央视网消息:9月27日,国家计算机病毒应急处理中心发布重磅报告《西北工业大学遭美国NSA网络攻击事件调查报告(之二)》,详细揭露了美国国家安全局(NSA)下属的“特定入侵行动办公室”(TAO)针对我国西北工业大学的上万次网络攻击行动。
一、TAO攻击流程揭秘:半自动化渗透,长期窃密
TAO对西北工业大学的网络攻击,采取了半自动化攻击流程,具体包括单点突破、级联渗透、隐蔽驻留、搜集身份验证数据、构建通道、控制重要业务系统等多个步骤。
1. 单点突破、级联渗透,控制西北工业大学网络**:TAO利用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,逐步控制关键服务器和核心网络设备,最终实现对西北工业大学内部网络的隐蔽控制。
2. 隐蔽驻留、“合法”监控,窃取核心运维数据**:TAO使用“精准外科医生”和远程控制木马NOPEN,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,并窃取网络设备配置文件等核心运维数据。
3. 搜集身份验证数据、构建通道,渗透基础设施**:TAO通过窃取西北工业大学运维和技术人员的账号口令、操作记录等关键数据,构建了对中国基础设施运营商核心数据网络的远程访问通道,实现对基础设施的渗透控制。
4. 控制重要业务系统,实施用户数据窃取**:TAO利用掌握的基础设施运营商的设备账号口令,进入运营商网络,控制相关服务质量监控系统和短信网关服务器,窃取敏感身份人员用户信息。
二、窃取敏感信息:西工大核心数据遭窃,中国运营商受影响
TAO在攻击过程中,窃取了西北工业大学远程业务管理账号口令、操作记录等关键敏感数据,并渗透控制了中国某基础设施运营商的核心设备,窃取用户隐私数据。
1. 窃取西工大核心网络设备账号口令及配置信息**:TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”,长期隐蔽嗅探窃取西工大运维管理人员远程维护管理信息,包括网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。
2. 窃取西北工业大学网络设备运维配置文件和日志文件**:TAO长期攻击入侵西北工业大学网络运维管理服务器,秘密窃取网络设备运维配置文件和日志文件。
3. 渗透控制中国基础设施核心设备**:TAO利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。
三、TAO攻击暴露身份:时间规律、语言习惯、武器操作失误
在攻击过程中,TAO暴露出多项技术漏洞和操作失误,进一步证明了对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。
1. 攻击时间完全吻合美国工作作息时间规律**:TAO对西北工业大学的网络攻击行动,98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。
2. 语言行为习惯与美国密切关联**:攻击者有使用美式英语的习惯,与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序。
3. 武器操作失误暴露工作路径**:TAO在攻击过程中出现人为失误,暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统。
4. 大量武器与遭曝光的NSA武器基因高度同源**:此次被捕获的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TAO武器完全一致。
5. 部分网络攻击行为发生在“影子经纪人”曝光之前**:在对中国目标实施的上万次网络攻击中,部分攻击过程中使用的武器攻击,在“影子经纪人”曝光NSA武器装备前便完成了木马植入。
四、TAO网络攻击西北工业大学武器平台IP列表及跳板IP列表
研究团队经过持续攻坚,成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端,发现了攻击实施者的身份线索,并成功查明了13名攻击者的真实身份。
此次报告的发布,有助于全球各国有效发现和防范TAO的后续网络攻击行为,共同抵御和防范美国国家安全局NSA的网络渗透攻击。
慕安云网宣部
2023.12.19
