今年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击,随后西安警方对此正式立案调查,中国国家计算机病毒应急处理中心和360公司联合组成技术团队全程参与了此案的技术分析工作,并于9月5日发布了第一份“西北工业大学遭受美国NSA网络攻击调查报告”,调查报告指出此次网络攻击源头系美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)。今天(27日),技术团队再次发布相关网络攻击的调查报告,报告披露,特定入侵行动办公室(TAO)在对西北工业大学发起网络攻击过程中构建了对我国基础设施运营商核心数据网络远程访问的(所谓)“合法”通道,实现了对我国基础设施的渗透控制。
此次调查报告显示,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
360公司网络安全专家边亮:它可以通过漏洞的方式去批量地对网络当中的设备或者说一段IP进行这种批量的投漏洞、投病毒,从而获取相关的权限,这个是可以做到自动化的。它后续需要进行潜伏,进行长期控制,并且需要有针对性地去窃取相关的这种文件。这个过程中是背后需要有人来操作,来指定到底去窃取什么去做什么,以及最后在撤退的时候需要销毁,那么这个过程其实都是由人在背后去控制的,属于半自动化。
技术团队发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)经过长期的精心准备,使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。
国家计算机病毒应急处理中心高级工程师杜振华:进入到这些服务器之后,它会对网络流量进行劫持,那么采用这种中间人攻击的方式,把其他的武器投送到西北工业大学内网的主机或者服务器上,投送成功之后,尤其是投送持久控制类武器之后,可以说获得了西北工业大学内网的访问权。那么在这个基础上,会对内网进行这种探测,去寻找高价值的服务器,高价值的主机,然后再向这些服务器和主机进行横向移动,成功地进入之后,可以去部署这种嗅探窃密类的武器。
报告显示,特定入侵行动办公室(TAO)通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。
360公司网络安全专家边亮:它控制了西北工大(相关设备)之后,相当于利用西北工大再去对其他单位进行攻击,这个过程是一个打引号的合法。相当于我们数据库当中有类似于这种人脸识别这么一个防护机制一样。如果说一个比如美国人来的话,我们直接给他拦住了,不让他进去,但是他刷了比如像西工大的脸,我们认为他是一个正常的用户,那么在网络数据当中就对他进行了一个放行这么一个操作。但实际上西工大的相关服务器是被美国(TAO)所控制的,那么(TAO)去进一步对其他单位产生攻击。
技术团队根据特定入侵行动办公室(TAO)攻击链路、渗透方式、木马样本等特征,关联发现其非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的(所谓)“合法”通道,实现了对中国基础设施的渗透控制。
报告显示,特定入侵行动办公室(TAO)通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以(所谓)“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
此次调查报告披露,美国国家安全局(NSA)下属特定入侵行动办公室(TAO)在网络攻击西北工业大学过程中,暴露出多项技术漏洞,多次出现操作失误,相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局(NSA)。
调查发现,美国国家安全局(NSA)下属特定入侵行动办公室(TAO)在使用tipoff激活指令和远程控制NOPEN木马时,必须通过手动操作,从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。
首先,根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。其次,美国时间的全部周六、周日中,均未发生对西北工业大学的网络攻击行动。第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。
国家计算机病毒应急处理中心高级工程师杜振华:TAO对西北工业大学的这次网络攻击当中,它体现出这种技术复杂度比较高,攻击的周期比较长,人工的这种操作的工作量是比较多,那么在这种条件下,出现人为失误,人为错误的这种概率,也是相对比较高。那么这些失误,可以被我们用来进行这种归因的分析,根据归因的分析,比如说这次它在事故当中泄露出的指令的字符串,还有代码中的一些特征的字符串,那么它反映出的这种自然语言的特征,它是符合这种英语母语国家的特点。
技术团队在对网络攻击者长时间追踪和反渗透过程中发现,攻击者具有以下语言特征:一是攻击者有使用美式英语的习惯;二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击者使用美式键盘进行输入。
360公司网络安全专家边亮:比如说我们抓到了一次,它在攻击的过程中,它发送脚本的命令是有错的,发错了,写错了,然后它这个工具会对攻击者进行提示,哪里出错会把出错信息返回给攻击者,给他以提示,这个信息里边就包括了攻击者他当前操作系统的环境,这样一来其实就暴露了攻击者相关的信息是美国的作战办公室(TAO)。
技术团队发现,北京时间20××年5月16日5时36分,对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系特定入侵行动办公室(TAO)网络攻击武器工具目录的专用名称(autoutils)。
Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569
技术团队发现,此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中,有16款工具与(2016年)“影子经纪人”曝光的TAO武器完全一致;有23款工具虽然与“影子经纪人”曝光的工具不完全相同,但其基因相似度高达97%,属于同一类武器,只是相关配置不相同;另有2款工具无法与“影子经纪人”曝光工具进行对应,但这2款工具需要与TAO的其它网络攻击武器工具配合使用,因此这批武器工具明显具有同源性,都归属于TAO。
![9月最新报告!西工大遭美国NSA网络攻击调查:美国家安全局对我国基础设施渗透控制]( "9月最新报告!西工大遭美国NSA网络攻击调查:美国家安全局对我国基础设施渗透控制")
![9月最新报告!西工大遭美国NSA网络攻击调查:美国家安全局对我国基础设施渗透控制]( "9月最新报告!西工大遭美国NSA网络攻击调查:美国家安全局对我国基础设施渗透控制")
