2022年6月22日,西北工业大学公开声明称,该校遭受境外网络攻击。陕西西安警方随即发布通报证实,表示已对此正式立案调查。
9月5日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》。初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(简称TAO)。
9月27日,国家计算机病毒应急处理中心网站发布《西北工业大学遭美国NSA网络攻击事件调查报告(之二)》。最新调查报告进一步揭露了美国对西北工业大学组织网络攻击的目的:渗透控制中国基础设施核心设备,窃取中国用户隐私数据,入侵过程中还查询一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
目前,13名攻击者真实身份已查明。
入侵细节披露,人赃俱获
最新发布的报告公布了一系列细节进一步证明TAO实施网络攻击行为,其中包括其是在什么时间通过什么方式窃取中国用户隐私数据,相当于“人赃俱获”。
细节显示:北京时间20××年3月7日22:53,TAO通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。
同日15:02,TAO将查询到的用户数据保存在被攻击服务器“/var/tmp/.2e434fd8aeae73e1/erf/out/f/”目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。
此外,TAO运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外一家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。
TAO在攻击过程中操作失误暴露工作路径
针对西北工业大学遭受TAO网络攻击的技术分析行动中,中国打破了一直以来美国对我国的“单向透明”优势,掌握了美国实施网络攻击的充分证据。
值得一提的是,TAO在实施网络攻击中因操作失误暴露工作路径。根据介绍, 20××年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称(autoutils)。
此外,技术分析还发现,美国仰仗自己强大的技术优势,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。
根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。其次,美国时间的全部周六、周日时间内均未发生对西北工业大学的网络攻击行动。第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。
TAO网络攻击西北工业大学所用跳板IP列表
技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址,举例如下:
(小康头条综合新华网、环球时报、央视新闻)
责编:田苑淯颖
校对:武金洋
审核:龚紫陌