西北工业大学遭收集进攻事务的阐发与根究2022 年 9 月 5 日,中国国度计算机病毒应急处置中心和 360 公司发布陈述称:有明白证据链展现,中国西北工业大学遭到美国国度平安局的收集进攻。9 月 13 日,国度计算机病毒应急处置中心再次发布《美国 NSA 收集兵器“吃茶品茗”阐发陈述》,对该收集兵器停止手艺阐发。针对此次进攻事务,国内包罗新华社、中心电视台、外交部等在内的多家重要新闻媒体均以差别形式纷繁停止了相关报导。
一、进攻事务源起
2022 年 4 月 12 日,西北工业大学(以下简称西工大)报警称,西工巨匠生频繁收到一些非常可疑的电子邮件。
2022 年 6 月 22 日,西北工业大学发布《公开声明》称,该校遭受境外收集进攻。陕西省西安市公安局碑林分局随即发布《警情传递》,证明在西北工业大学的信息收集中发现了多款源于境外的木马样本,西安警方已对此正式立案查询拜访。
随后,国度计算机病毒应急处置中心和 360 公司结合构成的手艺团队,对该事务停止全面手艺阐发,通过查询拜访取证复原了相关进攻事务的总体概貌,发布了详尽的手艺查询拜访陈述,初步判明相关进攻活动源自美国国度平安局“特定进侵动作办公室”(后文简称 TAO)。
二、进攻施行主体 TAO 介绍
1、TAO 根本情状
TAO 是美国最神异的谍报部分之一,成立于 1998 年,其力量摆设次要依托美国国度平安局在美国和欧洲的各密码中心。目前已被公布的有 6 个密码中心。TAO 是目前美国政府专门处置对他国施行大规模收集进攻窃密活动的战术施行单元,由 2000 多名军人和文职人员构成,其内设机构包罗 7个大处。
2、TAO 次要职责
TAO 的次要职责是操纵互联网奥秘获取敌手的内幕谍报。详细包罗奥秘侵略目标国度的关键信息根底设备和重要互联网信息系统、破解窃取账号密码、打破或毁坏敌手计算机平安防护系统、监听收集流量、窃取隐私和灵敏数据,获取通话内容、电子邮件、收集通信内容和手机短信等。据掌握,TAO 还担任一项重要职责,即当美国总统号令对他国通信或收集信息系统施行瘫痪或摧毁动作时,由 TAO 将相关收集进攻兵器提赐与到美国收集战司令部,由该司令部详细组织施行收集进攻动作。
3、TAO 的次要进攻动作
TAO 的动作体例是典型的黑客体例,即进攻再进攻。在近年里,TAO 对中国国内的收集目标施行了上万次的歹意收集进攻,掌握了数以万计的收集设备(收集办事器、上彀末端、收集交换机、德律风交换机、路由器、防火墙等),窃取了超越 140GB 的高价值数据。TAO 操纵其收集进攻兵器平台、“零日破绽”及其掌握的收集设备等,继续扩展收集进攻和范畴。
根据斯诺登披露的内幕谍报,仅在 2011 年,TAO 就组织施行了至少 231次收集进攻动作,进攻动作的次要目标包罗中国、俄罗斯、伊朗和朝鲜等国度,也包罗大型企业,不分敌我。
早在 2013 年,TAO 就是斯诺登曝光的“棱镜”、Xkeyscore、“老鹰哨兵”等诸多大规模收集监控项目标次要“操盘手”。它与中情局一道,网罗全球各类数据和信息,全面感知和掌控收集空间动态,借此搜索破绽,开发收集兵器,预置进攻平台、预留做战通道,由此获得美国在收集空间的动作自在和绝对优势。
三、此次进攻的特征阐发
通过国内手艺团队的查询拜访陈述,我们能够看到此次 TAO 进攻活动有以下二个严重特征:
1、掩盖实在 IP 精心假装收集进攻陈迹
TAO 为了隐匿其对西北工业大学等中国信息收集施行收集进攻的行为,做了长时间预备工做,而且停止了精心假装。较长时间的预备工做次要是停止匿名化进攻根底设备的建立。
TAO 在针对西北工业大学的收集进攻动作中先后利用了 54 台跳板机和代办署理办事器,次要散布在日本、韩国、瑞典、波兰、乌克兰等 17 个国度,此中 70%位于中国周边国度,如日本、韩国等。此中,用以掩盖实在 IP 的跳板机都是精心挑选,所有 IP 均回属于非“五眼联盟”国度。
针对西北工业大学进攻平台所利用的收集资本涉及代办署理办事器,美国国度平安局通过奥秘成立的两家保护公司购置了埃及、荷兰和哥伦比亚等地的 IP,并租用了一批办事器。
2、利用了品种繁多功用各别的公用收集进攻兵器配备
TAO 在对西北工业大学的收集进攻动作中,先后利用了 41 种 NSA 的公用收集进攻兵器配备。而且在进攻过程中,TAO 会根据目标情况对统一款收集兵器停止乖巧设置装备摆设。手艺团队将此次进攻活动中 TAO 所利用东西类别分为四大类,详细包罗:
1)破绽进攻打破类兵器:TAO 依托此类兵器对西北工业大学的鸿沟收集设备、网关办事器、办公内网主机等施行进攻打破,同时也用来进攻掌握境外跳板机以构建匿名化收集做为动作保护。此类兵器共有 3 种:①“剃须刀”②“孤岛”③“酸狐狸”兵器平台。
