基本介紹
- 中文名:關於西北工業大學發現美國NSA網路攻擊調查報告
- 發布單位:360公司
- 發布時間:2022年9月5日
事件歷程,報告全文,報告一,報告二,
事件歷程
2022年6月22日,西北工業大學發布《公開聲明》稱,該校遭受境外網路攻擊。陝西省西安市公安局碑林分局隨即發布《警情通報》,證實在西北工業大學的信息網路中發現了多款源於境外的木馬程式樣本,西安警方已對此正式立案調查。
中國國家計算機病毒應急處理中心和360公司第一時間成立技術團隊開展調查工作,全程參與此案技術分析。技術團隊先後從多個信息系統和上網終端中捕獲到了木馬程式樣本,綜合使用國內現有數據資源和分析手段,並得到歐洲、南亞部分國家合作夥伴的通力支持,全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關攻擊活動源自美國國家安全局(NSA)的“特定入侵行動辦公室”(Office of Tailored Access Operation,後文簡稱TAO)。
該系列研究報告將公布美國國家安全局(NSA)“信號特定入侵行動辦公室”(TAO)對西北工業大學發起的上千次網路攻擊活動中,某些特定攻擊活動的重要細節,為全球各國有效防範和發現TAO的後續網路攻擊行為提供可以借鑑的案例。
2022年9月5日,關於西北工業大學發現美國NSA網路攻擊調查報告(之一)發布。
2022年9月,《環球時報》記者從有關部門獨家獲悉,美國國家安全局(NSA)“特定入侵行動辦公室”(TAO)在對西北工業大學發起網路攻擊的過程中構建了對中國電信運營商核心數據網路遠程訪問的“合法”通道,對我電信基礎設施滲透控制。技術人員根據TAO攻擊方式、滲透工具、木馬樣本等特徵深入分析,發現TAO非法攻擊滲透中國境內某電信運營商,構建了對核心數據網路遠程訪問的“合法”通道,對我電信基礎設施滲透控制。
2023年9月,國家計算機病毒應急處理中心和360公司對一款名為“二次約會”的間諜軟體進行了技術分析,分析報告顯示,該軟體是美國國家安全局(NSA)開發的網路間諜武器。據了解,在國家計算機病毒應急處理中心會同360公司配合偵辦西北工業大學被美國國家安全局(NSA)網路攻擊案過程中,成功提取了這款間諜軟體的多個樣本,並鎖定了這起網路間諜行動背後美國國家安全局(NSA)工作人員的真實身份。在多國業內夥伴的通力配合下,國家計算機病毒應急處理中心的聯合調查工作取得了突破性進展。已經成功鎖定了針對西北工業大學發動網路攻擊的美國國家安全局(NSA)相關工作人員的真實身份。
報告全文
報告一
一、攻擊事件概貌
分析發現,美國NSA的“特定入侵行動辦公室”(TAO)對中國國內的網路目標實施了上萬次的惡意網路攻擊,控制了相關網路設備(網路伺服器、上網終端、網路交換機、電話交換機、路由器、防火牆等),疑似竊取了高價值數據。與此同時,美國NSA還利用其控制的網路攻擊武器平台、“零日漏洞”(0day)和網路設備,長期對中國的手機用戶進行無差別的語音監聽,非法竊取手機用戶的簡訊內容,並對其進行無線定位。經過複雜的技術分析與溯源,技術團隊現已澄清NSA攻擊活動中使用的網路資源、專用武器裝備及具體手法,還原了攻擊過程和被竊取的檔案,掌握了美國NSA“特定入侵行動辦公室”(TAO)對中國信息網路實施網路攻擊和數據竊密的證據鏈。
二、攻擊組織基本情況
經技術分析和網上溯源調查發現,此次網路攻擊行動是美國國家安全局(NSA)信息情報部(代號S)數據偵察局(代號S3)下屬TAO(代號S32)部門。該部門成立於1998年,其力量部署主要依託美國國家安全局(NSA)在美國和歐洲的各密碼中心。
目前已被公布的六個密碼中心分別是:
1、國安局馬里蘭州的米德堡總部;
