西工大遭受网络攻击的幕后黑手浅析

admin
admin
admin
102359
文章
87
评论
2022年10月15日14:28:49评论79 views字数 2039阅读6分47秒阅读模式

1

事件脉络 


 

六月

22

西北工业大学发布公开声明,近期,该校电子邮件系统遭受网络攻击,对学校正常教学生活造成负面影响。该校第一时间报警,经过公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。


具体声明如下:
西工大遭受网络攻击的幕后黑手浅析
六月

23

西安公安通报,已立案调查。


九月

5

调查报告公布,攻击源头是美国国家安全局

警方通报:该攻击系具有美国政府背景的机构及其雇员所为。

我国外交部发表声明:要求美方立即停止不法行为。

西北工业大学声明:坚决反对一切任何形式实施网络攻击。

九月

13

美国对西北工业大学网络攻击技术细节公开。

外交部:美方未就网络攻击西北工业大学做出实质性的回应。




2

攻击概况


 

美国NSA的“特定入侵行动办公室”(TAO)对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,还利用其控制的网络攻击武器平台、“零日漏洞”(0day)和网络设备,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
特定入侵行动办公室(TAO)主要对网络中的设备批量投放漏洞、病毒,从而获取相关的权限,后面会一直潜伏,进行长期控制,并且会针对性地去窃取相关的文件。技术团队发现,特定入侵行动办公室(TAO)使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。进入到这些服务器之后,它会对网络流量进行劫持,采用中间人攻击的方式,把其他的武器投送到西北工业大学内网的主机或者服务器上。     

西工大遭受网络攻击的幕后黑手浅析

 

3

组织概况



美国国家安全局(NSA)的主要五大部门,分别是外国事务部、信息保障部、信息情报部、研究部、SCI敏感隔离信息(分类)部。

西工大遭受网络攻击的幕后黑手浅析



其中信息情报部是美国安全局最大的职能部门。该部主要由客户关系处(S1)、分析与产品处(S2)、数据侦察局(S3)、信号情报主任监管与兼容性(SV)、SIGDEV战略与治理(SSG)组成。

TAO(代号S32)组织隶属于美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)。

该组织于1997年美国国家安全局(NSA)创建,并于1998年开始运作。直到2000年,这个情报部门才被正式命名为“Office of Tailored Access Operation”,简称TAO。也就是国家计算机病毒应急处理中心和网络公司360关于西工大遭受的网络攻击调查报告中提到的“特定入侵行动办公室”。其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。

西工大遭受网络攻击的幕后黑手浅析
目前公布的六大密码中心

据可靠消息称,特定入侵行动办公室(TAO)隐藏在马里兰州米德堡的国家安全局总部大楼内,只有极少数NSA官员有权限访问这个部门的信息,由于其参与的行动都十分敏感,通往内部的入口有一扇钢门,由美国武装警卫把守。想要通过需要在键盘上输入正确的六位数密码,还要通过视网膜扫描仪才能入内。
特定入侵行动办公室(TAO)目前雇用了2000多名军人和文职人员,其中包括网络黑客,情报分析师,学者,计算机硬件和软件设计师以及电子工程师,是NSA信号情报局(代号S)最重要的一个组成部分。
特定入侵行动办公室(TAO)是专门针对他国实施大规模网络攻击窃密活动的战术实施单位,同时也是美国军方网络战司令部的关键支持系统。在美国参与的冲突事件中,特定入侵行动办公室(TAO)可以向网络战司令部提供相关的网络攻击武器,以执行攻击以禁用或摧毁其他国家的通信网络或信息系统。
特定入侵行动办公室(TAO)的主要职责是利用依赖于网络的各类型产品漏洞获取竞争对手的内部信息,包括秘密入侵目标国家的关键信息基础设施,窃取账户代码,破解或破坏计算机安全系统,监控网络流量,侵犯隐私和窃取敏感数据,并获取电话,电子邮件,网络通信和消息。

特定入侵行动办公室(TAO)的组织架构如下所示:
西工大遭受网络攻击的幕后黑手浅析
TAO组织架构及职责划分

关于西工大遭网络攻击在美国国家安全局(NSA)内部攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的,主要包括TAO负责人,S321和S325单位。

本文参考下列文章:

01 原文链接:

https://mp.weixin.qq.com/s/CfkLGhqLB3hyVcDzqUQwJQ

发布平台: 360威胁情报中心

02 原文链接:

https://mp.weixin.qq.com/s/0ReOzQMM5GS4xXRUPpKCvA

发布平台: 360威胁情报中心

03 原文链接:

https://new.qq.com/rain/a/20220930A03WUA00

发布平台: 腾讯网


原文始发于微信公众号(祺印说信安):西工大遭受网络攻击的幕后黑手浅析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月15日14:28:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   西工大遭受网络攻击的幕后黑手浅析http://cn-sec.com/archives/1350441.html

发表评论

匿名网友 填写信息