中國國家計算機(jī)病毒應(yīng)急處理中心網(wǎng)站9月27日發(fā)布西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報告（之二）。

　　2022年6月22日，西北工業(yè)大學(xué)發(fā)布《公開聲明》稱，該校遭受境外網(wǎng)絡(luò)攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報》，證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬和惡意程序樣本，西安警方已對此正式立案調(diào)查。

　　中國國家計算機(jī)病毒應(yīng)急處理中心和360公司全程參與了此案的技術(shù)分析工作。技術(shù)團(tuán)隊先后從西北工業(yè)大學(xué)的多個信息系統(tǒng)和上網(wǎng)終端中提取到了木馬程序樣本，綜合使用國內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段，并得到歐洲、東南亞部分國家合作伙伴的通力支持，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關(guān)攻擊活動源自于美國國家安全局（NSA）的“特定入侵行動辦公室”（即：Office of Tailored Access Operation，后文簡稱“TAO”）。

　　本系列研究報告將公布TAO對西北工業(yè)大學(xué)發(fā)起的上千次網(wǎng)絡(luò)攻擊活動中，某些特定攻擊活動的重要細(xì)節(jié)，為全球各國有效發(fā)現(xiàn)和防范TAO的后續(xù)網(wǎng)絡(luò)攻擊行為提供可以借鑒的案例。

　　一、TAO攻擊滲透西北工業(yè)大學(xué)的流程

　　TAO對他國發(fā)起的網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)針對性強(qiáng)，采取半自動化攻擊流程，單點(diǎn)突破、逐步滲透、長期竊密。

　?。ㄒ唬﹩吸c(diǎn)突破、級聯(lián)滲透，控制西北工業(yè)大學(xué)網(wǎng)絡(luò)

　　經(jīng)過長期的精心準(zhǔn)備，TAO使用“酸狐貍”平臺對西北工業(yè)大學(xué)內(nèi)部主機(jī)和服務(wù)器實(shí)施中間人劫持攻擊，部署“怒火噴射”遠(yuǎn)程控制武器，控制多臺關(guān)鍵服務(wù)器。利用木馬級聯(lián)控制滲透的方式，向西北工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)深度滲透，先后控制運(yùn)維網(wǎng)、辦公網(wǎng)的核心網(wǎng)絡(luò)設(shè)備、服務(wù)器及終端，并獲取了部分西北工業(yè)大學(xué)內(nèi)部路由器、交換機(jī)等重要網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的控制權(quán)，竊取身份驗證數(shù)據(jù)，并進(jìn)一步實(shí)施滲透拓展，最終達(dá)成了對西北工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)的隱蔽控制。

　?。ǘ╇[蔽駐留、“合法”監(jiān)控，竊取核心運(yùn)維數(shù)據(jù)

　　TAO將作戰(zhàn)行動掩護(hù)武器“精準(zhǔn)外科醫(yī)生”與遠(yuǎn)程控制木馬NOPEN配合使用，實(shí)現(xiàn)進(jìn)程、文件和操作行為的全面“隱身”，長期隱蔽控制西北工業(yè)大學(xué)的運(yùn)維管理服務(wù)器，同時采取替換3個原系統(tǒng)文件和3類系統(tǒng)日志的方式，消痕隱身，規(guī)避溯源。TAO先后從該服務(wù)器中竊取了多份網(wǎng)絡(luò)設(shè)備配置文件。利用竊取到的配置文件，TAO遠(yuǎn)程“合法”監(jiān)控了一批網(wǎng)絡(luò)設(shè)備和互聯(lián)網(wǎng)用戶，為后續(xù)對這些目標(biāo)實(shí)施拓展?jié)B透提供數(shù)據(jù)支持。

　?。ㄈ┧鸭矸蒡炞C數(shù)據(jù)、構(gòu)建通道，滲透基礎(chǔ)設(shè)施

　　TAO通過竊取西北工業(yè)大學(xué)運(yùn)維和技術(shù)人員遠(yuǎn)程業(yè)務(wù)管理的賬號口令、操作記錄以及系統(tǒng)日志等關(guān)鍵敏感數(shù)據(jù)，掌握了一批網(wǎng)絡(luò)邊界設(shè)備賬號口令、業(yè)務(wù)設(shè)備訪問權(quán)限、路由器等設(shè)備配置信息、FTP服務(wù)器文檔資料信息。根據(jù)TAO攻擊鏈路、滲透方式、木馬樣本等特征，關(guān)聯(lián)發(fā)現(xiàn)TAO非法攻擊滲透中國境內(nèi)的基礎(chǔ)設(shè)施運(yùn)營商，構(gòu)建了對基礎(chǔ)設(shè)施運(yùn)營商核心數(shù)據(jù)網(wǎng)絡(luò)遠(yuǎn)程訪問的“合法”通道，實(shí)現(xiàn)了對中國基礎(chǔ)設(shè)施的滲透控制。