2、瓦湖島的國安局夏威夷密碼中心(NSAH);
3、戈登堡的國安局喬治亞密碼中心(NSAG);
4、聖安東尼奧的國安局德克薩斯密碼中心(NSAT);
5、丹佛馬克利空軍基地的國安局科羅拉羅密碼中心(NSAC);
6、德國達姆施塔特美軍基地的國安局歐洲密碼中心(NSAE)。
TAO是目前美國政府專門從事對他國實施大規模網路攻擊竊密活動的戰術實施單位,由2000多名軍人和文職人員組成,下設10個單位:
第一處:遠程操作中心(ROC,代號S321)
主要負責操作武器平台和工具進入並控制目標系統或網路。
第二處:先進/接入網路技術處(ANT,代號S322)
負責研究相關硬體技術,為TAO網路攻擊行動提供硬體相關技術和武器裝備支持。
第三處:數據網路技術處(DNT,代號S323)
負責研發複雜的計算機軟體工具,為TAO操作人員執行網路攻擊任務提供支撐。
第四處:電信網路技術處(TNT,代號S324)
負責研究電信相關技術,為TAO操作人員隱蔽滲透電信網路提供支撐。
第五處:任務基礎設施技術處(MIT,代號S325)
負責開發與建立網路基礎設施和安全監控平台,用於構建攻擊行動網路環境與匿名網路。
第六處:接入行動處(AO,代號S326)
負責通過供應鏈,對擬送達目標的產品進行後門安裝。
第七處:需求與定位處(R&T,代號S327)
接收各相關單位的任務,確定偵察目標,分析評估情報價值。
第八處:接入技術行動處(ATO,編號S328)
負責研發接觸式竊密裝置,並與美國中央情報局和聯邦調查局人員合作,通過人力接觸方式將竊密軟體或裝置安裝在目標的計算機和電信系統中。
S32P:項目計畫整合處(PPI,代號S32P)
負責總體規劃與項目管理。
NWT:網路戰小組(NWT)
負責與133個網路作戰小隊聯絡。
圖一 TAO組織架構及參與“阻擊XXXX”行動的TAO子部門
此案在美國國家安全局(NSA)內部攻擊行動代號為“阻擊XXXX”(shotXXXX)。該行動由TAO負責人直接指揮,由MIT(S325)負責構建偵察環境、租用攻擊資源;由R&T(S327)負責確定攻擊行動戰略和情報評估;由ANT(S322)、DNT(S323)、TNT(S324)負責提供技術支撐;由ROC(S321)負責組織開展攻擊偵察行動。由此可見,直接參與指揮與行動的,主要包括TAO負責人,S321和S325單位。
NSA竊密期間的TAO負責人是羅伯特·喬伊斯(Robert Edward Joyce)。此人1967年9月13日出生,曾就讀於漢尼拔高中,1989年畢業於克拉克森大學,獲學士學位,1993年畢業於約翰·霍普金斯大學,獲碩士學位。1989年進入美國國家安全局工作。曾經擔任過TAO副主任,2013年至2017年擔任TAO主任。2017年10月開始擔任代理美國國土安全顧問。2018年4月至5月,擔任美國白宮國務安全顧問,後回到NSA擔任美國國家安全局局長網路安全戰略高級顧問,現擔任NSA網路安全局主管。
圖二 羅伯特•喬伊斯(Robert E. Joyce)原TA
三、TAO網路攻擊實際情況
美國國家安全局TAO部門的S325單位,通過層層掩護,構建了由49台跳板機和5台代理伺服器組成的匿名網路,購買專用網路資源,架設攻擊平台。S321單位運用40餘種不同的NSA專屬網路攻擊武器,持續對我國開展攻擊竊密,竊取了關鍵網路設備配置、網管數據、運維數據等核心技術數據,竊密活動持續時間長,覆蓋範圍廣。技術分析中還發現,TAO已於此次攻擊活動開始前,在美國多家大型知名網際網路企業的配合下,掌握了中國大量通信網路設備的管理許可權,為NSA持續侵入中國國內的重要信息網路大開方便之門。
