在哥伦比亚,可结合“二次约会”中间人攻击武器使用,可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击,获取目标系统的控制权。

TAO主要使用该武器平台对西北工业大学办公内网主机开展突破攻击。

(二)持久化控制类武器

TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO工作人员可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有5种:

1.“二次约会”

此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。

TAO在西北工业大学边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

2.“NOPEN”木马

此武器是一种支持多种操作系统和不同体系架构的控守型木马,可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力。

TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

3.“怒火喷射”

此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的控守型木马,可根据目标系统环境定制化生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。

TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。

4.“狡诈异端犯”

此武器是一款轻量级的后门植入工具,运行后即自删除,具备提权功能,持久驻留于目标设备上并可随系统启动。

TAO主要使用该武器实现持久驻留,以便在合适时机建立加密管道上传NOPEN木马,保障对西北工业大学信息网络的长期控制。

5.“坚忍外科医生”

此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。

TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。

TAO在对西北工业大学的网络攻击中共使用该武器的12个不同版本。

(三)嗅探窃密类武器

TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、生成的操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种:

1.“饮茶”

此武器可长期驻留在32位或64位的Solaris系统中,通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。

TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、操作记录、日志文件等,压缩加密存储后供NOPEN木马下载。

2.“敌后行动”系列武器

此系列武器是专门针对运营商特定业务系统使用的工具,根据被控业务设备的不同类型,“敌后行动”会与不同的解析工具配合使用。

在对西北工业大学运维管道的攻击中共使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对运营商的攻击窃密工具。

(四)隐蔽消痕类武器

TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。

现已发现的此类武器共有1种:

1.“吐司面包”

此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。

TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件,隐藏其恶意行为。

TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。

图片

—— 本文摘自“360数字安全和央视新闻”