2)耐久化掌握类兵器:TAO 依托此类兵器对西北工业大学收集停止隐蔽耐久掌握,TAO 动作队可通过加密通道发送掌握指令操做此类兵器施行对西北工业大学收集的渗入、掌握、窃密等行为。此类兵器共有 5 种:①“二次约会”、②“NOPEN”、③“怒火喷射”、④“狡诈异端犯”、⑤“坚忍外科医生”。
3)嗅探窃密类兵器:TAO 依托此类兵器嗅探西北工业大学工做人员运维收集时利用的账号口令、号令行操做笔录,窃取西北工业大学收集内部的灵敏信息和运维数据等。此类兵器共有两种:①“吃茶品茗”、②“敌后动作”系列兵器,含“魔法学校”、“小丑食物”和“咒骂之火”等。
4)隐蔽消痕类兵器:TAO 依托此类兵器消弭其在西北工业大学收集内部的行为陈迹,隐躲、掩饰其歹意操做和窃密行为,同时为上述三类兵器供给庇护。现已发现 1 种此类兵器:“吐司面包” ,有多个版本。
四、几点根究
1、收集平安关系国度平安再次得到严重警示
西北工业大学是目前我国处置航空、航天、航海工程教导和科学研究范畴的重点大学,拥有大量国度顶级科研团队和高端人才,承担国度多个重点科研项目,地位非常特殊,收集平安非常关键。因为其所具有的特殊地位和处置的灵敏科学研究,所以才成为此次收集进攻的针对性目标。
此次查询拜访陈述披露,美国国度平安局操纵大量收集进攻兵器,针对我国各行业龙头企业、政府、大学、医疗、科研等机构持久停止奥秘黑客进攻活动。对准国度的那类科研机构、政府部分、军工单元、高校那些重要处所来窃取谍报或者窃取数据,它从进攻从筹谋到摆设,到通过很长的那种跳板,不断到攻进核心岗位里面,可能继续的时间有的要长达数年,危害十分大。将来我国将全面开展数字化建立,良多重要营业都将由数据来驱动,数据一旦被盗窃或被毁坏,势必对国度平安带来严峻的风险。
2、展示了国内收集进攻溯源手艺与才能的严重打破
针对此次进攻事务,国内相关手艺团队通过取证阐发,公布了相关事务查询拜访的良多手艺细节,全面复原了相关进攻事务的总体概貌、手艺特征、进攻兵器、进攻途径和进攻泉源,细节清晰,链条完全,证据切当,那表白了国内在收集进攻溯源手艺与才能上有了显著提拔并获得严重打破。
一般而言,胜利的收集进攻从侦查、谍报搜集、定向研发并植进收集兵器到最初的进攻等,具备一个完全且继续的杀伤链条。此次发布的查询拜访陈述,以取自受进攻系统的歹意软件样本为根底,综合操纵国内现有数据资本和阐发手段,把进攻的各环节、全流程复原得一览无余。包罗侦破了40 余种、4 大类进攻兵器和配备,发现了 1100 余条进攻链路和 90 余个操做指令序列,查获被窃的收集设备设置装备摆设文件、口令、日记和密钥等多量重要数据,找出进攻动作代号及其批示人和间接倡议进攻人 13 名等,最初判明进攻源自美国国度平安局部属的 TAO。陈述公布距 6 月 22 日正式立案查询拜访仅过往两个半月,但查询拜访之快速、阐发之缜密、结论之明白,足以阐明中国收集平安手艺部分和企业在收集进攻溯源阐发程度、收集威胁谍报搜集和积存方面获得跃进。
3、美国做为具有更先进手艺的更大黑客国度的事实被再次印证
不断以来,美国习用对所谓中国黑客停止“点名”和“侮辱”的手法,频抛牵强附会的所谓证据,以至纠集友邦联手指控中国对其策动收集进攻。通过饰演受害者,美国塑造国际叙事,衬着放大收集威胁,死力抹黑和丑化中国形象,并喊嚣让进攻者承担后果,为其摘取告状、造裁等单边办法供给遁辞。此次西北工业大学收集进攻查询拜访陈述就是对美国衬着“中国收集威胁论”的最有力还击。
2022 年 3 月以来,我国接连披露了 NSA 和中表情报局的蜂巢、量子进攻、NOPEN 及“酸狐狸”等多款主战收集兵器,其触及范畴之广、摆设时间之长、毁坏水平之大令人咋舌,可知各类软硬件、设备和末端都是美国谍报部分的“囊中之物”。由此可见,中国陆续披露的美国进攻才能仅是冰山一角,美国收集动作的范畴和目标要远远大于已知,无疑将置全球收集的一般运行和列国重要数据的平安于浩荡求助紧急之中。
五、结 语
毋庸置疑,在收集化、数字化和智能化海潮下,收集平安的懦弱点、进攻面都大幅增加,收集监听、收集进攻是全球公害和全球性挑战,没有哪个国度能够置身事外、独善其身。
此次中国勇于亮剑,既得益于持久的手艺和信息储蓄,更表白了中国震慑、发现以至阻遏国度撑持的大规模收集进攻的才能和决心。此次中国对美国收集进攻的全盘揭露,无论从庇护本国收集空间国度利益,仍是从保障全球收集空间的和平与平安角度看,意义严重且影响深远。
《信息平安与通信保密》杂志投稿
邮箱:xxaqtgxt@163.com
《通信手艺》杂志投稿
邮箱:txjstgyx@163.com
暗夜幽灵