　　（四）控制重要業(yè)務(wù)系統(tǒng)，實(shí)施用戶數(shù)據(jù)竊取

　　TAO通過掌握的中國基礎(chǔ)設(shè)施運(yùn)營商的思科PIX防火墻、天融信防火墻等設(shè)備的賬號口令，以“合法”身份進(jìn)入運(yùn)營商網(wǎng)絡(luò)，隨后實(shí)施內(nèi)網(wǎng)滲透拓展，分別控制相關(guān)運(yùn)營商的服務(wù)質(zhì)量監(jiān)控系統(tǒng)和短信網(wǎng)關(guān)服務(wù)器，利用“魔法學(xué)?！钡葘ｉT針對運(yùn)營商設(shè)備的武器工具，查詢了一批中國境內(nèi)敏感身份人員，并將用戶信息打包加密后經(jīng)多級跳板回傳至美國國家安全局總部。

　　二、竊取西北工業(yè)大學(xué)和中國運(yùn)營商敏感信息

　?。ㄒ唬└`取西北工業(yè)大學(xué)遠(yuǎn)程業(yè)務(wù)管理賬號口令、操作記錄等關(guān)鍵敏感數(shù)據(jù)

　　TAO通過在西北工業(yè)大學(xué)運(yùn)維管理服務(wù)器安裝嗅探工具“飲茶”，長期隱蔽嗅探竊取西北工業(yè)大學(xué)運(yùn)維管理人員遠(yuǎn)程維護(hù)管理信息，包含網(wǎng)絡(luò)邊界設(shè)備賬號口令、業(yè)務(wù)設(shè)備訪問權(quán)限、路由器等設(shè)備配置信息等。

　　遭到嗅探的網(wǎng)絡(luò)設(shè)備類型包括固定互聯(lián)網(wǎng)的接入網(wǎng)設(shè)備（路由器、認(rèn)證服務(wù)器等）、核心網(wǎng)設(shè)備（核心路由器、交換機(jī)、防火墻等），也包括通信基礎(chǔ)設(shè)施運(yùn)營企業(yè)的重要設(shè)備（數(shù)據(jù)服務(wù)平臺等），內(nèi)容包括賬號、口令、設(shè)備配置、網(wǎng)絡(luò)配置等信息。

　　1、竊取西工大核心網(wǎng)絡(luò)設(shè)備賬號口令及配置信息

　　北京時間20××年12月11日6時52分，TAO以位于日本京都大學(xué)的代理服務(wù)器（IP：130.54.××.××）為攻擊跳板，非法入侵了西北工業(yè)大學(xué)運(yùn)維網(wǎng)絡(luò)的“telnet”管理服務(wù)器，上傳并安裝NOPEN木馬，然后級聯(lián)控制其內(nèi)網(wǎng)監(jiān)控管理服務(wù)器，上述2臺服務(wù)器事先均已被安裝“飲茶”嗅探工具。TAO遠(yuǎn)程操控木馬檢索并下載被壓縮加密的監(jiān)聽記錄文件，然后清痕退出。竊取數(shù)據(jù)包括路由器、核心網(wǎng)設(shè)備（核心路由器、交換機(jī)、防火墻）管理賬號、口令、設(shè)備配置、網(wǎng)絡(luò)配置等信息。

　　2、多次竊取接入網(wǎng)認(rèn)證設(shè)備賬號口令及配置信息

　?。?）北京時間20××年5月30日0時28分，TAO以位于日本的代理服務(wù)器（IP：210.135.××.××）為攻擊跳板，非法入侵了西北工業(yè)大學(xué)運(yùn)維網(wǎng)絡(luò)“telnet”管理服務(wù)器，上傳并安裝NOPEN木馬，然后級聯(lián)控制其內(nèi)網(wǎng)監(jiān)控管理服務(wù)器，這2臺服務(wù)器事先均已被安裝“飲茶”嗅探工具，TAO遠(yuǎn)程操控木馬檢索并下載竊密記錄文件后清痕退出。竊取數(shù)據(jù)包括接入網(wǎng)認(rèn)證設(shè)備的賬號、口令及配置信息。

