攻击源头查明:美国国家安全局

6月22日,西北工业大学发布声明称,遭到境外网络攻击。9月5日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》(简称《调查报告》)。

《调查报告》披露,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。

截图来源:国家计算机病毒应急处理中心官网

本次调查发现,在近年里,TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。

经技术分析与溯源,技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。

在针对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。

《调查报告》介绍,此次攻击活动中TAO所使用的网络攻击武器可分为四大类:

1、漏洞攻击突破类武器,包括“剃须刀”“孤岛”和“酸狐狸”武器平台等;

2、持久化控制类武器,包括“二次约会”“NOPEN”“怒火喷射”“狡诈异端犯”“坚忍外科医生”等;

3、嗅探窃密类武器,包括“饮茶”和“敌后行动”系列武器等;

4、隐蔽消痕类武器,包括“吐司面包” 等。

技术团队结合相关技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻击行动的是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。

TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成。

△ TAO组织架构及参与“阻击XXXX”行动的TAO子部门 图源:央视新闻客户端

美国国家安全局(NSA)针对西北工业大学的攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的主要包括TAO负责人,S321和S325单位。

△ 罗伯特•乔伊斯(Robert E. Joyce)图源:央视新闻客户端

NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特•乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰斯•霍普金斯大学,获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全主管。

《调查报告》是基于国家计算机病毒应急处理中心与360公司联合技术团队的分析成果,揭露了美国NSA长期以来针对包括西北工业大学在内的中国信息网络用户和重要单位开展网络间谍活动的真相。后续技术团队还将陆续公布相关事件调查的更多技术细节。

发表评论
留言与评论(共有 0 条评论) “”
   
验证码:

相关文章

推荐文章