攻擊滲透我國基礎設施!美國NSA網絡攻擊西工大更多細節公布
美國國家安全局NSA對我國西北工業大學發起網絡攻擊事件,又有新的細節公開。
9月27日,國家計算機病毒應急處理中心發布《西北工業大學遭美國NSA網絡攻擊事件調查報告(之二)》,披露了美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)攻擊滲透西北工業大學的流程、竊取西北工業大學和中國運營商敏感信息,公布了TAO網絡攻擊西北工業大學所使用的武器平臺IP列表及所用跳板IP列表。
今年6月22日,西北工業大學發布《公開聲明》稱,該校遭受境外網絡攻擊,隨后西安警方對此正式立案調查,中國國家計算機病毒應急處理中心和360公司聯合組成技術團隊全程參與了此案的技術分析工作,并于9月5日發布了第一份“西北工業大學遭受美國NSA網絡攻擊調查報告”,調查報告指出此次網絡攻擊源頭系美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)。
單點突破、逐步滲透、長期竊密
TAO竊取西工大關鍵敏感數據
今天發布的第二份調查報告顯示,美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)對他國發起的網絡攻擊技戰術針對性強,采取半自動化攻擊流程,單點突破、逐步滲透、長期竊密。
360公司網絡安全專家 邊亮:它可以批量對網絡中的設備或者一段IP進行投漏洞、投病毒,從而獲取相關權限,這可以做到自動化。它后續需要進行潛伏和長期控制,并且需要有針對性地去竊取相關文件,以及在撤退時需要銷毀,這背后需要有人來操作。整個過程屬于半自動化。
技術團隊發現,特定入侵行動辦公室(TAO)經過長期的精心準備,使用“酸狐貍”平臺對西北工業大學內部主機和服務器實施中間人劫持攻擊,部署“怒火噴射”遠程控制武器,控制多臺關鍵服務器,進一步部署嗅探竊密類武器。
TAO利用竊取到的賬號口令
滲透控制中國基礎設施核心設備
報告顯示,特定入侵行動辦公室(TAO)通過竊取西北工業大學運維和技術人員遠程業務管理的賬號口令、操作記錄以及系統日志等關鍵敏感數據,掌握了一批網絡邊界設備賬號口令、業務設備訪問權限、路由器等設備配置信息、FTP服務器文檔資料信息。
360公司網絡安全專家 邊亮:它控制了西工大相關設備之后,利用西工大再去對其他單位進行攻擊,這個過程是打引號的“合法”。相當于我們數據庫中有一個類似于人臉識別的防護機制。比如說一個美國人來的話,可以直接攔住,但是他刷了西工大的臉,我們就會認為他是一個正常的用戶,對他放行。但實際上西工大的相關服務器是被TAO所控制的,TAO進一步對其他單位發動攻擊。
技術團隊根據特定入侵行動辦公室(TAO)攻擊鏈路、滲透方式、木馬樣本等特征,關聯發現其非法攻擊滲透中國境內的基礎設施運營商,構建了對基礎設施運營商核心數據網絡遠程訪問的(所謂)“合法”通道,實現了對中國基礎設施的滲透控制。
竊取中國境內敏感身份人員隱私數據
報告顯示,特定入侵行動辦公室(TAO)通過掌握的中國基礎設施運營商的思科PIX防火墻、天融信防火墻等設備的賬號口令,以(所謂)“合法”身份進入運營商網絡,隨后實施內網滲透拓展,分別控制相關運營商的服務質量監控系統和短信網關服務器,利用“魔法學校”等專門針對運營商設備的武器工具,查詢了一批中國境內敏感身份人員,并將用戶信息打包加密后經多級跳板回傳至美國國家安全局總部。
