西北工业大学遭美NSA网络攻击事件调查
2022-9-5 13:15:44 Author: 合一安全(查看原文) 阅读量:24 收藏

今天(9月5日),国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。报告显示相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。

遭受攻击的西北工业大学位于陕西西安,隶属于工业和信息化部,是一所多科性、研究型、开放式大学。

此次调查发现,针对西北工业大学的网络攻击中,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)使用了40余种不同的专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等超过140GB的高价值数据。

技术团队经过复杂的技术分析与溯源,还原了西北工业大学遭受网络攻击的过程和被窃取的文件,掌握了美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及美国国家安全局(NSA)通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份、电子文件170余份。

此次调查报告披露,美国国家安全局(NSA)为了隐匿其对西北工业大学等中国信息网络实施网络攻击的行为,做了长时间准备工作,并且进行了精心伪装。

技术团队分析发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。特定入侵行动办公室(TAO)利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,即安装NOPEN木马程序,控制了大批跳板机。

特定入侵行动办公室(TAO)在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。其中,用以掩盖真实IP的跳板机都是精心挑选,所有IP均归属于非“五眼联盟”国家。

针对西北工业大学攻击平台所使用的网络资源涉及代理服务器,美国国家安全局(NSA)通过秘密成立的两家掩护公司购买了埃及、荷兰和哥伦比亚等地的IP,并租用一批服务器。

经技术分析和网上溯源调查发现,实施此次网络攻击行动的美国国家安全局(NSA)下属特定入侵行动办公室(TAO)部门,成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是:

1、国安局马里兰州的米德堡总部;

2、瓦湖岛的国安局夏威夷密码中心(NSAH);

3、戈登堡的国安局乔治亚密码中心(NSAG);

4、圣安东尼奥的国安局得克萨斯密码中心(NSAT);

5、丹佛马克利空军基地的国安局科罗拉罗密码中心(NSAC);

6、德国达姆施塔特美军基地的国安局欧洲密码中心(NSAE)。

特定入侵行动办公室TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成。下设10个单位:

1、远程操作中心(ROC,代号 S321),主要负责操作武器平台和工具进入并控制目标系统或网络。

2、先进/接入网络技术处(ANT,代号 S322),负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。

3、数据网络技术处(DNT,代号 S323),负责研发复杂的计算机软件工具,为TAO操作人员执行网络攻击任务提供支撑。

4、电信网络技术处(TNT,代号 S324),负责研究电信相关技术,为TAO操作人员隐蔽渗透电信网络提供支撑。

5、任务基础设施技术处(MIT,代号 S325),负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络。

6、接入行动处(AO,代号 S326),负责通过供应链,对拟送达目标的产品进行后门安装。

7、需求与定位处(R&T,代号 S327);接收各相关单位的任务,确定侦察目标,分析评估情报价值。

8、接入技术行动处(ATO,编号 S328),负责研发接触式窃密装置,并与美国中央情报局和联邦调查局人员合作,通过人力接触方式将窃密软件或装置安装在目标的计算机和电信系统中。

9、S32P:项目计划整合处(PPI,代号 S32P),负责总体规划与项目管理。

10、NWT:网络战小组(NWT),负责与133个网络作战小队联络。

美国国家安全局NSA针对西北工业大学的攻击窃密行动负责人是罗伯特·乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,1989年进入美国国家安全局工作。曾经担任过“特定入侵行动办公室TAO”副主任、主任,现担任美国国家安全局NSA网络安全主管。

调查报告认为,西北工业大学此次公开发布遭受境外网络攻击的声明,本着实事求是、绝不姑息的决心,坚决一查到底,积极采取防御措施的行动值得遍布全球的美国国家安全局(NSA)网络攻击活动受害者学习,这将成为世界各国有效防范抵御美国国家安全局(NSA)后续网络攻击行为的有力借鉴。


精彩推荐
国防七子之一"西北工业大学"遭受境外攻击
BurpSuite Pro v2022.8.2破解版
APK扫描工具APKLeaks

免责声明 

合一安全提供的资源仅供学习,利⽤本公众号合一安全所提供的信息⽽造成的任何直接或者间接的后果及损失,均由使⽤者本⼈负责,公众号合一安全及作者不为此承担任何责任,一旦造成后果请⾃⾏承担责任!合一安全部分内容及图片源自网络转载,版权归作者及授权人所有,若您发现有侵害您的权利,请联系我们进行删除处理。谢谢 !


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2Mzc0ODA0NQ==&mid=2247486722&idx=1&sn=a4879de36a3dac958496bcfee8bc6bdd&chksm=ce72a7a0f9052eb64721ca0656b5eb1da2721ad49526a56d992fbfb66adf031a52d1e8d2f02e#rd
如有侵权请联系:admin#unsafe.sh