網(wǎng)攻西北工大的真兇:美國國安局

袁宏

西北工業(yè)大學(xué)6月曾發(fā)表聲明，稱有來自境外的黑客組織和不法分子向?qū)W校師生發(fā)送包含木馬程序的釣魚郵件，企圖竊取相關(guān)師生郵件數(shù)據(jù)和公民個人信息。9月5日，《環(huán)球時報》從相關(guān)部門獲悉，“西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊”的“真兇”是美國國家安全局（NSA）特定入侵行動辦公室（TAO）。在各部門的通力協(xié)作下，此次偵破行動全面還原了數(shù)年間NSA利用網(wǎng)絡(luò)武器發(fā)起的一系列攻擊行為，打破了一直以來美國對我國的“單向透明”優(yōu)勢。

對于TAO針對中國的網(wǎng)絡(luò)目標實施的一系列惡意攻擊一，中國外交部發(fā)言人毛寧5日表示，美方行徑嚴重危害中國國家安全和公民個人信息安全。中方對此強烈譴責(zé)，要求美方作出解釋并立即停止不法行為。

真兇曝光：美國特定入侵行動辦公室

6月22日，西北工業(yè)大學(xué)發(fā)表聲明，稱有來自境外的黑客組織和不法分子向?qū)W校師生發(fā)送包含木馬程序的釣魚郵件，企圖竊取相關(guān)師生郵件數(shù)據(jù)和公民個人信息，給學(xué)校正常工作和生活秩序造成重大風(fēng)險隱患。6月23日，西安市公安局碑林分局發(fā)布警情通報，稱已立案偵查，并對提取到的木馬和釣魚郵件樣本進一步開展技術(shù)分析。初步判定，此事件為境外黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊行為。

針對“西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊”，中國國家計算枕有毒應(yīng)急處理中心和360公司聯(lián)合組成技術(shù)團隊（以下簡稱“技術(shù)團隊”）,對此案進行全面技術(shù)分析工作。技術(shù)團隊先后從西北工業(yè)大學(xué)的多個信息系統(tǒng)和上網(wǎng)終端中提取到了多款木馬樣本，綜合使用國內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段，并得到了歐洲、南亞部分國家合作伙伴的通力支持。技術(shù)團隊初步判明對西北工業(yè)大學(xué)實施網(wǎng)絡(luò)攻擊行動的是NSA信息情報部（代號S)數(shù)據(jù)偵查局（代號S3)下屬TAO（代號S32)。

TAO成立于1998年，是目前美國政府專門從事對他國實施大規(guī)模網(wǎng)絡(luò)攻擊竊密活動的戰(zhàn)術(shù)實施單位，由2000多名軍人和文職人員組成，下設(shè)10個處室?！董h(huán)球時報》記者了解到，此案在NSA內(nèi)部的攻擊行動代號為“阻擊XXXX”。直接參與指揮和行動的主要包括TAO負責(zé)人、遠程操作中心以及任務(wù)基礎(chǔ)設(shè)施技術(shù)處。除此之外，還有4個處室參與了此次行動。當時TAO負責(zé)人是羅伯特?喬伊斯。此人1967年9月13日出生，1993年畢業(yè)于約翰?霍普金斯大學(xué)，獲碩士學(xué)位，1989年進入NSA工作，2013年至2017年擔(dān)任TAO主任，現(xiàn)擔(dān)任NSA網(wǎng)絡(luò)安全局主管。

使用41種專屬網(wǎng)絡(luò)攻擊武器

本次調(diào)查發(fā)現(xiàn),近年來，TAO對中國國內(nèi)的網(wǎng)絡(luò)目標實施了上萬次的惡意網(wǎng)絡(luò)攻擊，控制了數(shù)以萬計的網(wǎng)絡(luò)設(shè)備，竊取了超過140GB的高價值數(shù)據(jù)。技術(shù)分析中還發(fā)現(xiàn)，TAO已于此次攻擊活動開始前，在美國多家大型知名互聯(lián)網(wǎng)企業(yè)的配合下，掌握了中國大量通信網(wǎng)絡(luò)設(shè)備的管理權(quán)限，為NSA持續(xù)侵入中國國內(nèi)的重要信息網(wǎng)絡(luò)打開方便之門。

