今(jin)天(5日),國家(jia)計算機(ji)病毒應急處理中心和360公(gong)司分別發(fa)������布了關于西北工(gong)業大學遭受境外網(wang)(wang)絡攻擊的調查報(bao)告(gao)。報(bao)告(gao)顯示網(wang)(wang)絡攻擊源頭系美國國家(jia)安全局(ju)(NSA)。
NSA使用41種網絡攻擊(ji)武器 竊取數據
此(ci)次(ci)調查發現,針對(dui)西北(bei)工業大學的網(wang)絡攻(gong)擊(ji)中,美國國家安全局(ju)(NSA)下屬的特定入侵行(xing)動辦(ban)公������(gong)室(TAO)使用了(le)40余種不(bu)同(tong)的專屬網(wang)絡攻(gong)擊(ji)武器,持續(xu)對(dui)西北(bei)工業大學開展攻(gong)擊(ji)竊密,竊取該(gai)校關(guan)鍵(jian)網(wang)絡設備配置、網(wang)管(guan)數(shu)(shu)據、運(yun)維數(shu)(shu)據等核(he)心(xin)技術數(shu)(shu)據。
此次遭(zao)受攻擊的西(xi)北(bei)工業(ye)大學位于(yu)陜西(xi)西(xi)安,隸屬于(yu)工業(ye)和(he)信(xin)息(xi)化(hua)������部,是一所多(duo)科(ke)性、研究型、開放式大學。
西安市公安局碑林分局副局長 靳琪:�������西北工業(ye)大(da)學(xue)是目前我國(guo)從事(shi)航空(kong)、航�����天、航海工程教育和(he)(he)科(ke)學(xue)研究(jiu)領域的(de)重(zhong)點大(da)學(xue),擁有大(da)量(liang)國(guo)家頂級科(ke)研團(tuan)隊和(he)(he)高端人(ren)才(cai),承(cheng)擔國(guo)家多個重(zhong)點科(ke)研項目,地位十(shi)分特殊(shu),網絡安全十(shi)分關(guan)鍵。由于其所具有的(de)特殊(shu)地位和(he)(he)從事(shi)的(de)敏感科(ke)學(xue)研究(jiu),所以才(cai)成為此(ci)次網絡攻擊(ji)的(de)針對性目標。
調查報告顯示,美(mei)國(guo)國(guo)家安(an)全局(NSA)在對西北工業�����大學的網絡攻擊行動中,先后使用(yong)(yong)了41種(zhong)專(zhuan)用(yong)(yong)網絡攻擊武器裝備(bei),僅后門工具“狡詐異端犯”( NSA 命名)就有14款不同版本。
360公司網絡安全專家 邊亮:在前期的(de)話,它會(hui)有��������一些偵察的(de)模塊。那么偵察之后發(fa)現,如果說它的(de)目標環境(jing)當(dang)中,可能�������比如說有的(de)需要去(qu)竊取密(mi)碼或者竊取重(zhong)要情(qing)報信息,根據(ju)不(bu)同的(de)情(qing)況、不(bu)同的(de)系統(tong)或者不(bu)同的(de)平(ping)臺(tai),去(qu)定制(zhi)化進行武器的(de)攻擊(ji)和投遞。
通(tong)過取證(zheng)分(fen)析,技術團隊累計(ji)發現攻擊者在西北(bei)工業(ye)大學內部滲透的(de)攻擊鏈路多達1100余條(tiao)、操作(zuo)的(de)指令序列90余個,并從(cong)被入(ru)侵的(de)網(wang)絡(luo)設備中定位(wei)了多份遭竊(q�������ie)取的(de)網(wang)絡(luo)設備配置文件、遭嗅探的(de)網(wang)絡(luo)通(tong)信數(shu)據及(ji)口令、其他(ta)類型(xing)的(de)日志和(he)密鑰文件以及(ji)其他(ta)與(yu)攻擊活動相(xiang)關的(de)主(zhu)要(yao)細節。
技(ji)術團隊將(jiang)此次攻(gong)擊(ji)(ji)活動中所(suo)使用(yong)的武(wu)(wu)器(qi)類別分(fen)為四大(da)類,具體包括:1、漏洞攻(gong)擊(ji)(ji)突(tu)破(po)類武(wu)(wu)器(qi);2、持久(jiu)化控(k������ong)制類武(wu)(wu)器(qi);3、嗅(xiu)探竊密類武(wu)(wu)器(qi);4、隱(yin)蔽消痕類武(wu)(wu)器(qi)。
