中国西北工业大学遭境外网络攻击调查报告公布:源头系美国国家安全局

© Sputnik / Alexey Malgavko网络攻击
网络攻击 - 俄罗斯卫星通讯社, 1920, 05.09.2022
关注
俄罗斯卫星通讯社北京9月5日电 中国国家计算机病毒应急处理中心5日公布的《关于西北工业大学遭受境外网络攻击的调查报告》中称,初步判断对该大学实施网络攻击行动的是美国国家安全局(NSA)下属“特定入侵行动办公室”(TAO),攻击行动代号为“阻击XXXX”(shotXXXX)。攻击期间,TAO共使用40余种不同的NSA专属网络攻击武器,攻击链路多达1100余条、操作的指令序列90余个。
报告说,2022年6月22日,中国西北工业大学发布《公开声明》称,该校遭受境外网络攻击。随机西安警方对此立案调查。中国国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与此案的技术分析工作。
报告称,本次调查发现,在近年里,美国国家安全局(NSA)下属“特定入侵行动办公室”(TAO)对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。
报告说,经技术分析与溯源,技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。
报告称,在针对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。
报告披露,TAO在网络攻击过程中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
报告说,技术团队通过威胁情报数据关联分析,发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克∙史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。同时,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达∙拉米雷斯(Amanda Ramirez)”的名字匿名购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。
西北工业大学 - 俄罗斯卫星通讯社, 1920, 23.06.2022
中国警方立案侦查西北工业大学遭境外网络攻击案件
报告还指出, TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。TAO所使用工具类别分为四大类,具体包括:漏洞攻击突破类武器、持久化控制类武器、嗅探窃密类武器、隐蔽消痕类武器。
报告强调,“结合技术分析结果和溯源调查情况,技术团队初步判断对西北工业大学实施网络攻击行动的是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门”。
该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是:美国马里兰州米德堡的NSA总部;美国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH);美国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG);美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心(NSAT);美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC);德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成。
报告进一步指出,美国国家安全局(NSA)针对西北工业大学的攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的主要包括TAO负责人,S321和S325单位。
报告称,NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特∙乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全主管。
报告最后指出,本次报告基于中国国家计算机病毒应急处理中心与360公司联合技术团队的分析成果,揭露了美国NSA长期以来针对包括西北工业大学在内的中国信息网络用户和重要单位开展网络间谍活动的真相。后续技术团队还将陆续公布相关事件调查的更多技术细节。
新闻时间线
0