經溯源分析,技術團隊現已全部還原了NSA的攻擊竊密過程,澄清其在西北工業大學內部滲透的攻擊鏈路1100餘條、操作的指令序列90餘個,多份遭竊取的網路設備配置檔案,嗅探的網路通信數據及口令、其它類型的日誌和密鑰檔案,基本還原了每一次攻擊的主要細節。掌握並固定了多條相關證據鏈,涉及在美國國內對中國直接發起網路攻擊的人員13名,以及NSA通過掩護公司為構建網路攻擊環境而與美國電信運營商簽訂的契約60餘份,電子檔案170餘份。
四、NSA攻擊網路的構建
經技術團隊溯源分析發現,美國國家安全局TAO部門對西北工業大學的網路攻擊行動先後使用了49台跳板機,這些跳板機均經過精心挑選,所有IP均歸屬於非“五眼聯盟”國家,而且大部分選擇了中國周邊國家(如日本、韓國等)的IP,約占70%。
TAO利用其掌握的針對SunOS作業系統的兩個“零日漏洞”利用工具(已提取樣本),工具名稱分別為EXTREMEPARR(NSA命名)和EBBISLAND(NSA命名),選擇了中國周邊國家的教育機構、商業公司等網路套用流量較多的伺服器為攻擊目標;攻擊成功後,安裝NOPEN(NSA命名,已提取樣本)後門,控制了大批跳板機。
圖三 美國國家安全局(NSA)對西北工業大學實施網路攻擊
根據溯源分析,本次竊密行動共選用了其中的49台跳板機,這些跳板機僅使用了中轉指令,將上一級的跳板指令轉發到目標系統,從而掩蓋美國國家安全局發起網路攻擊的真實IP。
目前已經至少掌握TAO攻擊實施者從其接入環境(美國國內電信運營商)控制跳板機的四個IP:
209.59.36.*
69.165.54.*
207.195.240.*
209.118.143.*
TAO基礎設施技術處(MIT)人員通過將匿名購買的域名和SSL證書部署在位於美國本土的中間人攻擊平台“酸狐狸”(FOXACID,NSA命名)上,對中國境內的大量網路目標開展攻擊。特別值得關注的是,NSA利用上述域名和證書部署的平台,對西北工業大學等中國信息網路展開了多輪持續性的攻擊、竊密行動。
美國國家安全局NSA為了保護其身份安全,使用了美國Register公司的匿名保護服務,相關域名和證書無明確指向,無關聯人員。
TAO為了掩蓋其攻擊來源,並保護工具的安全,對需要長期駐留網際網路的攻擊平台,通過掩護公司向服務商購買服務。
針對西北工業大學攻擊平台所使用的網路資源共涉及5台代理伺服器,NSA通過兩家掩護公司向美國泰瑞馬克(Terremark)公司購買了埃及、荷蘭和哥倫比亞等地的IP,並租用一批伺服器。
這兩家公司分別為傑克·史密斯諮詢公司(Jackson Smith Consultants)、穆勒多元系統公司(Mueller Diversified Systems)。
五、TAO的武器裝備分析
技術分析發現,TAO先後使用了41種NSA的專用網路攻擊武器裝備,通過分布於日本、韓國、瑞典、波蘭、烏克蘭等17個國家的49台跳板機和5台代理伺服器,對西北工業大學發起了攻擊竊密行動上千次,竊取了一批網路數據。
美國國家安全局TAO的網路攻擊武器裝備針對性強,得到了美國網際網路巨頭的鼎力支持。同一款裝備會根據目標環境進行靈活配置,在這中使用的41款裝備中,僅後門工具“狡詐異端犯”(NSA命名)在對西北工業大學的網路攻擊中就有14款不同版本。NSA所使用工具類別主要分為四大類,分別是:
(一)漏洞攻擊突破類武器
TAO依託此類武器對西北工業大學的邊界網路設備、網關伺服器、辦公區域網路主機等實施攻擊突破,同時也用來攻擊控制境外跳板機以構建匿名網路。此類武器共有3種:
1.“剃鬚刀”
此武器可針對開放了指定RPC服務的X86和SPARC架構的Solaris系統實施遠程溢出攻擊,攻擊時可自動探知目標系統服務開放情況並智慧型化選擇合適版本的漏洞利用代碼,直接獲取對目標主機的完整控制權。
