9月5日,国家相关部门发布了关于西北工业大学遭受境外网络攻击的调查报告,调查发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备,疑似窃取了高价值数据。
揭秘幕后真凶:美国特定入侵行动办公室
我国技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(OfficeofTailoredAccessOperation,简称TAO)。
TAO隶属于美国国家安全局(NSA)下属特定入侵行动办公室(TAO)部门,成立于年,具体位置在马里兰州米德堡(FortMeade)的大型国家安全局总部大楼内,是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由多名军人和文职人员组成,下设10个处室。
与该机构其他部门隔离的大型办公室中,对许多国家安全局员工来说是一个谜。相对而言,很少有国家安全局官员能够完全获得有关TAO的信息,因为TAO的办公区域非常敏感,并且需要特殊的安全许可才能进入NSA内部空间。
据NSA前官员称,TAO的使命就是通过秘密入侵外国目标的计算机和电信系统,破解密码,破坏保护目标计算机的计算机安全系统,窃取存储在计算机硬盘驱动器上的数据,然后复制在目标电子邮件和文本消息传递系统中的所有消息和数据流量,用以收集有关外国目标的情报信息。TAO还负责开发信息,如果总统指示,美国可以通过网络攻击摧毁或损坏其他国家的计算机和电信系统。
据悉,此案在NSA内部攻击行动代号为“阻击XXXX”(shotXXXX)。直接参与指挥与行动的主要包括TAO负责人,远程操作中心(主要负责操作武器平台和工具进入并控制目标系统或网络)以及任务基础设施技术处(负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络)。
除此之外,还有四个处室参与了此次行动,分别是:先进/接入网络技术处、数据网络技术处、电信网络技术处负责提供负责提供技术支撑,需求与定位处则负责确定攻击行动战略和情报评估。
40余种攻击武器,数次攻击西北工业大学
此次遭受攻击的西北工业大学位于陕西西安,隶属于工业和信息化部,是一所多科性、研究型、开放式大学。西北工业大学是目前我国从事航空、航天、航海工程教育和科学研究领域的重点大学,拥有大量国家顶级科研团队和高端人才,承担国家多个重点科研项目,地位十分特殊,网络安全十分关键。由于其所具有的特殊地位和从事的敏感科学研究,所以才成为此次网络攻击的针对性目标。
针对西北工业大学的网络攻击中,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)使用了40余种不同的专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过GB的高价值数据。
TAO掩盖真实IP伪装网络攻击痕迹
TAO利用其网络攻击武器平台、“零日漏洞"(0day)及其控制的网络设备等,持续扩大网络攻击和范围。为掩护其攻击行动,TAO在开始行动前进行了较长时间的准备工作,主要进行弱名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN大马程序(参与有关研究报告),控制了大批跳板机。
据了解,TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
这些跳板机的功能仅限指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为.59.36.、69..54.、...和...*。同时为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Reaister公司的域名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。
TAO长期无差别监听中国手机用户
据央视新闻报道,中国外交部发言人毛宁表示,根据国家计算机病毒应急处理中心和公司联合技术团队的技术分析与追踪溯源,美国国家安全局对中国实施网络攻击和数据窃密的证据链清晰完整,涉及在美国国内对中国直接发起网络攻击的人员13名,以及为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件余份。
TAO利用其网络攻击,持续对全球互联网用户实施无差别数据窃密。包括秘密侵入目标国家的关键信息基础设施和重要互联网信息系统、破解窃取账号密码、突破或破坏对手计算机安全防护系统、监听网络流量等。
我国技术团队发现,在西北工业大学等机构所遭受的相关网络攻击活动开始前,美国多家大型知名互联网企业助纣为虐,将掌握的中国大量通信网络设备的管理权限提供给NSA等情报机构,“为持续侵入中国国内的重要信息网络大开方便之门”。并且美方长期对中国的手机用户进行无差别语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。从整起攻击事件来看,这也再度揭开了美国这个“黑客帝国”背后的重重黑幕。
守护网络安全,保证国家安全!
相比于军事攻击,网络攻击更隐蔽,让人防不胜防。截止到目前不仅只有被誉为“国防七子”之一的西北工业大学遭到了境外黑客的网络攻击。此前,中国国防部、中国航空公司、中国航天均遭受到了不同程度的境外网络攻击。对于我国一些重要机构或部门而言,遭到境外网络攻击更是可以用“家常便饭”来形容。
一直以来,美国国家安全局(NSA)针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害,值得我们深思与警惕。
做好攻防演练,提前发现问题,及时处置问题
1.资产绘制:清查遗留、闲置或者不知道的所属信息化资产,确保资产的全面性;
2.基线核查:帮助客户建立健全基础安全基线防护策略;
3.安全合规性检查:帮助客户准确了解信息化资产现状对比国家标准要求的差距;
4.渗透测试:对客户授权下的应用系统进行非破坏性攻击测试,发现系统最脆弱的环节;
5.风险评估:通过科学方法进行信息系统安全风险评估,使客户能够准确“定位”风险管理的策略、实践和工具;
6.失陷检测:快速定位失陷主机,可以及时控制损失;
7.攻击溯源:帮助客户追踪事件源头,找出安全事件发生根因;
8.安全应急响应:及时发现存在的网络安全攻击行为,并进行联动处置,帮助客户快速恢复业务,通过指导安全加固,防止同类安全事件再次发生,保障信息系统正常安全运行。