國家計算機病毒應急處理中心高級工程師 杜振華:從(cong)最開始(shi)的(de)這(zhe)種(zhong)漏洞的(de)攻擊突破,突破之(zhi)后去投送這(zhe)種(zhong)第����二(er)類的(de),我們(men)說持久控制類的(de)武器(qi)工具。那么(me)再到第三(san)類,那么(me)它實現這(zhe)種(zhong)嗅(xiu)探的(de)竊密(mi),那么(me)長期的(de)潛伏竊取我們(men)重要的(de)數據,然(ran)后把這�����(zhe)個攻擊活動,它認為任務已經完成之(zhi)后,那么(me)開始(shi)使用第四類的(de)武器(qi)就(jiu)是隱(yin)蔽消痕類,把現場清理干凈,讓被(bei)害人(ren)無法察覺。
此次(ci)調查報告披(pi)露,美國國家�������(jia)安全局(NSA)利用大量網絡攻擊(ji)(ji)武器,針對我國各行業龍(long)頭企業、政府(fu)、大學(xue)、醫療、科研(yan)等(deng)機構長期進(jin)行秘密黑客攻擊(ji)(ji)活動。
360公司創始人 周鴻祎:就是(shi)瞄準國家(jia)的(de)這種科研機(ji)構、政府部門、軍工單位(wei)、高校(xiao)這些(xie)地方來(lai)(lai)竊(qie)取(qu)情報(bao)或者(zhe)竊(qie)取(qu)數(shu)據(ju),它從(cong)(cong)攻擊從�����(cong)(cong)策(ce)劃到部署,到通過很長的(de)這種跳板,一直(zhi)到攻到核心崗位(wei)里面,大(da)概持續的(de)時間(jian)有(you)的(de)要(yao)長達數(shu)年(nian)。那么危(wei)害(hai)也就非常大(da),因為(wei)未來(lai)(lai)我(wo)們整個(ge)國家(jia)都在搞(gao)數(shu)字化,我(wo)們很多(duo)重(zhong)要(yao)的(de)這種業務都是(shi)由數(shu)據(ju)來(lai)(lai)驅動,你想數(shu)據(ju)一旦(dan)被(bei)(bei)偷竊(qie)或一旦(dan)被(bei)(bei)破(po)壞,肯(ken)定(ding)會帶來(lai)(lai)嚴重(zhong)的(de)風������險。
調查同(tong)時(shi)發現,美國(guo)(guo)國(guo)(guo)家安全局(NSA)還(hu��������an)利用其控制的(de)網�������(wang)絡攻擊武器(qi)平臺(tai)、“零日漏洞”(Oday)和(he)網(wang)絡設(she)備,長期對中國(guo)(guo)的(de)手機用戶(hu)進行無差別(bie)的(de)語(yu)音(yin)監(jian)聽,非(fei)法竊取(qu)手機用戶(hu)的(de)短信內容,并對其進行無線定位。
NSA掩蓋真實(shi)IP 精心偽裝網(wang)絡攻擊痕跡
此次調(diao)查報告披露,美國(guo)國(guo)家安全�����局(ju)(NSA)為(wei)了(le)隱匿其對西北工業大學等中國(guo)信息(xi)網絡(luo)(luo)實(shi)施網絡(luo)(luo)攻擊(ji)的行(xing)(xing)為(wei),做(zuo)了(le)長時間準備工作,并且進行(xing)(xing)了(le)�����精(jing)心偽裝。
技術團隊分析發現,美(mei)國(guo)國(guo)家安全局(ju)(NSA)下屬的(de)(de)特(te)定入(ru)侵(qin)(qin)行(xing)動辦公室(TAO)在開(kai)始行(xing)動前會進行(xing)較長時間的(de)(de)準備工作(zuo),主要進行(xing)匿名化攻(gong)擊基礎設施(shi)的(de)(de)建設。特(te)定入(ru)侵(qin)(qin)行(xing)動辦公室(TAO)利用(yong)其掌握的(de)(de)針對SunOS操作(zuo)系(xi)統的(de)(de)兩(liang)個“零(ling)日漏(lou)洞”利用(yong)工具(ju),選擇(ze)了中國(gu����o)周邊國(guo)家的(de)(de)教育機構、商(shang)業公司(si)等網絡應用(yong)流量較多的(de)(de)服務(wu)器為攻(gong)擊目標(biao);攻(gong)擊成(cheng)功(gong)后,即(ji)安裝NOPEN木(mu)馬(ma)程序,控制了大(da)批跳板(ban)機。