　?。?）北京時間20××年7月4日1時12分，TAO利用位于德國萊比錫技術(shù)經(jīng)濟(jì)和文化學(xué)院的代理服務(wù)器（IP：141.57.××.××）作為攻擊跳板，非法入侵西北工業(yè)大學(xué)運(yùn)維網(wǎng)絡(luò)“telnet”管理服務(wù)器，上傳并安裝NOPEN木馬工具，級聯(lián)控制其內(nèi)網(wǎng)監(jiān)控管理服務(wù)器等其他3臺服務(wù)器，這4臺服務(wù)器事先均已被安裝“飲茶”嗅探工具，TAO遠(yuǎn)程操控木馬檢索并下載竊密文件后清痕退出。

　?。?）北京時間20××年10月11日10時35分，TAO利用位于韓國首爾國立江原大學(xué)的代理服務(wù)器（IP：210.115.××.××）作為攻擊跳板，非法入侵西北工業(yè)大學(xué)運(yùn)維網(wǎng)絡(luò)監(jiān)控管理服務(wù)器，上傳并安裝NOPEN木馬工具，然后級聯(lián)控制其內(nèi)網(wǎng)備份服務(wù)器、認(rèn)證服務(wù)器等其他4臺服務(wù)器，這5臺服務(wù)器事先均已被安裝“飲茶”嗅探工具，TAO遠(yuǎn)程操控木馬分別檢索并下載竊取記錄文件后清痕退出。

　?。?）北京時間20××年10月19日2時46分，TAO以位于韓國大田的高等科學(xué)技術(shù)研究學(xué)院的代理服務(wù)器（IP：143.248.××.××）為攻擊跳板，非法入侵西北工業(yè)大學(xué)運(yùn)維網(wǎng)絡(luò)“telnet”管理服務(wù)器，級聯(lián)控制其內(nèi)網(wǎng)監(jiān)管服務(wù)器等其他2臺服務(wù)器，這3臺服務(wù)器事先均已被安裝“飲茶”嗅探工具，TAO通過遠(yuǎn)程操控木馬檢索并下載竊密文件，然后清痕退出。

　　（二）竊取西北工業(yè)大學(xué)網(wǎng)絡(luò)設(shè)備運(yùn)維配置文件和日志文件

　　美國國家安全局“特定入侵行動辦公室”（TAO）長期攻擊入侵西北工業(yè)大學(xué)網(wǎng)絡(luò)運(yùn)維管理服務(wù)器，秘密竊取網(wǎng)絡(luò)設(shè)備運(yùn)維配置文件和日志文件。

　　1、竊取西北工業(yè)大學(xué)網(wǎng)絡(luò)運(yùn)行日志文件

　　北京時間20××年3月2日3時41分，TAO通過位于日本的代理服務(wù)器（IP：210.135.××.××）非法入侵控制西北工業(yè)大學(xué)1臺網(wǎng)絡(luò)運(yùn)維管理服務(wù)器。3時49分，TAO從該運(yùn)維管理服務(wù)器橫向移動到另一臺運(yùn)維監(jiān)控服務(wù)器，以特定字符串為關(guān)鍵詞檢索日志文件并進(jìn)行竊取了一批系統(tǒng)運(yùn)行日志文件和系統(tǒng)日常自檢報告?zhèn)浞菸募?/p>

　　2、竊取西北工業(yè)大學(xué)服務(wù)器定期任務(wù)配置腳本

　　北京時間20××年10月11日10時41分，TAO通過位于韓國的代理服務(wù)器（IP：210.115.××.××）入侵控制了西北工業(yè)大學(xué)一臺內(nèi)網(wǎng)服務(wù)器。10時48分，TAO經(jīng)過兩次橫向移動，入侵了另一臺內(nèi)網(wǎng)服務(wù)器，訪問了特定目錄下的定期任務(wù)配置腳本，共檢索到14個用于定期執(zhí)行任務(wù)的配置文件。隨后，一次性竊取了這14個文件，這些文件可用于執(zhí)行定期清理、備份、檢查電源等操作。