此武器用於對日本、韓國等國家跳板機的攻擊,所控制跳板機被用於對西北工業大學的網路攻擊。
2.“孤島”
此武器同樣可針對開放了制定RPC服務的Solaris系統實施遠程溢出攻擊,直接獲取對目標主機的完整控制權。
與“剃鬚刀”工具不同之處在於此工具不具備自主探測目標服務開放情況的能力,需由使用者手動選擇欲打擊的目標服務。
NSA使用此武器攻擊控制了西北工業大學的邊界伺服器。
3.“酸狐狸”武器平台
此武器平台部署在哥倫比亞,可結合“二次約會”中間人攻擊武器使用,可智慧型化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平台上的主流瀏覽器開展遠程溢出攻擊,獲取目標系統的控制權。
TAO主要使用該武器平台對西北工業大學辦公區域網路主機開展突破攻擊。
(二)持久化控制類武器
TAO依託此類武器對西北工業大學網路進行隱蔽持久控制,TAO工作人員可通過加密通道傳送控制指令操作此類武器實施對西北工業大學網路的滲透、控制、竊密等行為。此類武器共有5種:
1.“二次約會”
此武器長期駐留在網關伺服器、邊界路由器等網路邊界設備及伺服器上,可針對海量數據流量進行精準過濾與自動化劫持,實現中間人攻擊功能。
TAO在西北工業大學邊界設備上安置該武器,劫持流經該設備的流量引導至“酸狐狸”平台實施漏洞攻擊。
2.“NOPEN”木馬
此武器是一種支持多種作業系統和不同體系架構的控守型木馬,可通過加密隧道接收指令執行檔案管理、進程管理、系統命令執行等多種操作,並且本身具備許可權提升和持久化能力。
TAO主要使用該武器對西北工業大學網路內部的核心業務伺服器和關鍵網路設備實施持久化控制。
3.“怒火噴射”
此武器是一款基於Windows系統的支持多種作業系統和不同體系架構的控守型木馬,可根據目標系統環境定製化生成不同類型的木馬服務端,服務端本身具備極強的抗分析、反調試能力。
TAO主要使用該武器配合“酸狐狸”平台對西北工業大學辦公網內部的個人主機實施持久化控制。
4.“狡詐異端犯”
此武器是一款輕量級的後門植入工具,運行後即自刪除,具備提權功能,持久駐留於目標設備上並可隨系統啟動。
TAO主要使用該武器實現持久駐留,以便在合適時機建立加密管道上傳NOPEN木馬,保障對西北工業大學信息網路的長期控制。
5.“堅忍外科醫生”
此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種類型作業系統的後門,該武器可持久化運行於目標設備上,根據指令對目標設備上的指定檔案、目錄、進程等進行隱藏。
TAO主要使用該武器隱藏NOPEN木馬的檔案和進程,避免其被監控發現。
TAO在對西北工業大學的網路攻擊中共使用該武器的12個不同版本。
(三)嗅探竊密類武器
TAO依託此類武器嗅探西北工業大學工作人員運維網路時使用的賬號口令、生成的操作記錄,竊取西北工業大學網路內部的敏感信息和運維數據等。此類武器共有兩種:
1.“飲茶”
此武器可長期駐留在32位或64位的Solaris系統中,通過嗅探進程間通信的方式獲取ssh、telnet、rlogin等多種遠程登錄方式下暴露的賬號口令。
TAO主要使用該武器嗅探西北工業大學業務人員實施運維工作時產生的賬號口令、操作記錄、日誌檔案等,壓縮加密存儲後供NOPEN木馬下載。
2.“敵後行動”系列武器
此系列武器是專門針對運營商特定業務系統使用的工具,根據被控業務設備的不同類型,“敵後行動”會與不同的解析工具配合使用。
在對西北工業大學運維管道的攻擊中共使用了“魔法學校”、“小丑食物”和“詛咒之火”等3類針對運營商的攻擊竊密工具。
(四)隱蔽消痕類武器
