今天，國家計算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報告。調(diào)查發(fā)現(xiàn)，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）多年來對我國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實施了上萬次的惡意網(wǎng)絡(luò)攻擊，控制了相關(guān)網(wǎng)絡(luò)設(shè)備，竊取了超過140GB的高價值數(shù)據(jù)。

原來不法分子是美國國安局

今年4月，西安市公安機(jī)關(guān)接到一起網(wǎng)絡(luò)攻擊的報警，西北工業(yè)大學(xué)的信息系統(tǒng)發(fā)現(xiàn)遭受網(wǎng)絡(luò)攻擊的痕跡。到了6月22日，西北工業(yè)大學(xué)在其官方微信上發(fā)布一則聲明，聲明表示學(xué)校電子郵件遭受境外網(wǎng)絡(luò)攻擊，對學(xué)校正常教學(xué)生活造成負(fù)面影響。

陜西省西安市公安局碑林分局隨即發(fā)布《警情通報》，證實在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬程序樣本。初步判定，此事件為境外黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊行為，并正式立案調(diào)查。

中國國家計算機(jī)病毒應(yīng)急處理中心和360公司第一時間成立技術(shù)團(tuán)隊開展調(diào)查工作，全程參與此案技術(shù)分析。技術(shù)團(tuán)隊先后從多個信息系統(tǒng)和上網(wǎng)終端中捕獲到了木馬程序樣本，綜合使用國內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段，并得到歐洲、南亞部分國家合作伙伴的通力支持，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關(guān)攻擊活動源自美國國家安全局（NSA）的“特定入侵行動辦公室”（Office of Tailored Access Operation，后文簡稱TAO）。

本次調(diào)查還發(fā)現(xiàn)，在近年里，美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）對中國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實施了上萬次的惡意網(wǎng)絡(luò)攻擊，控制了數(shù)以萬計的網(wǎng)絡(luò)設(shè)備，包括：網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等，竊取了超過140GB的高價值數(shù)據(jù)。經(jīng)過復(fù)雜的技術(shù)分析與溯源，技術(shù)團(tuán)隊現(xiàn)已澄清NSA攻擊活動中使用的網(wǎng)絡(luò)資源、專用武器裝備及具體手法，還原了攻擊過程和被竊取的文件，掌握了美國NSA“特定入侵行動辦公室”（TAO）對中國信息網(wǎng)絡(luò)實施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的證據(jù)鏈。

美國國安局是怎樣進(jìn)行惡意攻擊的

經(jīng)技術(shù)分析和網(wǎng)上溯源調(diào)查發(fā)現(xiàn)，此次網(wǎng)絡(luò)攻擊行動是美國國家安全局（NSA）信息情報部（代號S）數(shù)據(jù)偵察局（代號S3）下屬TAO（代號S32）部門。

圖：參與網(wǎng)絡(luò)攻擊的TAO部門的下屬單位

美國國家安全局TAO部門的S325單位，通過層層掩護(hù)，構(gòu)建了由49臺跳板機(jī)和5臺代理服務(wù)器組成的匿名網(wǎng)絡(luò)，購買專用網(wǎng)絡(luò)資源，架設(shè)攻擊平臺。這些跳板機(jī)均經(jīng)過精心挑選，所有IP均歸屬于非「五眼聯(lián)盟」國家（五眼聯(lián)盟包括美國、英國、加拿大、澳大利亞和新西蘭），而且大部分選擇了中國周邊國家（如日本、韓國等）的IP，約占70%。根據(jù)溯源分析，本次竊密行動共選用了其中的49臺跳板機(jī)，這些跳板機(jī)僅使用了中轉(zhuǎn)指令，將上一級的跳板指令轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng)，從而掩蓋美國國家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實IP。

圖：美國國家安全局（NSA）對西北工業(yè)大學(xué)實施網(wǎng)絡(luò)攻擊

此外，美國國家安全局NSA為了保護(hù)其身份安全，使用了美國Register公司的匿名保護(hù)服務(wù)，相關(guān)域名和證書無明確指向，無關(guān)聯(lián)人員。另一方面，根據(jù)技術(shù)分析的結(jié)果，TAO已于此次攻擊活動開始前，在美國多家大型知名互聯(lián)網(wǎng)企業(yè)的配合下，掌握了中國大量通信網(wǎng)絡(luò)設(shè)備的管理權(quán)限，為NSA持續(xù)侵入中國國內(nèi)的重要信息網(wǎng)絡(luò)大開方便之門。

有了這個前提條件，S321單位運(yùn)用40余種不同的NSA專屬網(wǎng)絡(luò)攻擊武器，持續(xù)對我國開展攻擊竊密，竊取了關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)，竊密活動持續(xù)時間長，覆蓋范圍廣。

