360 关于西北工业大学发现美国NSA网络攻击调查报告在线下载,免费下载

关于西北工业大学发现美国 NSA 网络攻击调查报告（之一） 360 威胁情报中心2022-09-05 10:47发表于北京以下文章来源于 360 数字安全，作者 360 数字安全 2022 年 6 月 22 日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马程序样本，西安警方已对此正式立案调查。中国国家计算机病毒应急处理中心和 360 公司第一时间成立技术团队开展调查工作，全程参与此案技术分析。技术团队先后从多个信息系统和上网终端中捕获到了木马程序样本，综合使用国内现有数据资源和分析手段，并得到欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（ NSA）的 “ 特定入侵行动办公室 ”（ Office of Tailored Access Operation，后文简称 TAO）。该系列研究报告将公布美国国家安全局（ NSA） “ 信号特定入侵行动办公室 ” （ TAO）对西北工业大学发起的上千次网络攻击活动中，某些特定攻击活动的重要细节，为全球各国有效防范和发现 TAO 的后续网络攻击行为提供可以借鉴的案例。一、攻击事件概貌分析发现，美国 NSA 的 “ 特定入侵行动办公室 ” （ TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），疑似窃取了高价值数据。与此同时，美国 NSA 还利用其控制的网络攻击武器平台、“ 零日漏洞 ”（ 0day）和网络设备，长期对中国的手机用户进行无差别的语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。经过复杂的技术分析与溯源，技术团队现已澄清 NSA 攻击活动中使用的网络资源、专用武器装备及具体手法，还原了攻击过程和被窃取的文件，掌握了美国 NSA“ 特定入侵行动办公室 ”（ TAO）对中国信息网络实施网络攻击和数据窃密的证据链。二、攻击组织基本情况经技术分析和网上溯源调查发现，此次网络攻击行动是美国国家安全局（ NSA）信息情报部（代号 S）数据侦察局（代号 S3）下属 TAO （代号 S32）部门。该部门成立于 1998 年，其力量部署主要依托美国国家安全局（ NSA）在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是： 1 2 3 4 5 6 国安局马里兰州的米德堡总部；瓦湖岛的国安局夏威夷密码中心（NSAH）；戈登堡的国安局乔治亚密码中心（NSAG）；圣安东尼奥的国安局德克萨斯密码中心（NSAT）；丹佛马克利空军基地的国安局科罗拉罗密码中心（NSAC）；德国达姆施塔特美军基地的国安局欧洲密码中心（NSAE）。 TAO 是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由 2000 多名军人和文职人员组成，下设 10 个单位：第 1 页共 8 页第一处：远程操作中心（ ROC，代号 S321）主要负责操作武器平台和工具进入并控制目标系统或网络。第二处：先进 /接入网络技术处（ ANT，代号 S322）负责研究相关硬件技术，为 TAO 网络攻击行动提供硬件相关技术和武器装备支持。第三处：数据网络技术处（ DNT，代号 S323）负责研发复杂的计算机软件工具，为 TAO 操作人员执行网络攻击任务提供支撑。第四处：电信网络技术处（ TNT，代号 S324）负责研究电信相关技术，为 TAO 操作人员隐蔽渗透电信网络提供支撑。第五处：任务基础设施技术处（ MIT，代号 S325）负责开发与建立网络基础设施和安全监控平台，用于构建攻击行动网络环境与匿名网络。第六处：接入行动处（ AO，代号 S326）负责通过供应链，对拟送达目标的产品进行后门安装。第七处：需求与定位处（R&T，代号 S327）接收各相关单位的任务，确定侦察目标，分析评估情报价值。第八处：接入技术行动处（ ATO，编号 S328）负责研发接触式窃密装置，并与美国中央情报局和联邦调查局人员合作，通过人力接触方式将窃密软件或装置安装在目标的计算机和电信系统中。 S32P：项目计划整合处（PPI，代号 S32P）负责总体规划与项目管理。 NWT：网络战小组（ NWT）负责与 133 个网络作战小队联络。第 2 页共 8 页图一 TAO 组织架构及参与“阻击 XXXX”行动的 TAO 子部门此案在美国国家安全局（ NSA ）内部攻击行动代号为 “ 阻击 XXXX ” （ shotXXXX）。该行动由 TAO 负责人直接指挥，由 MIT（ S325）负责构建侦察环境、租用攻击资源；由 R&T（ S327）负责确定攻击行动战略和情报评估；由 ANT（ S322）、 DNT（ S323）、 TNT（ S324）负责提供技术支撑；由 ROC（ S321）负责组织开展攻击侦察行动。由此可见，直接参与指挥与行动的，主要包括 TAO 负责人， S321 和 S325 单位。 NSA 窃密期间的 TAO 负责人是罗伯特 · 乔伊斯（ Robert Edward Joyce）。此人 1967 年 9 月 13 日出生，曾就读于汉尼拔高中， 1989 年毕业于克拉克森大学，获学士学位，1993 年毕业于约翰 ·霍普金斯大学，获硕士学位。1989 年进入美国国家安全局工作。曾经担任过 TAO 副主任， 2013 年至 2017 年担任 TAO 主任。 2017 年 10 月开始担任代理美国国土安全顾问。 2018 年 4 月至 5 月，担任美国白宫国务安全顾问，后回到 NSA 担任美国国家安全局局长网络安全战略高级顾问，现担任 NSA 网络安全局主管。图二罗伯特•乔伊斯（Robert E. Joyce）原 TAO 主任，现 NSA 网络安全局主管三、 TAO 网络攻击实际情况美国国家安全局 TAO 部门的 S325 单位，通过层层掩护，构建了由 49 台跳板机和 5 台代理服务器组成的匿名网络，购买专用网络资源，架设攻击平台。 S321 单位运用 40 余种不同的 NSA 专属网络攻击武器，持续对我国开展攻击窃密，窃取了关键网络设备配置、网管数据、运维数据等核心技术数据，窃密活动持续时间长，覆盖范围广。技术分析中还发现， TAO 已于此次攻击活动开始前，在美国多家大型知名互联网企业的配合下，掌握了中国大量通信网络设备的管理权限，为 NSA 持续侵入第 3 页共 8 页中国国内的重要信息网络大开方便之门。经溯源分析，技术团队现已全部还原了 NSA 的攻击窃密过程，澄清其在西北工业大学内部渗透的攻击链路 1100 余条、操作的指令序列 90 余个，多份遭窃取的网络设备配置文件，嗅探的网络通信数据及口令、其它类型的日志和密钥文件，基本还原了每一次攻击的主要细节。掌握并固定了多条相关证据链，涉及在美国国内对中国直接发起网络攻击的人员 13 名，以及 NSA 通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同 60 余