TAO依託此類武器消除其在西北工業大學網路內部的行為痕跡,隱藏、掩飾其惡意操作和竊密行為,同時為上述三類武器提供保護。
現已發現的此類武器共有1種:
1.“吐司麵包”
此武器可用於查看、修改utmp、wtmp、lastlog等日誌檔案以清除操作痕跡。
TAO主要使用該武器清除、替換被控西北工業大學上網設備上的各類日誌檔案,隱藏其惡意行為。
TAO對西北工業大學的網路攻擊中共使用了3款不同版本的“吐司麵包”。
小結:
一直以來,美國國家安全局(NSA)針對我國各行業龍頭企業、政府、大學、醫療機構、科研機構甚至關乎國計民生的重要信息基礎設施運維單位等機構長期進行秘密黑客攻擊活動。其行為或對我國的國防安全、關鍵基礎設施安全、金融安全、社會安全、生產安全以及公民個人信息造成嚴重危害,值得我們深思與警惕。
此次西北工業大學聯合中國國家計算機病毒應急處理中心與360公司,全面還原了數年間美國NSA利用網路武器發起的一系列攻擊行為,打破了一直以來美國對我國的單向透明優勢。面對國家級背景的強大對手,首先要知道風險在哪,是什麼樣的風險,什麼時候的風險,從此次美國NSA攻擊事件也可證明,看不見就要挨打。這是一次三方集中精力聯手攻克“看見”難題的成功實踐,幫助國家真正感知風險、看見威脅、抵禦攻擊,一舉將境外黑客攻擊暴露在陽光下。
西北工業大學公開發布遭受境外網路攻擊的聲明,體現了其對國家負責、對學校負責、對社會負責的精神,本著實事求是、絕不姑息的決心,堅決一查到底。其積極採取防禦措施的行動更是值得遍布全球的NSA網路攻擊活動受害者學習,這將成為世界各國有效防範抵禦美國NSA後續網路攻擊行為的有力借鑑。
報告二
技術團隊先後從西北工業大學的多個信息系統和上網終端中提取到了木馬程式樣本,綜合使用國內現有數據資源和分析手段,並得到歐洲、東南亞部分國家合作夥伴的通力支持,全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關攻擊活動源自於美國國家安全局(NSA)的“特定入侵行動辦公室”(即:Office of Tailored Access Operation,後文簡稱“TAO”)。
本系列研究報告將公布TAO對西北工業大學發起的上千次網路攻擊活動中,某些特定攻擊活動的重要細節,為全球各國有效發現和防範TAO的後續網路攻擊行為提供可以借鑑的案例。
一、TAO攻擊滲透西北工業大學的流程
TAO對他國發起的網路攻擊技戰術針對性強,採取半自動化攻擊流程,單點突破、逐步滲透、長期竊密。
(一)單點突破、級聯滲透,控制西北工業大學網路
經過長期的精心準備,TAO使用“酸狐狸”平台對西北工業大學內部主機和伺服器實施中間人劫持攻擊,部署“怒火噴射”遠程控制武器,控制多台關鍵伺服器。利用木馬級聯控制滲透的方式,向西北工業大學內部網路深度滲透,先後控制運維網、辦公網的核心網路設備、伺服器及終端,並獲取了部分西北工業大學內部路由器、交換機等重要網路節點設備的控制權,竊取身份驗證數據,並進一步實施滲透拓展,最終達成了對西北工業大學內部網路的隱蔽控制。
(二)隱蔽駐留、“合法”監控,竊取核心運維數據
TAO將作戰行動掩護武器“精準外科醫生”與遠程控制木馬NOPEN配合使用,實現進程、檔案和操作行為的全面“隱身”,長期隱蔽控制西北工業大學的運維管理伺服器,同時採取替換3個原系統檔案和3類系統日誌的方式,消痕隱身,規避溯源。TAO先後從該伺服器中竊取了多份網路設備配置檔案。利用竊取到的配置檔案,TAO遠程“合法”監控了一批網路設備和網際網路用戶,為後續對這些目標實施拓展滲透提供數據支持。
(三)蒐集身份驗證數據、構建通道,滲透基礎設施
