西北工業(yè)大學遭美國NSA網(wǎng)絡攻擊事件調(diào)查

　　總臺獨家報道丨西北工業(yè)大學遭美國NSA網(wǎng)絡攻擊事件調(diào)查

　　今天(5日)，國家計算機病毒應急處理中心和360公司分別發(fā)布了關于西北工業(yè)大學遭受境外網(wǎng)絡攻擊的調(diào)查報告。報告顯示網(wǎng)絡攻擊源頭系美國國家安全局(NSA)。詳情>>

　　NSA使用41種網(wǎng)絡攻擊武器 竊取數(shù)據(jù)

　　此次調(diào)查發(fā)現(xiàn)，針對西北工業(yè)大學的網(wǎng)絡攻擊中，美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)使用了40余種不同的專屬網(wǎng)絡攻擊武器，持續(xù)對西北工業(yè)大學開展攻擊竊密，竊取該校關鍵網(wǎng)絡設備配置、網(wǎng)管數(shù)據(jù)、運維數(shù)據(jù)等核心技術數(shù)據(jù)。

　　此次遭受攻擊的西北工業(yè)大學位于陜西西安，隸屬于工業(yè)和信息化部，是一所多科性、研究型、開放式大學。

　　西安市公安局碑林分局副局長 靳琪：西北工業(yè)大學是目前我國從事航空、航天、航海工程教育和科學研究領域的重點大學，擁有大量國家頂級科研團隊和高端人才，承擔國家多個重點科研項目，地位十分特殊，網(wǎng)絡安全十分關鍵。由于其所具有的特殊地位和從事的敏感科學研究，所以才成為此次網(wǎng)絡攻擊的針對性目標。

　　調(diào)查報告顯示，美國國家安全局(NSA)在對西北工業(yè)大學的網(wǎng)絡攻擊行動中，先后使用了41種專用網(wǎng)絡攻擊武器裝備，僅后門工具“狡詐異端犯”( NSA 命名)就有14款不同版本。

　　360公司網(wǎng)絡安全專家 邊亮：在前期的話，它會有一些偵察的模塊。那么偵察之后發(fā)現(xiàn)，如果說它的目標環(huán)境當中，可能比如說有的需要去竊取密碼或者竊取重要情報信息，根據(jù)不同的情況、不同的系統(tǒng)或者不同的平臺，去定制化進行武器的攻擊和投遞。

　　通過取證分析，技術團隊累計發(fā)現(xiàn)攻擊者在西北工業(yè)大學內(nèi)部滲透的攻擊鏈路多達1100余條、操作的指令序列90余個，并從被入侵的網(wǎng)絡設備中定位了多份遭竊取的網(wǎng)絡設備配置文件、遭嗅探的網(wǎng)絡通信數(shù)據(jù)及口令、其他類型的日志和密鑰文件以及其他與攻擊活動相關的主要細節(jié)。

　　技術團隊將此次攻擊活動中所使用的武器類別分為四大類，具體包括：1、漏洞攻擊突破類武器；2、持久化控制類武器；3、嗅探竊密類武器；4、隱蔽消痕類武器。

　　國家計算機病毒應急處理中心高級工程師 杜振華：從最開始的這種漏洞的攻擊突破，突破之后去投送這種第二類的，我們說持久控制類的武器工具。那么再到第三類，那么它實現(xiàn)這種嗅探的竊密，那么長期的潛伏竊取我們重要的數(shù)據(jù)，然后把這個攻擊活動，它認為任務已經(jīng)完成之后，那么開始使用第四類的武器就是隱蔽消痕類，把現(xiàn)場清理干凈，讓被害人無法察覺。

　　此次調(diào)查報告披露，美國國家安全局(NSA)利用大量網(wǎng)絡攻擊武器，針對我國各行業(yè)龍頭企業(yè)、政府、大學、醫(yī)療、科研等機構長期進行秘密黑客攻擊活動。

　　360公司創(chuàng)始人 周鴻祎：就是瞄準國家的這種科研機構、政府部門、軍工單位、高校這些地方來竊取情報或者竊取數(shù)據(jù)，它從攻擊從策劃到部署，到通過很長的這種跳板，一直到攻到核心崗位里面，大概持續(xù)的時間有的要長達數(shù)年。那么危害也就非常大，因為未來我們整個國家都在搞數(shù)字化，我們很多重要的這種業(yè)務都是由數(shù)據(jù)來驅(qū)動，你想數(shù)據(jù)一旦被偷竊或一旦被破壞，肯定會帶來嚴重的風險。

　　調(diào)查同時發(fā)現(xiàn)，美國國家安全局(NSA)還利用其控制的網(wǎng)絡攻擊武器平臺、“零日漏洞”(Oday)和網(wǎng)絡設備，長期對中國的手機用戶進行無差別的語音監(jiān)聽，非法竊取手機用戶的短信內(nèi)容，并對其進行無線定位。