經(jīng)溯源分析，技術(shù)團隊現(xiàn)已全部還原此次攻擊竊密過程：在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中，TAO使用了41種NSA專屬網(wǎng)絡(luò)攻擊武器，持續(xù)對西北工業(yè)大學(xué)開展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。技術(shù)團隊累計發(fā)現(xiàn)NSA在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路1100余條、操作的指令序列90余個，掌握并固定了多條相關(guān)證據(jù)鏈，涉及在美國國內(nèi)對中國直接發(fā)起網(wǎng)絡(luò)攻擊的人員13名，以及NSA通過掩護公司為構(gòu)建網(wǎng)絡(luò)攻擊環(huán)境而與美國電信運營商簽訂的合同60余份,電子文件170余份。

鎖定四個IP地址

為掩護其攻擊行動，TAO在開始行動前進行了較長時間的準備工作，主要蛙行匿名化攻擊基礎(chǔ)設(shè)施的建設(shè)。TAO利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”，選擇了中國周邊國家的教育機構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標；攻擊成功后，安裝NOPEN木馬程序，控制了大批跳板機。據(jù)介紹，TAO在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動中先后使用了54臺跳板機和代理服務(wù)器，主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家，其中70%位于中國周邊，如日本、韓國等。

這些跳板機的功能僅限于指令中轉(zhuǎn)，即將上一級的跳板指令轉(zhuǎn)發(fā)到目標系統(tǒng)，從而掩蓋美國國家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實IP。目前，技術(shù)團隊已經(jīng)至少掌握TAO從其接入環(huán)境（美國國內(nèi)電信運營商）控制跳板機的4個IP地址。同時，為了進一步掩蓋跳板機和代理服務(wù)器與NSA之間的關(guān)聯(lián)關(guān)系，NSA使用了美國Register公司的匿名保護服務(wù)，對相關(guān)域名、證書以及注冊人等可溯源信息進行匿名化處理，令受攻擊者無法通過公開渠道進行查詢。

技術(shù)團隊通過威脅情報數(shù)據(jù)關(guān)聯(lián)分析，發(fā)現(xiàn)針對西北工業(yè)大學(xué)的攻擊平臺所使用的網(wǎng)絡(luò)資源共涉及5臺代理服務(wù)器，NSA通過秘密成立的兩家掩護公司向美國泰瑞馬克(Terremark)公司購買了埃及、荷蘭和哥倫比亞等地的IP地址，并租用一批服務(wù)器。這兩家公司分別為杰克?史密斯咨詢公司(Jackson Smith Consultants)和穆勒多元系統(tǒng)公司(Mueller Diversified Systems)同時，技術(shù)團隊還發(fā)現(xiàn)，TAO基礎(chǔ)設(shè)施技術(shù)處(MIT)工作人員使用“阿曼達?拉米雷斯(Amanda Ramirea)”的名字匿名購買域名和一份通用的SSL證書。隨后，上述域名和證書被部署在位于美國本土的中間人攻擊平臺“酸狐貍”（Foxacid)上，對中國的大量網(wǎng)絡(luò)目標開展攻擊，特別是對西北工業(yè)大學(xué)等中國信息網(wǎng)絡(luò)目標展開了多輪持續(xù)性的攻擊、竊密行動。

打破美國“單向透明”優(yōu)勢

根據(jù)介紹,，一直以來，NSA針對我國各行業(yè)龍頭企業(yè)、政府、大學(xué)、醫(yī)療機構(gòu)、科研機構(gòu)甚至關(guān)乎國計民生的重要信息基礎(chǔ)設(shè)施運維單位等機構(gòu)，長期進行秘密黑客攻擊活動。其行為或?qū)ξ覈膰腊踩?、關(guān)鍵基礎(chǔ)設(shè)施安全、金融安全、社會安全、生產(chǎn)安全以及公民個人信息造成嚴重危害。

此次西北工業(yè)大學(xué)聯(lián)合中國國家計算機病毒應(yīng)急處理中心與360公司，全面還原了數(shù)年間NSA利用網(wǎng)絡(luò)武器發(fā)起的一系列攻擊行為，打破了一直以來美國對我國的“單向透明”優(yōu)勢。面對國家級背景的強大對手，首先要知道風(fēng)險在哪，是什么樣的風(fēng)險，什么時候的風(fēng)險，從此次美國NSA攻擊事件也可證明，看不見就要挨打,這是一次三方集中精力聯(lián)手攻克“看見”難題的成功實踐，幫助國家真正感知風(fēng)險、看見威脅、抵御攻擊，將境外黑客攻擊暴露在陽光下。

西北工業(yè)大學(xué)聯(lián)合相關(guān)部門積極采取防御措施的行動將成為世界各國有效防范抵御NSA網(wǎng)絡(luò)攻擊行為的有力借鑒，《環(huán)球時報》也將持續(xù)關(guān)注此事的進展情況?！?/p>