TAO通過竊取西北工業大學運維和技術人員遠程業務管理的賬號口令、操作記錄以及系統日誌等關鍵敏感數據,掌握了一批網路邊界設備賬號口令、業務設備訪問許可權、路由器等設備配置信息、FTP伺服器文檔資料信息。根據TAO攻擊鏈路、滲透方式、木馬樣本等特徵,關聯發現TAO非法攻擊滲透中國境內的基礎設施運營商,構建了對基礎設施運營商核心數據網路遠程訪問的“合法”通道,實現了對中國基礎設施的滲透控制。
(四)控制重要業務系統,實施用戶數據竊取
TAO通過掌握的中國基礎設施運營商的思科PIX防火牆、天融信防火牆等設備的賬號口令,以“合法”身份進入運營商網路,隨後實施區域網路滲透拓展,分別控制相關運營商的服務質量監控系統和簡訊網關伺服器,利用“魔法學校”等專門針對運營商設備的武器工具,查詢了一批中國境內敏感身份人員,並將用戶信息打包加密後經多級跳板回傳至美國國家安全局總部。
二、竊取西北工業大學和中國運營商敏感信息
(一)竊取西北工業大學遠程業務管理賬號口令、操作記錄等關鍵敏感數據
TAO通過在西北工業大學運維管理伺服器安裝嗅探工具“飲茶”,長期隱蔽嗅探竊取西北工業大學運維管理人員遠程維護管理信息,包含網路邊界設備賬號口令、業務設備訪問許可權、路由器等設備配置信息等。
遭到嗅探的網路設備類型包括固定網際網路的接入網設備(路由器、認證伺服器等)、核心網設備(核心路由器、交換機、防火牆等),也包括通信基礎設施運營企業的重要設備(數據服務平台等),內容包括賬號、口令、設備配置、網路配置等信息。
1、竊取西工大核心網路設備賬號口令及配置信息
台北時間20××年12月11日6時52分,TAO以位於日本京都大學的代理伺服器(IP:130.54.××.××)為攻擊跳板,非法入侵了西北工業大學運維網路的“telnet”管理伺服器,上傳並安裝NOPEN木馬,然後級聯控制其區域網路監控管理伺服器,上述2台伺服器事先均已被安裝“飲茶”嗅探工具。TAO遠程操控木馬檢索並下載被壓縮加密的監聽記錄檔案,然後清痕退出。竊取數據包括路由器、核心網設備(核心路由器、交換機、防火牆)管理賬號、口令、設備配置、網路配置等信息。
2、多次竊取接入網認證設備賬號口令及配置信息
(1)台北時間20××年5月30日0時28分,TAO以位於日本的代理伺服器(IP:210.135.××.××)為攻擊跳板,非法入侵了西北工業大學運維網路“telnet”管理伺服器,上傳並安裝NOPEN木馬,然後級聯控制其區域網路監控管理伺服器,這2台伺服器事先均已被安裝“飲茶”嗅探工具,TAO遠程操控木馬檢索並下載竊密記錄檔案後清痕退出。竊取數據包括接入網認證設備的賬號、口令及配置信息。
(2)台北時間20××年7月4日1時12分,TAO利用位於德國萊比錫技術經濟和文化學院的代理伺服器(IP:141.57.××.××)作為攻擊跳板,非法入侵西北工業大學運維網路“telnet”管理伺服器,上傳並安裝NOPEN木馬工具,級聯控制其區域網路監控管理伺服器等其他3台伺服器,這4台伺服器事先均已被安裝“飲茶”嗅探工具,TAO遠程操控木馬檢索並下載竊密檔案後清痕退出。
(3)台北時間20××年10月11日10時35分,TAO利用位於韓國首爾國立江原大學的代理伺服器(IP:210.115.××.××)作為攻擊跳板,非法入侵西北工業大學運維網路監控管理伺服器,上傳並安裝NOPEN木馬工具,然後級聯控制其區域網路備份伺服器、認證伺服器等其他4台伺服器,這5台伺服器事先均已被安裝“飲茶”嗅探工具,TAO遠程操控木馬分別檢索並下載竊取記錄檔案後清痕退出。
(4)台北時間20××年10月19日2時46分,TAO以位於韓國大田的高等科學技術研究學院的代理伺服器(IP:143.248.××.××)為攻擊跳板,非法入侵西北工業大學運維網路“telnet”管理伺服器,級聯控制其區域網路監管伺服器等其他2台伺服器,這3台伺服器事先均已被安裝“飲茶”嗅探工具,TAO通過遠程操控木馬檢索並下載竊密檔案,然後清痕退出。
