西北工业大学遭网络攻击事件的分析与思考2022 年 9 月 5 日,中国国家计算机病毒应急处理中心和 360 公司发布报告称:有明确证据链显示,中国西北工业大学遭到美国国家安全局的网络攻击。9 月 13 日,国家计算机病毒应急处理中心再次发布《美国 NSA 网络武器“饮茶”分析报告》,对该网络武器进行技术分析。针对此次攻击事件,国内包括新华社、中央电视台、外交部等在内的多家重要新闻媒体均以不同形式纷纷进行了相关报道。
2022 年 4 月 12 日,西北工业大学(以下简称西工大)报警称,西工大师生频繁收到一些十分可疑的电子邮件。
2022 年 6 月 22 日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。
随后,国家计算机病毒应急处理中心和 360 公司联合组成的技术团队,对该事件进行全面技术分析,通过调查取证还原了相关攻击事件的总体概貌,发布了详细的技术调查报告,初步判明相关攻击活动源自美国国家安全局“特定入侵行动办公室”(后文简称 TAO)。
TAO 是美国最神秘的情报部门之一,成立于 1998 年,其力量部署主要依托美国国家安全局在美国和欧洲的各密码中心。目前已被公布的有 6 个密码中心。TAO 是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由 2000 多名军人和文职人员组成,其内设机构包括 7个大处。
TAO 的主要职责是利用互联网秘密获取对手的内幕情报。具体包括秘密侵入目标国家的关键信息基础设施和重要互联网信息系统、破解窃取账号密码、突破或破坏对手计算机安全防护系统、监听网络流量、窃取隐私和敏感数据,获取通话内容、电子邮件、网络通信内容和手机短信等。据掌握,TAO 还担负一项重要职责,即当美国总统命令对他国通讯或网络信息系统实施瘫痪或摧毁行动时,由 TAO 将相关网络攻击武器提供给到美国网络战司令部,由该司令部具体组织实施网络攻击行动。
TAO 的行动方式是典型的黑客方式,即攻击再攻击。在近年里,TAO 对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过 140GB 的高价值数据。TAO 利用其网络攻击武器平台、“零日漏洞”及其控制的网络设备等,持续扩大网络攻击和范围。
根据斯诺登披露的内幕情报,仅在 2011 年,TAO 就组织实施了至少 231次网络攻击行动,攻击行动的主要目标包括中国、俄罗斯、伊朗和朝鲜等国家,也包括大型企业,不分敌我。
早在 2013 年,TAO 就是斯诺登曝光的“棱镜”、Xkeyscore、“老鹰哨兵”等诸多大规模网络监控项目的主要“操盘手”。它与中情局一道,网罗全球各种数据和信息,全面感知和掌控网络空间动态,借此搜刮漏洞,开发网络武器,预置攻击平台、预留作战通道,由此获得美国在网络空间的行动自由和绝对优势。
通过国内技术团队的调查报告,我们可以看到此次 TAO 攻击活动有以下二个重大特点:
TAO 为了隐匿其对西北工业大学等中国信息网络实施网络攻击的行为,做了长时间准备工作,并且进行了精心伪装。较长时间的准备工作主要是进行匿名化攻击基础设施的建设。
TAO 在针对西北工业大学的网络攻击行动中先后使用了 54 台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等 17 个国家,其中 70%位于中国周边国家,如日本、韩国等。其中,用以掩盖真实 IP 的跳板机都是精心挑选,所有 IP 均归属于非“五眼联盟”国家。
针对西北工业大学攻击平台所使用的网络资源涉及代理服务器,美国国家安全局通过秘密成立的两家掩护公司购买了埃及、荷兰和哥伦比亚等地的 IP,并租用了一批服务器。
TAO 在对西北工业大学的网络攻击行动中,先后使用了 41 种 NSA 的专用网络攻击武器装备。并且在攻击过程中,TAO 会根据目标环境对同一款网络武器进行灵活配置。技术团队将此次攻击活动中 TAO 所使用工具类别分为四大类,具体包括:
1)漏洞攻击突破类武器:TAO 依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有 3 种:①“剃须刀”②“孤岛”③“酸狐狸”武器平台。