![9月最新报告!西工大遭美国NSA网络攻击调查:美国家安全局对我国基础设施渗透控制]( "9月最新报告!西工大遭美国NSA网络攻击调查:美国家安全局对我国基础设施渗透控制")
技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址,举例如下:
![9月最新报告!西工大遭美国NSA网络攻击调查:美国家安全局对我国基础设施渗透控制]( "9月最新报告!西工大遭美国NSA网络攻击调查:美国家安全局对我国基础设施渗透控制")
360公司网络安全专家 边亮:每个程序开发者或者说每个作者他都会有他的相关习惯,比如说类似于我们写字一样笔体一样,这个习惯他不会说一两天就很轻易去更改,那么程序也是这个道理,它里边有很多这种逻辑,它的算法包括它的这种数据结构,所以我们会通过分析去抓它这个习惯,从而进行综合的对比,来找它到底是不是属于同一类型或者同一个家族同一个基因的这么一套攻击武器。
技术团队综合分析发现,在对中国目标实施的上万次网络攻击,特别是对西北工业大学发起的上千次网络攻击中,部分攻击过程中使用的武器攻击,在(2016年)“影子经纪人”曝光NSA武器装备前便完成了木马植入。按照NSA的行为习惯,上述武器工具大概率由TAO雇员自己使用。
据了解,技术团队通过相关技术手段,对西北工业大学遭受网络攻击的痕迹和现场环境进行了取证分析,判断出了美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)当时攻击的手法和时间,并且披露了其中相关网络攻击的典型案例。
1、窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据
调查报告显示,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”,长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。
技术团队发现,西北工业大学遭到嗅探的网络设备类型包括固定互联网的接入网设备(路由器、认证服务器等)、核心网设备(核心路由器、交换机、防火墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),内容包括账号、口令、设备配置、网络配置等信息。
北京时间20××年12月11日6时52分,TAO以位于日本京都大学的代理服务器(IP:130.54.××.××)为攻击跳板,非法入侵了西北工业大学运维网络的“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件,然后清痕退出。窃取数据包括路由器、核心网设备(核心路由器、交换机、防火墙)管理账号、口令、设备配置、网络配置等信息。
2、窃取西北工业大学网络设备运维配置文件和日志文件
美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)长期攻击入侵西北工业大学网络运维管理服务器,秘密窃取网络设备运维配置文件和日志文件。
北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。
美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。
北京时间20××年3月7日22:53,美国国家安全局“特定入侵行动办公室”(TAO)通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。
同日15:02,TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。
国家计算机病毒应急处理中心高级工程师 杜振华:TAO在这次针对西北工业大学的攻击中使用了很多类的这种网络武器,具体来说比如酸狐狸,那么它属于典型的漏洞突破类的武器,它通过这种中间人的攻击的方式,可以向内网的被受害的主机去投送其他的网络武器,像怒火喷射、绝不公开这种持久控制类武器,它就可以根据这种TAO远程发送的这种控制指令来实施在内网的进一步的攻击渗透,横向移动,可以部署像嗅探窃密类的武器,通过嗅探窃密类武器,像饮茶,它可以窃取更多的远程管理主机账号密码。
360公司网络安全专家 边亮:饮茶这种武器,它类似于我们战争中的间谍,它可以在网络当中去窃听我们的流量数据。它通过网络数据这种监听,就可以窃取到我们相关的这种敏感的数据和信息,就类似于我们两个人聊天当中可能有第三者进行隔墙有耳这种监听一样。
据技术团队分析,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)以上述手法,利用相同的武器工具组合,“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作,成功提取并固定了上述武器工具样本,并成功完成了技术分析,拟适时对外公布,协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。
技术团队经过持续攻坚,成功锁定了美国国家安全局(NSA)下属特定入侵行动办公室(TAO)对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端,发现了攻击实施者的身份线索,并成功查明了13名攻击者的真实身份。
报告显示,国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与了此案的技术分析工作,技术团队得到欧洲、东南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)的特定入侵行动办公室(TAO)。本系列研究报告将为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。
中国科技大学公共事务学院网络空间安全学院教授左晓栋:由于网络攻击它是跨国界的,所以网络攻击的溯源,无论是在技术上,还是在程序上,都有巨大的难度。
专家表示,网络空间是人类的共同家园,网络攻击是全球面临的共同威胁,维护网络安全是国际社会的共同责任。针对此类网络攻击,更需要相关国家通力合作才能揪出幕后黑手。
9月8日,外交部美大司司长杨涛就美国对我西北工业大学实施网络攻击窃密向美国驻华使馆提出严正交涉。
杨涛指出,日前,中国国家计算机病毒应急处理中心和360公司发布美国国家安全局下属部门对中国西北工业大学实施网络攻击的调查报告,有关事实清清楚楚,证据确凿充分。这不是美国政府第一次对中国机构实施网络攻击和窃密敏感信息。美方行径严重侵犯中国有关机构的技术秘密,严重危害中国关键基础设施、机构和个人信息安全,必须立即停止。
来源:央广网、新华网
原文始发于微信公众号(内生安全联盟):9月最新报告!西工大遭美国NSA网络攻击调查:美国家安全局对我国基础设施渗透控制
评论