9月27日，中國國家計算機(jī)病毒應(yīng)急處理中心發(fā)布《西北工業(yè)大學(xué)遭受美國NSA網(wǎng)絡(luò)攻擊調(diào)查報告（之二）》，進(jìn)一步揭露了美國對西北工業(yè)大學(xué)組織網(wǎng)絡(luò)攻擊的目的：滲透控制中國基礎(chǔ)設(shè)施核心設(shè)備，竊取中國用戶隱私數(shù)據(jù)，入侵過程中還查詢一批中國境內(nèi)敏感身份人員，并將用戶信息打包加密后經(jīng)多級跳板回傳至美國國家安全局總部。

圖片來源：視覺中國

6月份西北工業(yè)大學(xué)曾發(fā)布聲明稱，有來自境外的黑客組織對西北工業(yè)大學(xué)服務(wù)器實施攻擊。9月份，相關(guān)部門調(diào)查顯示針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊來自美國國家安全局（NSA）特定入侵行動辦公室（TAO）。

中國國家計算機(jī)病毒應(yīng)急處理中心和360公司全程參與了此案的技術(shù)分析。研究團(tuán)隊經(jīng)過持續(xù)攻堅，成功鎖定了TAO對西北工業(yè)大學(xué)實施網(wǎng)絡(luò)攻擊的目標(biāo)節(jié)點(diǎn)、多級跳板、主控平臺、加密隧道、攻擊武器和發(fā)起攻擊的原始終端，發(fā)現(xiàn)了攻擊實施者的身份線索，并成功查明了13名攻擊者的真實身份。

最新的調(diào)查報告進(jìn)一步表明，TAO長期隱蔽控制西北工業(yè)大學(xué)的運(yùn)維管理服務(wù)器，同時采取替換原系統(tǒng)文件和擦除系統(tǒng)日志的方式消痕隱身，規(guī)避溯源。網(wǎng)絡(luò)安全技術(shù)人員根據(jù)TAO攻擊西北工業(yè)大學(xué)的隱蔽鏈路、滲透工具、木馬樣本等特征關(guān)聯(lián)發(fā)現(xiàn)，TAO對我國基礎(chǔ)設(shè)施運(yùn)營商核心數(shù)據(jù)網(wǎng)絡(luò)實施了滲透控制。

不僅如此，TAO通過掌握的中國基礎(chǔ)設(shè)施運(yùn)營商的思科PIX防火墻、天融信防火墻等設(shè)備的賬號口令，以“合法”身份進(jìn)入運(yùn)營商網(wǎng)絡(luò)，隨后實施內(nèi)網(wǎng)滲透拓展，分別控制相關(guān)運(yùn)營商的服務(wù)質(zhì)量監(jiān)控系統(tǒng)和短信網(wǎng)關(guān)服務(wù)器，利用“魔法學(xué)?！钡葘ｉT針對運(yùn)營商設(shè)備的武器工具，查詢了一批中國境內(nèi)敏感身份人員，并將用戶信息打包加密后經(jīng)多級跳板回傳至美國國家安全局總部。

入侵細(xì)節(jié)披露，人贓俱獲

最新發(fā)布的報告公布了一系列細(xì)節(jié)進(jìn)一步證明TAO實施網(wǎng)絡(luò)攻擊行為，其中包括其是在什么時間通過什么方式竊取中國用戶隱私數(shù)據(jù)，相當(dāng)于“人贓俱獲”。

細(xì)節(jié)顯示：北京時間20××年3月7日22:53，TAO通過位于墨西哥的攻擊代理148.208.××?！痢?，攻擊控制中國某基礎(chǔ)設(shè)施運(yùn)營商的業(yè)務(wù)服務(wù)器211.136.××?！痢?，通過兩次內(nèi)網(wǎng)橫向移動（10.223.140.××、10.223.14.××）后，攻擊控制了用戶數(shù)據(jù)庫服務(wù)器，非法查詢多名身份敏感人員的用戶信息。

同日15:02，TAO將查詢到的用戶數(shù)據(jù)保存在被攻擊服務(wù)器“/var/tmp/.2e434fd8aeae73e1/erf/out/f/”目錄下，被打包回傳至攻擊跳板，隨后竊密過程中上傳的滲透工具、用戶數(shù)據(jù)等攻擊痕跡被專用工具快速清除。

此外，TAO運(yùn)用同樣的手法，分別于北京時間20××年1月10日23時22分、1月29日8時41分、3月28日22時00分、6月6日23時58分，攻擊控制另外一家中國基礎(chǔ)設(shè)施業(yè)務(wù)服務(wù)器，非法多批次查詢、導(dǎo)出、竊取多名身份敏感人員的用戶信息。

