2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马程序样本，西安警方已对此正式立案调查。

随后 中国国家计算机病毒应急处理中心和360公司第一时间成立技术团队开展调查工作对此次共计展开了追踪溯源。今天360公开了这次网络攻击追踪溯源情况，详细展示了攻击源头、攻击路径、攻击方法等。

按照官方说法，此次溯源打破了一直以来美国对我国的单向透明优势。面对国家级背景的强大对手，首先要知道风险在哪，是什么样的风险，什么时候的风险。帮助国家真正感知风险、看见威胁、抵御攻击，一举将境外黑客攻击暴露在阳光下。

此次追踪溯源分析发现 美国NSA的“特定入侵行动办公室”（TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），疑似窃取了高价值数据。与此同时，美国NSA还利用其控制的网络攻击武器平台、“零日漏洞”（0day）和网络设备，长期对中国的手机用户进行无差别的语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。

通过层层掩护，构建了由49台跳板机和5台代理服务器组成的匿名网络，购买专用网络资源，架设攻击平台。所有IP均归属于非“五眼联盟”国家，而且大部分选择了中国周边国家（如日本、韩国等）的IP，约占70%。针对SunOS操作系统的两个“零日漏洞”利用工具（已提取样本），工具名称分别为EXTREMEPARR（NSA命名）和EBBISLAND（NSA命名），选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN（NSA命名，已提取样本）后门，控制了大批跳板机。

这些跳板机仅使用了中转指令，将上一级的跳板指令转发到目标系统，从而掩盖美国国家安全局发起网络攻击的真实IP。

此次攻击美国国家安全局为了掩盖其攻击行径，找了多个国家，国家公司购买资源辅助攻击，更有美国多家大型知名互联网企业配合其攻击，掌握了中国大量通信网络设备的管理权限。

针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器，NSA通过两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP，并租用一批服务器。

这两家公司分别为杰克·史密斯咨询公司（Jackson Smith Consultants）、穆勒多元系统公司（Mueller Diversified Systems）。

使用了41种NSA的专用网络攻击武器装备，通过分布于日本、韩国、瑞典、波兰、乌克兰等17个国家的49台跳板机和5台代理服务器，对西北工业大学发起了攻击窃密行动上千次，窃取了一批网络数据。

此次追踪溯源除了协调国内资源，也得到了欧洲、南亚部分国家合作伙伴支持。可以说，这是近年来中美双方，在网络空间攻防领域的一次公开的较量。除了各自技术，还需要全球其他国家地区配合。

毫无疑问现代计算机的发展，美国各大互联网公司做出了突出贡献。这些公司拥有着相关产品的强大研发能力。此次攻击武器装备针对性强，得到了美国互联网巨头的鼎力支持。同一款装备会根据目标环境进行灵活配置，在这中使用的41款装备中，仅后门工具“狡诈异端犯”（NSA命名）在对西北工业大学的网络攻击中就有14款不同版本。NSA所使用工具类别主要分为四大类，分别是：

一、漏洞攻击突破类武器

托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名网络。此类武器共有3种：

1.“剃须刀”

此武器可针对开放了指定RPC服务的X86和SPARC架构的Solaris系统实施远程溢出攻击，攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权。

此武器用于对日本、韩国等国家跳板机的攻击，所控制跳板机被用于对西北工业大学的网络攻击。

2.“孤岛”

此武器同样可针对开放了制定RPC服务的Solaris系统实施远程溢出攻击，直接获取对目标主机的完整控制权。

与“剃须刀”工具不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动选择欲打击的目标服务。

NSA使用此武器攻击控制了西北工业大学的边界服务器。

3.“酸狐狸”武器平台

此武器平台部署在哥伦比亚，可结合“二次约会”中间人攻击武器使用，可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击，获取目标系统的控制权。

TAO主要使用该武器平台对西北工业大学办公内网主机开展突破攻击。

二、持久化控制类武器

此类武器对西北工业大学网络进行隐蔽持久控制，TAO工作人员可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有5种：

1.“二次约会”

此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。

TAO在西北工业大学边界设备上安置该武器，劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

2.“NOPEN”木马

此武器是一种支持多种操作系统和不同体系架构的控守型木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力。

TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

3.“怒火喷射”

此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的控守型木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。

TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。

4.“狡诈异端犯”

此武器是一款轻量级的后门植入工具，运行后即自删除，具备提权功能，持久驻留于目标设备上并可随系统启动。

TAO主要使用该武器实现持久驻留，以便在合适时机建立加密管道上传NOPEN木马，保障对西北工业大学信息网络的长期控制。

5.“坚忍外科医生”

此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。

TAO主要使用该武器隐藏NOPEN木马的文件和进程，避免其被监控发现。

TAO在对西北工业大学的网络攻击中共使用该武器的12个不同版本。

三、嗅探窃密类武器

依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、生成的操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种：

1.“饮茶”

此武器可长期驻留在32位或64位的Solaris系统中，通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。

TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、操作记录、日志文件等，压缩加密存储后供NOPEN木马下载。

2.“敌后行动”系列武器

此系列武器是专门针对运营商特定业务系统使用的工具，根据被控业务设备的不同类型，“敌后行动”会与不同的解析工具配合使用。

在对西北工业大学运维管道的攻击中共使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对运营商的攻击窃密工具。

四、隐蔽消痕类武器

此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。

现已发现的此类武器共有1种：

1.“吐司面包”

此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。

TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件，隐藏其恶意行为。

TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。