特定入侵行動(dong)辦公室(shi)(TAO)在針對西北工業大學的(de)網絡攻擊行動(dong)中先后使(shi)用了54臺跳板機和代理服(fu)���������務器,主(zhu)要分布在日(ri)本、韓(han)國、瑞典(dian)、波(bo)蘭(lan)、烏(wu)克蘭(lan)等17個(ge)國家(jia),其(qi)中70%位于(yu)中國周邊國家(jia),如(ru)日(ri)本、韓(han)國等。其(qi)中,用以(yi)掩蓋真實IP的(de)跳板機都是精心挑選,所有(you)IP均歸(gui)屬于(yu)非“五眼(yan)聯(lian)盟”國家(jia)。
針(zhen)對西北工業(ye)大學(xue)攻擊(ji)平(ping)臺所使用(yong)的(de)(de)網(wang)絡(luo)資(zi)源涉(she)及(ji)代理服(fu)務(wu)(wu)器(qi)(qi),美國國家(jia)安(an)全局(NSA)通過(guo)秘密成立的(de)(de)兩家(jia)掩護(hu)公(g����ong)司購(gou)買了埃及(ji)、荷蘭和哥倫比亞(ya)等地的(de)(de)IP,并租用(yong)一批(pi)服(fu)務(wu)(wu)器(qi)(qi)。
國家計算機病毒應急處理中心高級工程師 杜振華:它(ta)是使用(yong)這�������種(zhong)(zhong)(zhong)虛擬身(shen)份(fen),或者(zhe)是代理人的身(shen)份(fen)。那么去(qu)租用�����(yong)和購買互聯網(wang)上的這種(zhong)(zhong)(zhong)服務器、IP地址、域名,甚至它(ta)還可以(yi)通過這種(zhong)(zhong)(zhong)網(wang)絡攻擊的手段,在對方(fang)(fang)不(bu)知情的情況下(xia),接管第(di)三方(fang)(fang)用(yong)戶的這種(zhong)(zhong)(zhong)服務器資(zi)源。那么來(lai)實(shi)施網(wang)絡攻擊,實(shi)現這種(zhong)(zhong)(zhong)借刀殺人的效果。
美國國家(jia)安(an)(an)全局(NSA)為了保護(hu)(hu)其身份安(an)(an)全,使用(yong)了美國隱(yin)私保護(hu)(hu)公(gong)司的(de)匿(ni)名保護(hu)(hu)服務,相關域名和證書均指(zhi)向無關聯(lian)人員,以(yi)便掩蓋真實攻擊����(ji)平(ping)臺對(dui)西北工業大學等中國信息網絡展開的(de)多輪持續性攻擊(ji)、竊密行(xing)動。
國家計算機病毒應急處理中心高級工程師 杜振華:有了(le)這(zhe)(zhe)些(xie)跳(tiao)板機(ji)之后,TAO就可以躲在這(zhe)(zhe)些(xie)跳(tiao)板機(ji)的(de)后面,去向目標發(fa)動網(wang)絡攻擊。這(zhe)(zhe)樣從受害者的(de)角(jiao)度去看,即(ji)使�����(shi)他發(fa)現了(le)攻擊,實際上也是(shi)這(zhe)(zhe)些(xie)跳(tiao)板機(ji)的(de)。那么這(zhe)(zhe)樣起到一個,就是(shi)對真實的(de)攻擊來源網(wang)絡地址的(de)一個保護的(de)這(zhe)(zhe)種作用(yong)。
技術團隊(dui)還發現,相關網絡(luo)攻擊活動開始前,美(������mei)國國家(jia)安全局(NSA)在美(mei)國多家(jia)大型知名互聯(lian)網企業(ye)配合下(xia),將掌(zhang)握的(de)中(zhong)國大量通信網絡(luo)設備的(de)管理權限,提供給(gei)美(mei)國國家(jia)安全局等(deng)情報(bao)機構,為(wei)持(chi)續侵入中(zhong)國國內的(de)重要信息網絡(luo)大開方(fang)便(bian)之門。
據調查報告顯(xian)示,美國(guo)國(guo)家安全局(ju)(NSA)下屬的������(de)“特定(ding)入侵行(xing)動(dong)辦(ban)公(gong)室”(TAO)不僅(jin)對(dui)中國(guo)國(guo)內的(de)各重點企(qi)業和機構(gou)實施惡意(yi)網絡(luo)攻擊,而且還長(chang)期(qi)對(dui)中國(guo)的(de)手(shou)機用(yong)戶進(jin)行(xing)無(wu)差別的(de)語音監聽,非法竊取(qu)手(shou)機用(yong)戶的(de)短信內容,并對(dui)其進(jin)行(xing)無(wu)線定(ding)位。那么(me)(me)這個(ge)簡稱TAO的(de)特定(ding)入侵行(xing)動(dong)辦(ban)公(gong)室到底是一個(ge)什么(me)(me)機構(gou)呢(ni)?