　　NSA掩蓋真實IP 精心偽裝網(wǎng)絡攻擊痕跡

　　此次調(diào)查報告披露，美國國家安全局(NSA)為了隱匿其對西北工業(yè)大學等中國信息網(wǎng)絡實施網(wǎng)絡攻擊的行為，做了長時間準備工作，并且進行了精心偽裝。

　　技術團隊分析發(fā)現(xiàn)，美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)在開始行動前會進行較長時間的準備工作，主要進行匿名化攻擊基礎設施的建設。特定入侵行動辦公室(TAO)利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具，選擇了中國周邊國家的教育機構、商業(yè)公司等網(wǎng)絡應用流量較多的服務器為攻擊目標；攻擊成功后，即安裝NOPEN木馬程序，控制了大批跳板機。

　　特定入侵行動辦公室(TAO)在針對西北工業(yè)大學的網(wǎng)絡攻擊行動中先后使用了54臺跳板機和代理服務器，主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家，其中70%位于中國周邊國家，如日本、韓國等。其中，用以掩蓋真實IP的跳板機都是精心挑選，所有IP均歸屬于非“五眼聯(lián)盟”國家。

　　針對西北工業(yè)大學攻擊平臺所使用的網(wǎng)絡資源涉及代理服務器，美國國家安全局(NSA)通過秘密成立的兩家掩護公司購買了埃及、荷蘭和哥倫比亞等地的IP，并租用一批服務器。

　　國家計算機病毒應急處理中心高級工程師 杜振華：它是使用這種虛擬身份，或者是代理人的身份。那么去租用和購買互聯(lián)網(wǎng)上的這種服務器、IP地址、域名，甚至它還可以通過這種網(wǎng)絡攻擊的手段，在對方不知情的情況下，接管第三方用戶的這種服務器資源。那么來實施網(wǎng)絡攻擊，實現(xiàn)這種借刀殺人的效果。

　　美國國家安全局(NSA)為了保護其身份安全，使用了美國隱私保護公司的匿名保護服務，相關域名和證書均指向無關聯(lián)人員，以便掩蓋真實攻擊平臺對西北工業(yè)大學等中國信息網(wǎng)絡展開的多輪持續(xù)性攻擊、竊密行動。

　　國家計算機病毒應急處理中心高級工程師 杜振華：有了這些跳板機之后，TAO就可以躲在這些跳板機的后面，去向目標發(fā)動網(wǎng)絡攻擊。這樣從受害者的角度去看，即使他發(fā)現(xiàn)了攻擊，實際上也是這些跳板機的。那么這樣起到一個，就是對真實的攻擊來源網(wǎng)絡地址的一個保護的這種作用。

　　技術團隊還發(fā)現(xiàn)，相關網(wǎng)絡攻擊活動開始前，美國國家安全局(NSA)在美國多家大型知名互聯(lián)網(wǎng)企業(yè)配合下，將掌握的中國大量通信網(wǎng)絡設備的管理權限，提供給美國國家安全局等情報機構，為持續(xù)侵入中國國內(nèi)的重要信息網(wǎng)絡大開方便之門。

　　TAO到底是什么？網(wǎng)絡攻擊竊密活動的戰(zhàn)術實施單位

　　據(jù)調(diào)查報告顯示，美國國家安全局(NSA)下屬的“特定入侵行動辦公室”(TAO)不僅對中國國內(nèi)的各重點企業(yè)和機構實施惡意網(wǎng)絡攻擊，而且還長期對中國的手機用戶進行無差別的語音監(jiān)聽，非法竊取手機用戶的短信內(nèi)容，并對其進行無線定位。那么這個簡稱TAO的特定入侵行動辦公室到底是一個什么機構呢？

　　經(jīng)技術分析和網(wǎng)上溯源調(diào)查發(fā)現(xiàn)，實施此次網(wǎng)絡攻擊行動美國國家安全局(NSA)下屬特定入侵行動辦公室(TAO)部門，成立于1998年，其力量部署主要依托美國國家安全局(NSA)在美國和歐洲的各密碼中心。目前已被公布的六個密碼中心分別是：

　　1、國安局馬里蘭州的米德堡總部；

　　2、瓦湖島的國安局夏威夷密碼中心(NSAH)；

　　3、戈登堡的國安局喬治亞密碼中心(NSAG)；

　　4、圣安東尼奧的國安局得克薩斯密碼中心(NSAT)；

　　5、丹佛馬克利空軍基地的國安局科羅拉羅密碼中心(NSAC)；

　　6、德國達姆施塔特美軍基地的國安局歐洲密碼中心(NSAE)。

　　特定入侵行動辦公室TAO是目前美國政府專門從事對他國實施大規(guī)模網(wǎng)絡攻擊竊密活動的戰(zhàn)術實施單位，由2000多名軍人和文職人員組成。下設10個單位：