TAO在攻擊過程中操作失誤暴露工作路徑

針對西北工業(yè)大學(xué)遭受TAO網(wǎng)絡(luò)攻擊的技術(shù)分析行動中，中國打破了一直以來美國對我國的“單向透明”優(yōu)勢，掌握了美國實施網(wǎng)絡(luò)攻擊的充分證據(jù)。

值得一提的是，TAO在實施網(wǎng)絡(luò)攻擊中因操作失誤暴露工作路徑。根據(jù)介紹， 20××年5月16日5時36分（北京時間），對西北工業(yè)大學(xué)實施網(wǎng)絡(luò)攻擊人員利用位于韓國的跳板機(jī)（IP:222.122.××。××），并使用NOPEN木馬再次攻擊西北工業(yè)大學(xué)。在對西北工業(yè)大學(xué)內(nèi)網(wǎng)實施第三級滲透后試圖入侵控制一臺網(wǎng)絡(luò)設(shè)備時，在運(yùn)行上傳PY腳本工具時出現(xiàn)人為失誤，未修改指定參數(shù)。腳本執(zhí)行后返回出錯信息，信息中暴露出攻擊者上網(wǎng)終端的工作目錄和相應(yīng)的文件名，從中可知木馬控制端的系統(tǒng)環(huán)境為Linux系統(tǒng)，且相應(yīng)目錄名“/etc/autoutils”系TAO網(wǎng)絡(luò)攻擊武器工具目錄的專用名稱（autoutils）。

圖片TAO網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)所用跳板IP列表

此外，技術(shù)分析還發(fā)現(xiàn)，美國仰仗自己強(qiáng)大的技術(shù)優(yōu)勢，針對西北工業(yè)大學(xué)的攻擊竊密者都是按照美國國內(nèi)工作日的時間安排進(jìn)行活動的，肆無忌憚，毫不掩飾。

根據(jù)對相關(guān)網(wǎng)絡(luò)攻擊行為的大數(shù)據(jù)分析，對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動98%集中在北京時間21時至凌晨4時之間，該時段對應(yīng)著美國東部時間9時至16時，屬于美國國內(nèi)的工作時間段。其次，美國時間的全部周六、周日時間內(nèi)均未發(fā)生對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動。第三，分析美國特有的節(jié)假日，發(fā)現(xiàn)美國的“陣亡將士紀(jì)念日”放假3天，美國“獨(dú)立日”放假1天，在這四天中攻擊方?jīng)]有實施任何攻擊竊密行動。第四，長時間對攻擊行為密切跟蹤發(fā)現(xiàn)，在歷年圣誕節(jié)期間，所有網(wǎng)絡(luò)攻擊活動都處于靜默狀態(tài)。

技術(shù)分析與溯源調(diào)查中，技術(shù)團(tuán)隊發(fā)現(xiàn)了一批TAO在網(wǎng)絡(luò)入侵西北工業(yè)大學(xué)的行動中托管所用相關(guān)武器裝備的服務(wù)器IP地址，舉例如下：

小結(jié)

綜合此次美國國家安全局“特定入侵行動辦公室”（TAO）針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)入侵行徑，其行為對我國國防安全、關(guān)鍵基礎(chǔ)設(shè)施安全、社會安全、公民個人信息安全造成嚴(yán)重危害，值得我們深思與警惕：

面對美國NSA對我國實施長期潛伏與持續(xù)滲透的攻擊行為，我國政府、各大中小企業(yè)、大學(xué)、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)以及重要信息基礎(chǔ)設(shè)施運(yùn)維單位等都應(yīng)做好防范準(zhǔn)備：一方面各行業(yè)、企業(yè)應(yīng)盡快開展APT攻擊自查工作，另一方面要著力實現(xiàn)以“看見”為核心的全面系統(tǒng)化防治。

面對國家級背景的強(qiáng)大對手，首先要知道風(fēng)險在哪，是什么樣的風(fēng)險，什么時候的風(fēng)險。

因此，各大單位要逐步提升感知能力、看見能力、處置能力，在攻擊做出破壞之前及時斬斷“殺傷鏈”，變事后發(fā)現(xiàn)為事前捕獲，真正實現(xiàn)感知風(fēng)險、看見威脅、抵御攻擊。

對此，網(wǎng)絡(luò)安全專家建議，在信息化建設(shè)過程中，建議選用國產(chǎn)化產(chǎn)品和“零信任”安全解決方案。（“零信任”是新一代的網(wǎng)絡(luò)安全防護(hù)理念，默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)。）

沒有網(wǎng)絡(luò)安全就沒有國家安全，只有要發(fā)展我們在科技領(lǐng)域的非對稱競爭優(yōu)勢，才能建立起屬于中國的、獨(dú)立自主的網(wǎng)絡(luò)防護(hù)和對抗能力。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<