国家计算机病毒应急处理中心：2022年西北工业大学遭美国NSA网络攻击事件调查报告（17页）.pdf

《国家计算机病毒应急处理中心：2022年西北工业大学遭美国NSA网络攻击事件调查报告（17页）.pdf》由会员分享，可在线阅读，更多相关《国家计算机病毒应急处理中心：2022年西北工业大学遭美国NSA网络攻击事件调查报告（17页）.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、第 1 页 共 17 页西北工业大学遭美国 NSA 网络攻击事件调查报告（之一）2022 年 6 月 22 日，西北工业大学发布公开声明称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布警情通报，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本，西安警方已对此正式立案调查。国家计算机病毒应急处理中心和 360 公司联合组成技术团队（以下简称“技术团队”），全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技

2、术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Officeof Tailored Access Operation，后文简称 TAO）。一、攻击事件概貌本次调查发现，在近年里，美国 NSA 下属 TAO 对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过 140GB 的高价值数据。TAO 利用其网络攻击武器平台、“零日漏洞”（0day）及其控制的网络设备等，持续扩大网络攻击和范围。经技术分析与溯源，技术团队现已澄清 TAO 攻击活动

3、中使用的网络攻击基础设施、专用武器装备及技战术，还原了攻击过程和被窃取的文件，掌握了美国 NSA 及其下属 TAO 对中国信息网络实施网络攻击和数据窃密的相关证据，涉及在美国国内对中国直接发起网络攻击的人员 13 名，以及 NSA 通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同 60 余份，电子文件 170 余份。二、攻击事件分析第 2 页 共 17 页在针对西北工业大学的网络攻击中，TAO 使用了 40 余种不同的 NSA 专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析，技术团队累计发现攻击者在西北工业大

4、学内部渗透的攻击链路多达 1100 余条、操作的指令序列 90 余个，并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。具体分析情况如下：（一）相关网络攻击基础设施为掩护其攻击行动，TAO 在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设。TAO 利用其掌握的针对 SunOS 操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装 NOPEN 木马程序（详见有关研究报告），控制了大批跳板机。TAO 在针对西

5、北工业大学的网络攻击行动中先后使用了54 台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等 17 个国家，其中 70%位于中国周边国家，如日本、韩国等。这些跳板机的功能仅限于指令中转，即：将上一级的跳板指令转发到目标系统，从而掩盖美国国家安全局发起网络攻击的真实 IP。目前已经至少掌握 TAO从其接入环境（美国国内电信运营商）控制跳板机的四个 IP 地址，分别为 209.59.36.*、69.165.54.*、207.195.240.*和 209.118.143.*。同时，为了进一步掩盖跳板机和代理服务器与 NSA 之间的关联关系，NSA 使用了美国 Register 公司的匿

6、名保护服务，对相关域名、证书以及注册人等可溯源信息进行匿名化处理，无法通过公开渠道进行查询。第 3 页 共 17 页技术团队通过威胁情报数据关联分析，发现针对西北工业大学攻击平台所使用的网络资源共涉及 5 台代理服务器，NSA 通过秘密成立的两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的 IP 地址，并租用一批服务器。这两家公司分别为杰克史密斯咨询公司（Jackson SmithConsultants）、穆勒多元系统公司（Mueller Diversified Systems）。同时，技术团队还发现，TAO 基础设施技术处（MIT）工作人员使用“阿曼达拉米