　　3、竊取西北工業(yè)大學(xué)公司服務(wù)器系統(tǒng)信息文件

　　北京時間20××年6月6日1時27分，TAO通過位于韓國的代理服務(wù)器（IP：222.122.××.××）入侵控制了西北工業(yè)大學(xué)一臺內(nèi)網(wǎng)服務(wù)器。2時4分，TAO經(jīng)過兩次橫向移動，入侵了另一臺內(nèi)網(wǎng)服務(wù)器，訪問了目錄/var/下的系統(tǒng)文件，竊取了60個常用的系統(tǒng)信息文件，被竊取的系統(tǒng)信息文件內(nèi)容包含系統(tǒng)發(fā)行版本、用戶密碼哈希、用戶權(quán)限、本地域名解析配置等。

　　（三）滲透控制中國基礎(chǔ)設(shè)施核心設(shè)備

　　美國國家安全局“特定入侵行動辦公室”（TAO）利用竊取到的網(wǎng)絡(luò)設(shè)備賬號口令，以“合法”身份進(jìn)入中國某基礎(chǔ)設(shè)施運(yùn)營商服務(wù)網(wǎng)絡(luò)，控制相關(guān)服務(wù)質(zhì)量監(jiān)控系統(tǒng)，竊取用戶隱私數(shù)據(jù)。

　　1、竊取中國用戶隱私數(shù)據(jù)

　　北京時間20××年3月7日22時53分，美國國家安全局“特定入侵行動辦公室”（TAO）通過位于墨西哥的攻擊代理148.208.××.××，攻擊控制中國某基礎(chǔ)設(shè)施運(yùn)營商的業(yè)務(wù)服務(wù)器211.136.××.××，通過兩次內(nèi)網(wǎng)橫向移動（10.223.140.××、10.223.14.××）后，攻擊控制了用戶數(shù)據(jù)庫服務(wù)器，非法查詢多名身份敏感人員的用戶信息。

　　同日15時02分，TAO將查詢到的用戶數(shù)據(jù)保存在被攻擊服務(wù)器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目錄下，被打包回傳至攻擊跳板，隨后竊密過程中上傳的滲透工具、用戶數(shù)據(jù)等攻擊痕跡被專用工具快速清除。

　　美國國家安全局“特定入侵行動辦公室”（TAO）運(yùn)用同樣的手法，分別于北京時間20××年1月10日23時22分、1月29日8時41分、3月28日22時00分、6月6日23時58分，攻擊控制另外1家中國基礎(chǔ)設(shè)施業(yè)務(wù)服務(wù)器，非法多批次查詢、導(dǎo)出、竊取多名身份敏感人員的用戶信息。

　　2、滲透控制全球電信基礎(chǔ)設(shè)施

　　據(jù)分析，美國國家安全局“特定入侵行動辦公室”（TAO）以上述手法，利用相同的武器工具組合，“合法”控制了全球不少于80個國家的電信基礎(chǔ)設(shè)施網(wǎng)絡(luò)。技術(shù)團(tuán)隊與歐洲和東南亞國家的合作伙伴通力協(xié)作，成功提取并固定了上述武器工具樣本，并成功完成了技術(shù)分析，擬適時對外公布，協(xié)助全球共同抵御和防范美國國家安全局NSA的網(wǎng)絡(luò)滲透攻擊。

　　三、TAO在攻擊過程中暴露身份的相關(guān)情況

　　美國國家安全局“特定入侵行動辦公室”（TAO）在網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)過程中，暴露出多項技術(shù)漏洞，多次出現(xiàn)操作失誤，相關(guān)證據(jù)進(jìn)一步證明對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊竊密行動的幕后黑手即為美國國家安全局NSA。茲摘要舉例如下：

　?。ㄒ唬┕魰r間完全吻合美國工作作息時間規(guī)律

　　美國國家安全局“特定入侵行動辦公室”（TAO）在使用tipoff激活指令和遠(yuǎn)程控制NOPEN木馬時，必須通過手動操作，從這兩類工具的攻擊時間可以分析出網(wǎng)絡(luò)攻擊者的實(shí)際工作時間。

　　首先，根據(jù)對相關(guān)網(wǎng)絡(luò)攻擊行為的大數(shù)據(jù)分析，對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動98%集中在北京時間21時至凌晨4時之間，該時段對應(yīng)著美國東部時間9時至16時，屬于美國國內(nèi)的工作時間段。其次，美國時間的全部周六、周日中，均未發(fā)生對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動。第三，分析美國特有的節(jié)假日，發(fā)現(xiàn)美國的“陣亡將士紀(jì)念日”放假3天，美國“獨(dú)立日”放假1天，在這四天中攻擊方?jīng)]有實(shí)施任何攻擊竊密行動。第四，長時間對攻擊行為密切跟蹤發(fā)現(xiàn)，在歷年圣誕節(jié)期間，所有網(wǎng)絡(luò)攻擊活動都處于靜默狀態(tài)。依據(jù)上述工作時間和節(jié)假日安排進(jìn)行判斷，針對西北工業(yè)大學(xué)的攻擊竊密者都是按照美國國內(nèi)工作日的時間安排進(jìn)行活動的，肆無忌憚，毫不掩飾。