(二)竊取西北工業大學網路設備運維配置檔案和日誌檔案
美國國家安全局“特定入侵行動辦公室”(TAO)長期攻擊入侵西北工業大學網路運維管理伺服器,秘密竊取網路設備運維配置檔案和日誌檔案。
1、竊取西北工業大學網路運行日誌檔案
台北時間20××年3月2日3時41分,TAO通過位於日本的代理伺服器(IP:210.135.××.××)非法入侵控制西北工業大學1台網路運維管理伺服器。3時49分,TAO從該運維管理伺服器橫向移動到另一台運維監控伺服器,以特定字元串為關鍵字檢索日誌檔案並進行竊取了一批系統運行日誌檔案和系統日常自檢報告備份檔案。
2、竊取西北工業大學伺服器定期任務配置腳本
台北時間20××年10月11日10時41分,TAO通過位於韓國的代理伺服器(IP:210.115.××.××)入侵控制了西北工業大學一台區域網路伺服器。10時48分,TAO經過兩次橫向移動,入侵了另一台區域網路伺服器,訪問了特定目錄下的定期任務配置腳本,共檢索到14個用於定期執行任務的配置檔案。隨後,一次性竊取了這14個檔案,這些檔案可用於執行定期清理、備份、檢查電源等操作。
3、竊取西北工業大學公司伺服器系統信息檔案
台北時間20××年6月6日1時27分,TAO通過位於韓國的代理伺服器(IP:222.122.××.××)入侵控制了西北工業大學一台區域網路伺服器。2時4分,TAO經過兩次橫向移動,入侵了另一台區域網路伺服器,訪問了目錄/var/下的系統檔案,竊取了60個常用的系統信息檔案,被竊取的系統信息檔案內容包含系統發行版本、用戶密碼哈希、用戶許可權、本地域名解析配置等。
(三)滲透控制中國基礎設施核心設備
美國國家安全局“特定入侵行動辦公室”(TAO)利用竊取到的網路設備賬號口令,以“合法”身份進入中國某基礎設施運營商服務網路,控制相關服務質量監控系統,竊取用戶隱私數據。
1、竊取中國用戶隱私數據
台北時間20××年3月7日22時53分,美國國家安全局“特定入侵行動辦公室”(TAO)通過位於墨西哥的攻擊代理148.208.××.××,攻擊控制中國某基礎設施運營商的業務伺服器211.136.××.××,通過兩次區域網路橫向移動(10.223.140.××、10.223.14.××)後,攻擊控制了用戶資料庫伺服器,非法查詢多名身份敏感人員的用戶信息。
同日15時02分,TAO將查詢到的用戶數據保存在被攻擊伺服器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目錄下,被打包回傳至攻擊跳板,隨後竊密過程中上傳的滲透工具、用戶數據等攻擊痕跡被專用工具快速清除。
美國國家安全局“特定入侵行動辦公室”(TAO)運用同樣的手法,分別於台北時間20××年1月10日23時22分、1月29日8時41分、3月28日22時00分、6月6日23時58分,攻擊控制另外1家中國基礎設施業務伺服器,非法多批次查詢、導出、竊取多名身份敏感人員的用戶信息。
2、滲透控制全球電信基礎設施
據分析,美國國家安全局“特定入侵行動辦公室”(TAO)以上述手法,利用相同的武器工具組合,“合法”控制了全球不少於80個國家的電信基礎設施網路。技術團隊與歐洲和東南亞國家的合作夥伴通力協作,成功提取並固定了上述武器工具樣本,並成功完成了技術分析,擬適時對外公布,協助全球共同抵禦和防範美國國家安全局NSA的網路滲透攻擊。
三、TAO在攻擊過程中暴露身份的相關情況