TAO還利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具（已提取樣本），工具名稱分別為EXTREMEPARR（NSA命名）和EBBISLAND（NSA命名），選擇了中國周邊國家的教育機(jī)構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo)；攻擊成功后，安裝NOPEN（NSA命名，已提取樣本）后門，控制了大批跳板機(jī)。總體而言，美國國家安全局TAO的網(wǎng)絡(luò)攻擊武器裝備針對性強(qiáng)，得到了美國互聯(lián)網(wǎng)巨頭的鼎力支持。

同一款裝備會根據(jù)目標(biāo)環(huán)境進(jìn)行靈活配置，在這中使用的41款裝備中，僅后門工具“狡詐異端犯”（NSA命名）在對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中就有14款不同版本。NSA所使用工具類別主要分為四大類，分別是：

（一）漏洞攻擊突破類武器TAO依托此類武器對西北工業(yè)大學(xué)的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器、辦公內(nèi)網(wǎng)主機(jī)等實施攻擊突破，同時也用來攻擊控制境外跳板機(jī)以構(gòu)建匿名網(wǎng)絡(luò)。

（二）持久化控制類武器TAO依托此類武器對西北工業(yè)大學(xué)網(wǎng)絡(luò)進(jìn)行隱蔽持久控制，TAO工作人員可通過加密通道發(fā)送控制指令操作此類武器實施對西北工業(yè)大學(xué)網(wǎng)絡(luò)的滲透、控制、竊密等行為。

（三）嗅探竊密類武器

TAO依托此類武器嗅探西北工業(yè)大學(xué)工作人員運(yùn)維網(wǎng)絡(luò)時使用的賬號口令、生成的操作記錄，竊取西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的敏感信息和運(yùn)維數(shù)據(jù)等。

（四）隱蔽消痕類武器

TAO依托此類武器消除其在西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的行為痕跡，隱藏、掩飾其惡意操作和竊密行為，同時為上述三類武器提供保護(hù)。

美國國安局為什么要攻擊西工大

「西北工業(yè)大學(xué)遭網(wǎng)絡(luò)攻擊的源頭系美國國家安全局」的調(diào)查結(jié)果公布后，有網(wǎng)友不解：

還有調(diào)侃這是對西北工業(yè)大學(xué)最好的招生宣傳：

還有人覺得，這是因為西北工業(yè)大學(xué)在國防領(lǐng)域有重要的地位。根據(jù)西北工業(yè)大學(xué)自己在官網(wǎng)上的介紹，西工大「為武器裝備研制、國防領(lǐng)域關(guān)鍵核心技術(shù)自主安全可控和西部建設(shè)提供了有力支撐，是連續(xù)兩次被中共中央、國務(wù)院、中央軍委聯(lián)合授予“重大貢獻(xiàn)獎”的唯一高?！?。

具體來說，在航空領(lǐng)域，一半以上的重大型號總師、副總師出自西北工業(yè)大學(xué)；在航天領(lǐng)域，擔(dān)任國務(wù)院國資委管理的大型央企及所屬企事業(yè)單位黨政領(lǐng)導(dǎo)干部及副總師以上職務(wù)的，也有一大批西工大校友；在船舶工業(yè)、水中兵器行業(yè)的重要管理崗位與核心技術(shù)崗位上，也有相當(dāng)比例的西工大校友。不過，西工大成為美國國安局的攻擊目標(biāo)，固然與西工大在軍工領(lǐng)域有淵源存在關(guān)系，但從前面美國國家安全局TAO的網(wǎng)絡(luò)攻擊的技術(shù)分析來看，西工大并非美國國安局攻擊的唯一目標(biāo)。我國各行業(yè)龍頭企業(yè)、政府、大學(xué)、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)其實都是美國國安局攻擊對象，只是此次被攻擊的西工大比較「幸運(yùn)」，能及時發(fā)現(xiàn)攻擊活動，加上國家計算機(jī)病毒應(yīng)急處理中心和360公司應(yīng)對及時、得當(dāng)，從而讓美國國安局的秘密活動曝光。

雖然此次成功分析出了美國國安局利用網(wǎng)絡(luò)武器攻擊西工大的行為，打破了一直以來美國對我國的單向透明優(yōu)勢，但對我國的國防安全、關(guān)鍵基礎(chǔ)設(shè)施安全、金融安全、社會安全、生產(chǎn)安全以及公民個人信息安全來說，此事仍值得們深思與警惕。

P.S.美國要斷供中國的AI芯片前，美國商務(wù)部發(fā)言人說，「要防止技術(shù)落入壞人之手」，現(xiàn)在回看，也不知道誰是壞人……