2)持久化控制类武器:TAO 依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO 行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有 5 种:①“二次约会”、②“NOPEN”、③“怒火喷射”、④“狡诈异端犯”、⑤“坚忍外科医生”。
3)嗅探窃密类武器:TAO 依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种:①“饮茶”、②“敌后行动”系列武器,含“魔法学校”、“小丑食物”和“诅咒之火”等。
4)隐蔽消痕类武器:TAO 依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。现已发现 1 种此类武器:“吐司面包” ,有多个版本。
西北工业大学是目前我国从事航空、航天、航海工程教育和科学研究领域的重点大学,拥有大量国家顶级科研团队和高端人才,承担国家多个重点科研项目,地位十分特殊,网络安全十分关键。由于其所具有的特殊地位和从事的敏感科学研究,所以才成为此次网络攻击的针对性目标。
此次调查报告披露,美国国家安全局利用大量网络攻击武器,针对我国各行业龙头企业、政府、大学、医疗、科研等机构长期进行秘密黑客攻击活动。瞄准国家的这类科研机构、政府部门、军工单位、高校这些重要地方来窃取情报或者窃取数据,它从攻击从策划到部署,到通过很长的这种跳板,一直到攻入核心岗位里面,大概持续的时间有的要长达数年,危害非常大。未来我国将全面开展数字化建设,很多重要业务都将由数据来驱动,数据一旦被偷窃或被破坏,必将对国家安全带来严重的风险。
针对此次攻击事件,国内相关技术团队通过取证分析,公布了相关事件调查的很多技术细节,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,细节清晰,链条完整,证据确凿,这表明了国内在网络攻击溯源技术与能力上有了显著提升并取得重大突破。
一般而言,成功的网络攻击从侦察、情报搜集、定向研发并植入网络武器到最后的攻击等,具备一个完整且持续的杀伤链条。此次发布的调查报告,以取自受攻击系统的恶意软件样本为基础,综合利用国内现有数据资源和分析手段,把攻击的各环节、全流程还原得一清二楚。包括侦破了40 余种、4 大类攻击武器和装备,发现了 1100 余条攻击链路和 90 余个操作指令序列,查获被窃的网络设备配置文件、口令、日志和密钥等大批重要数据,找出攻击行动代号及其指挥人和直接发起攻击人 13 名等,最后判明攻击源自美国国家安全局下属的 TAO。报告公布距 6 月 22 日正式立案调查仅过去两个半月,但调查之快速、分析之缜密、结论之明确,足以说明中国网络安全技术部门和企业在网络攻击溯源分析水平、网络威胁情报搜集和积累方面取得跃进。
3、美国作为具有最先进技术的最大黑客国家的事实被再次印证
一直以来,美国惯用对所谓中国黑客进行“点名”和“羞辱”的伎俩,频抛牵强附会的所谓证据,甚至纠集盟国联手指控中国对其发动网络攻击。通过扮演受害者,美国塑造国际叙事,渲染放大网络威胁,极力抹黑和丑化中国形象,并叫嚣让攻击者承担后果,为其采取起诉、制裁等单边措施提供托辞。此次西北工业大学网络攻击调查报告就是对美国渲染“中国网络威胁论”的最有力还击。
2022 年 3 月以来,我国接连披露了 NSA 和中央情报局的蜂巢、量子攻击、NOPEN 及“酸狐狸”等多款主战网络武器,其触及范围之广、部署时间之长、破坏程度之大令人咋舌,可知各种软硬件、设备和终端都是美国情报部门的“囊中之物”。由此可见,中国陆续披露的美国攻击能力仅是冰山一角,美国网络行动的范围和目标要远远大于已知,无疑将置全球网络的正常运行和各国重要数据的安全于巨大危险之中。
毋庸置疑,在网络化、数字化和智能化浪潮下,网络安全的脆弱点、攻击面都大幅增加,网络监听、网络攻击是全球公害和全球性挑战,没有哪个国家可以置身事外、独善其身。
此次中国敢于亮剑,既得益于长期的技术和信息储备,更表明了中国震慑、发现甚至阻止国家支持的大规模网络攻击的能力和决心。此次中国对美国网络攻击的全盘揭露,无论从维护本国网络空间国家利益,还是从保障全球网络空间的和平与安全角度看,意义重大且影响深远。
原文始发于微信公众号(信息安全与通信保密杂志社):西北工业大学遭网络攻击事件的分析与思考
评论