美國國家安全局“特定入侵行動辦公室”(TAO)在網路攻擊西北工業大學過程中,暴露出多項技術漏洞,多次出現操作失誤,相關證據進一步證明對西北工業大學實施網路攻擊竊密行動的幕後黑手即為美國國家安全局NSA。茲摘要舉例如下:
(一)攻擊時間完全吻合美國工作作息時間規律
美國國家安全局“特定入侵行動辦公室”(TAO)在使用tipoff激活指令和遠程控制NOPEN木馬時,必須通過手動操作,從這兩類工具的攻擊時間可以分析出網路攻擊者的實際工作時間。
首先,根據對相關網路攻擊行為的大數據分析,對西北工業大學的網路攻擊行動98%集中在台北時間21時至凌晨4時之間,該時段對應著美國東部時間9時至16時,屬於美國國內的工作時間段。其次,美國時間的全部周六、周日中,均未發生對西北工業大學的網路攻擊行動。第三,分析美國特有的節假日,發現美國的“陣亡將士紀念日”放假3天,美國“獨立日”放假1天,在這四天中攻擊方沒有實施任何攻擊竊密行動。第四,長時間對攻擊行為密切跟蹤發現,在歷年聖誕節期間,所有網路攻擊活動都處於靜默狀態。依據上述工作時間和節假日安排進行判斷,針對西北工業大學的攻擊竊密者都是按照美國國內工作日的時間安排進行活動的,肆無忌憚,毫不掩飾。
(二)語言行為習慣與美國密切關聯
技術團隊在對網路攻擊者長時間追蹤和反滲透過程中(略)發現,攻擊者具有以下語言特徵:一是攻擊者有使用美式英語的習慣;二是與攻擊者相關聯的上網設備均安裝英文作業系統及各類英文版應用程式;三是攻擊者使用美式鍵盤進行輸入。
(三)武器操作失誤暴露工作路徑
20××年5月16日5時36分(台北時間),對西北工業大學實施網路攻擊人員利用位於韓國的跳板機(IP:222.122.××.××),並使用NOPEN木馬再次攻擊西北工業大學。在對西北工業大學區域網路實施第三級滲透後試圖入侵控制一台網路設備時,在運行上傳PY腳本工具時出現人為失誤,未修改指定參數。腳本執行後返回出錯信息,信息中暴露出攻擊者上網終端的工作目錄和相應的檔案名稱,從中可知木馬控制端的系統環境為Linux系統,且相應目錄名“/etc/autoutils”系TAO網路攻擊武器工具目錄的專用名稱(autoutils)。
出錯信息如下:
Quantifier follows nothing in regex; marked by -- HERE in m/* - HERE .log/ at ../etc/autoutils line 4569
(四)大量武器與遭曝光的NSA武器基因高度同源
此次被捕獲的、對西北工業大學攻擊竊密中所用的41款不同的網路攻擊武器工具中,有16款工具與“影子經紀人”曝光的TAO武器完全一致;有23款工具雖然與“影子經紀人”曝光的工具不完全相同,但其基因相似度高達97%,屬於同一類武器,只是相關配置不相同;另有2款工具無法與“影子經紀人”曝光工具進行對應,但這2款工具需要與TAO的其它網路攻擊武器工具配合使用,因此這批武器工具明顯具有同源性,都歸屬於TAO。
(五)部分網路攻擊行為發生在“影子經紀人”曝光之前
技術團隊綜合分析發現,在對中國目標實施的上萬次網路攻擊,特別是對西北工業大學發起的上千次網路攻擊中,部分攻擊過程中使用的武器攻擊,在“影子經紀人”曝光NSA武器裝備前便完成了木馬植入。按照NSA的行為習慣,上述武器工具大機率由TAO雇員自己使用。
四、TAO網路攻擊西北工業大學武器平台IP列表
技術分析與溯源調查中,技術團隊發現了一批TAO在網路入侵西北工業大學的行動中託管所用相關武器裝備的伺服器IP位址,舉例如下:
五、TAO網路攻擊西北工業大學所用跳板IP列表
研究團隊經過持續攻堅,成功鎖定了TAO對西北工業大學實施網路攻擊的目標節點、多級跳板、主控平台、加密隧道、攻擊武器和發起攻擊的原始終端,發現了攻擊實施者的身份線索,並成功查明了13名攻擊者的真實身份。