　?。ǘ┱Z言行為習(xí)慣與美國密切關(guān)聯(lián)

　　技術(shù)團(tuán)隊在對網(wǎng)絡(luò)攻擊者長時間追蹤和反滲透過程中（略）發(fā)現(xiàn)，攻擊者具有以下語言特征：一是攻擊者有使用美式英語的習(xí)慣；二是與攻擊者相關(guān)聯(lián)的上網(wǎng)設(shè)備均安裝英文操作系統(tǒng)及各類英文版應(yīng)用程序；三是攻擊者使用美式鍵盤進(jìn)行輸入。

　?。ㄈ┪淦鞑僮魇д`暴露工作路徑

　　20××年5月16日5時36分（北京時間），對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊人員利用位于韓國的跳板機(jī)（IP:222.122.××.××），并使用NOPEN木馬再次攻擊西北工業(yè)大學(xué)。在對西北工業(yè)大學(xué)內(nèi)網(wǎng)實(shí)施第三級滲透后試圖入侵控制一臺網(wǎng)絡(luò)設(shè)備時，在運(yùn)行上傳PY腳本工具時出現(xiàn)人為失誤，未修改指定參數(shù)。腳本執(zhí)行后返回出錯信息，信息中暴露出攻擊者上網(wǎng)終端的工作目錄和相應(yīng)的文件名，從中可知木馬控制端的系統(tǒng)環(huán)境為Linux系統(tǒng)，且相應(yīng)目錄名“/etc/autoutils”系TAO網(wǎng)絡(luò)攻擊武器工具目錄的專用名稱（autoutils）。

　　出錯信息如下：

　　Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569

　?。ㄋ模┐罅课淦髋c遭曝光的NSA武器基因高度同源

　　此次被捕獲的、對西北工業(yè)大學(xué)攻擊竊密中所用的41款不同的網(wǎng)絡(luò)攻擊武器工具中，有16款工具與“影子經(jīng)紀(jì)人”曝光的TAO武器完全一致；有23款工具雖然與“影子經(jīng)紀(jì)人”曝光的工具不完全相同，但其基因相似度高達(dá)97%，屬于同一類武器，只是相關(guān)配置不相同；另有2款工具無法與“影子經(jīng)紀(jì)人”曝光工具進(jìn)行對應(yīng)，但這2款工具需要與TAO的其它網(wǎng)絡(luò)攻擊武器工具配合使用，因此這批武器工具明顯具有同源性，都?xì)w屬于TAO。

　?。ㄎ澹┎糠志W(wǎng)絡(luò)攻擊行為發(fā)生在“影子經(jīng)紀(jì)人”曝光之前

　　技術(shù)團(tuán)隊綜合分析發(fā)現(xiàn)，在對中國目標(biāo)實(shí)施的上萬次網(wǎng)絡(luò)攻擊，特別是對西北工業(yè)大學(xué)發(fā)起的上千次網(wǎng)絡(luò)攻擊中，部分攻擊過程中使用的武器攻擊，在“影子經(jīng)紀(jì)人”曝光NSA武器裝備前便完成了木馬植入。按照NSA的行為習(xí)慣，上述武器工具大概率由TAO雇員自己使用。

　　四、TAO網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)武器平臺IP列表

　　技術(shù)分析與溯源調(diào)查中，技術(shù)團(tuán)隊發(fā)現(xiàn)了一批TAO在網(wǎng)絡(luò)入侵西北工業(yè)大學(xué)的行動中托管所用相關(guān)武器裝備的服務(wù)器IP地址，舉例如下：

　　五、TAO網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)所用跳板IP列表

　　研究團(tuán)隊經(jīng)過持續(xù)攻堅，成功鎖定了TAO對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊的目標(biāo)節(jié)點(diǎn)、多級跳板、主控平臺、加密隧道、攻擊武器和發(fā)起攻擊的原始終端，發(fā)現(xiàn)了攻擊實(shí)施者的身份線索，并成功查明了13名攻擊者的真實(shí)身份。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<