經技術分析和網上溯源調(diao)查發現,實施此次網絡(luo)攻擊行動(dong)美國(guo)國(guo)家安全局(ju)(ju)(NSA)下屬(shu)特定入侵(qin)行動(do����ng)辦(ban)公室(TAO)部門,成立于(yu)1998年(nian),其(qi)力(li)量部署主(zhu)要依托(tuo)美國(guo)國(guo)家安全局(ju)(ju)(NSA)在美國(guo)和歐(ou)洲的各密(mi)碼(ma)中心(xin)(xin)。目前已被(bei)公布(bu)的六(liu)個密(mi)碼(ma)中心(xin)(xin)分別是:
1、國安局馬里蘭州的(de)米德(de)堡總部;
2、瓦湖島的(de)國安局(ju)夏威夷(yi)密(mi)碼中心(NSAH);
3、戈登堡的(de)國安局喬治亞密碼中心(NSAG);
4、圣安東尼奧的(de)國安局得克薩(sa)斯密碼中(zhong)心(xin)(NSAT);
5、丹佛馬(ma)克利(li)空軍基地的(de)������國安局(ju)科(ke)羅拉羅密碼中(zhong)心(NSAC);
6、德國(guo)達姆(m�������u)施塔特美軍基地的國(gu�����o)安局歐(ou)洲(zhou)密碼中心(NSAE)。
�����特定入侵行動辦公室TAO是目前����美國政府專門從事對(dui)他國實(shi)施(shi)大規模網(wang)絡攻擊(ji)竊密活(huo)動的(de)戰術實(shi)施(shi)單(dan)位(wei),由2000多名軍(jun)人和文職(zhi)人員組成。下(xia)設10個單(dan)位(wei):
1、遠程(cheng)操作(zuo��������)(zuo)中心(ROC,代號 S321),主要負責(ze)操作(zuo)(zuo)武器平臺(tai)和工具進入并控(kong)制目標(biao)系統或網絡(luo)。
2���、先進/接入(ru)網(wang)絡(luo)技術處(ANT,代(dai)號 S322),負責研究相(xiang)關硬(ying)件技術,為TAO網(wang)絡(luo)攻擊(ji)行(xing)動提供硬(ying)件相(xiang)關技術和(he�����)武器裝備(bei)支持。
3、數(shu)據(ju)網(wang)絡(luo)技(ji)術處(DNT,代號 S323),負責(ze)研(yan)發復雜的計算機軟件������(jian)工具,為TAO操(cao)作人員執行網(wang)絡(luo)攻擊任務提供支撐。
4、電信網絡技術處(TNT,代號 S324),負責研究(jiu)電信相關技術,為TAO操作人員隱(yin)蔽滲透(tou)電�������信網絡提供支�����撐。
5、任(ren)務(wu)基(ji)�����礎(chu)設(she)施技術處(MIT,代號 S3�������25),負責(ze)開(kai)發與建立(li)網絡(luo)(luo)基(ji)礎(chu)設(she)施和安全監控平臺,用于構建攻擊行(xing)動網絡(luo)(luo)環境與匿名網絡(luo)(luo)。
6、接入行(xing)動處(AO,代號(hao) S326),負責�������通過供應鏈,對(dui)擬送達目標的產品(pin)進行(xing)后門安裝。
7、需求與定位(wei)(wei)處(chu)(R&T,代號 S327);接收各(ge)相關單位(wei)(wei)的任務(������wu),確定偵察目標,分(fen)析評估(gu)情(�����qing)報價值。
8、接入技術(shu)行動處(ATO,編號 S328),負(fu)責研發接觸(chu)式竊密(mi)裝置(zhi),并與(yu)美國中(zhong)央情報(bao)局和聯邦調(������diao)查局人員合作,通過人力接觸(chu)方(fang)式將竊密(mi)軟件或裝置(zhi)安裝在目標的計算機(ji)和電信系(xi)統中(zhong)。
9、S32P:項目計劃(hua)整合處(PP������I,�������代號(hao) S32P),負(fu)責總體(ti)規劃(hua)與項目管理(li)。