　　1、遠程操作中心(ROC，代號 S321)，主要負責操作武器平臺和工具進入并控制目標系統(tǒng)或網(wǎng)絡。

　　2、先進/接入網(wǎng)絡技術處(ANT，代號 S322)，負責研究相關硬件技術，為TAO網(wǎng)絡攻擊行動提供硬件相關技術和武器裝備支持。

　　3、數(shù)據(jù)網(wǎng)絡技術處(DNT，代號 S323)，負責研發(fā)復雜的計算機軟件工具，為TAO操作人員執(zhí)行網(wǎng)絡攻擊任務提供支撐。

　　4、電信網(wǎng)絡技術處(TNT，代號 S324)，負責研究電信相關技術，為TAO操作人員隱蔽滲透電信網(wǎng)絡提供支撐。

　　5、任務基礎設施技術處(MIT，代號 S325)，負責開發(fā)與建立網(wǎng)絡基礎設施和安全監(jiān)控平臺，用于構建攻擊行動網(wǎng)絡環(huán)境與匿名網(wǎng)絡。

　　6、接入行動處(AO，代號 S326)，負責通過供應鏈，對擬送達目標的產(chǎn)品進行后門安裝。

　　7、需求與定位處(R&T，代號 S327)；接收各相關單位的任務，確定偵察目標，分析評估情報價值。

　　8、接入技術行動處(ATO，編號 S328)，負責研發(fā)接觸式竊密裝置，并與美國中央情報局和聯(lián)邦調(diào)查局人員合作，通過人力接觸方式將竊密軟件或裝置安裝在目標的計算機和電信系統(tǒng)中。

　　9、S32P：項目計劃整合處(PPI，代號 S32P)，負責總體規(guī)劃與項目管理。

　　10、NWT：網(wǎng)絡戰(zhàn)小組(NWT)，負責與133個網(wǎng)絡作戰(zhàn)小隊聯(lián)絡。

　　美國國家安全局NSA針對西北工業(yè)大學的攻擊竊密行動負責人是羅伯特·喬伊斯(Robert Edward Joyce)。此人于1967年9月13日出生，1989年進入美國國家安全局工作。曾經(jīng)擔任過“特定入侵行動辦公室TAO”副主任、主任，現(xiàn)擔任美國國家安全局NSA網(wǎng)絡安全主管。

　　360公司網(wǎng)絡安全專家 邊亮：目前據(jù)我們了解是(TAO)代表了全球網(wǎng)絡攻擊的最高水平，他們所掌握的大量的攻擊武器，相當于有了互聯(lián)網(wǎng)當中的萬能鑰匙一樣，它可以任意地去進出它想要的目標設備，從而去進行比如情報的竊取，或者說進行破壞等動作。

　　你的信息也可能被泄露！專家呼吁提高網(wǎng)絡安全防范

　　調(diào)查報告顯示，一直以來，美國國家安全局(NSA)針對我國各行業(yè)龍頭企業(yè)、政府、大學、醫(yī)療機構、科研機構甚至關乎國計民生的重要信息基礎設施運維單位等機構長期進行秘密黑客攻擊活動。其行為或?qū)ξ覈膰腊踩㈥P鍵基礎設施安全、金融安全、社會安全、生產(chǎn)安全以及公民個人信息造成嚴重危害，值得我們深思與警惕。

　　此次西北工業(yè)大學聯(lián)合中國國家計算機病毒應急處理中心與360公司，全面還原了數(shù)年間美國國家安全局(NSA)利用網(wǎng)絡武器發(fā)起的一系列攻擊行為，打破了一直以來美國對我國的單向透明優(yōu)勢。面對國家級背景的強大對手，首先要知道風險在哪，是什么樣的風險，什么時候的風險。

　　360公司創(chuàng)始人 周鴻祎：只要能迅速發(fā)現(xiàn)，能看見這種威脅，感知到這種攻擊。那么就能夠定位溯源，就知道它從哪進來的，知道他們用什么漏洞進來的，然后就能把它給處置掉，把它清理掉，同時把該修補的漏洞都修補上。

　　調(diào)查報告認為，西北工業(yè)大學此次公開發(fā)布遭受境外網(wǎng)絡攻擊的聲明，本著實事求是、絕不姑息的決心，堅決一查到底，積極采取防御措施的行動值得遍布全球的美國國家安全局(NSA)網(wǎng)絡攻擊活動受害者學習，這將成為世界各國有效防范抵御美國國家安全局(NSA)后續(xù)網(wǎng)絡攻擊行為的有力借鑒。

　　(總臺央視記者 白央 陳雷 張崗 董良言 吳成軒 陳慶濱 劉功河 白龍飛)