10、NWT:網(wang)(wang)絡(luo)戰小組(NWT),負責與(yu)133個網(w����ang)(wang)絡��������(luo)作戰小隊聯(lian)絡(luo)。
美國(guo)(g�������uo)(guo)國(guo)(guo)(guo)家安(an)全(quan)局(ju)NSA針對西北工業大學的攻擊竊密行(xing)動負責人是羅伯特·喬伊斯(si)(Robert Edward Joyce)。此人于1967年9月13日出生,1989年進(jin)入(ru)美國(guo)(guo)(guo)國(guo)(guo)(guo)家安(an)全(quan)局(ju)工作。曾經擔任(ren)過“特定入(ru)侵行(xing)動辦公(gong)室TAO”副主(zhu)任(ren)、主(zhu)任(ren),現擔任(ren)美國(guo)������(guo)(guo)國(guo)(guo)(guo)家安(an)全(quan)局(ju)NSA網絡(luo)安(an)全(quan)主(zhu)管。
你(ni)的信息也可能被泄露!專家呼吁提高網絡安全(quan)防范
調查報告顯(xian)示(shi),一直以(yi)來,美國(guo)(guo)國(guo)(guo)家安(an)全局(NSA)針對我(wo)國(guo)(guo)各行業龍頭企業、政府、大學、醫(yi)療機(ji)構(gou)(gou)、科研機(ji)構(gou)(gou)甚(shen)至關(guan)乎國(guo)(guo������)計民(min)生(sheng)的重(zhong)要信息基礎設(she)施運(yun)維單(dan)位等機(ji)構(gou)(gou)長期進行秘密黑客攻擊活動。其行為或對我(wo)國(guo)(guo)的國(guo)(guo)防安(an)全、關(guan)鍵基礎設(she)施安(an)全、金融(rong)安(an)全、社(she)會安(an)全、生(sheng)產安(an)全以(yi)及公民(min)個人信息造成嚴重(zhong)危(wei)害,值得我(wo)們深(shen)思與警惕。
此次西北工(gong)業大(da)(da)學聯(lian)合中國(guo)(guo)國(guo)(guo)家計算機病毒應(ying)急處理中心與(yu)360公(gong)司,全(quan)面(mian)還原了數年間美國(guo)(gu����o)國(guo)(guo)家安全(quan)局(ju)(NSA)利用(yong)網絡武器發(fa)起的一系(xi)列攻擊行(xing)為,打(da)破了一直以來(lai)美國(guo)(guo)對我國(guo)(guo)的單(dan)向透明優(you)勢。面(mian)對國(guo)(g�������uo)家級背景的強大(da)(da)對手,首先要知(zhi)道風險(xian)在(zai)哪,是什么樣的風險(xian),什么時候的風險(xian)。
360公司創始人 周鴻祎:只要(yao)能迅(xun)速(su)發現,能看見這(zhe)種威脅,感知到這(zhe)種攻擊。那么(me)就(jiu)能夠定位溯(su)源,就(jiu)知道(�����dao)它從哪進來的,知道(dao)他們用什么(me)漏洞進來的,然后就(jiu)能把(ba)(ba)它給(gei)處置(zhi)掉,把(ba�������)(ba)它清理(li)掉,同時(shi)把(ba)(ba)該(gai)修補的漏洞都修補上。
調查(cha)報告認為(wei)(wei),西北工業大學此次公(gong)開發布(bu)遭受境(jing)外網絡攻擊(ji)(ji)的聲(sheng)明(ming),本著實事求(qiu)是、絕不姑息(xi)的決心,堅決一查(cha)到底,積極采取防御(yu)措(cuo������)施的行動值得遍布(bu)������全球的美國國家安(an)(an)全局(ju)(ju)(NSA)網絡攻擊(ji)(ji)活動受害者學習,這(zhe)將(jiang)成為(wei)(wei)世界各國有效防范抵御(yu)美國國家安(an)(an)全局(ju)(ju)(NSA)后續(xu)網絡攻擊(ji)(ji)行為(wei)(wei)的有力(li)借鑒(jian)。
封(feng)面(mian)圖片來源:央視新(xin)聞
