西北工业大学遭受美国 NSA 网络攻击调查报告（之二） 360 数字安全360 数字安全 2022-09-27 10:19发表于北京 收录于合集#关于西北工业大学发现美国 NSA 网络攻击调查报告 2 个 2022 年 6 月 22 日，西北工业大学发布《公开声明》称，该校遭受境 外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实 在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本， 西安警方已对此正式立案调查。 中国国家计算机病毒应急处理中心和 360 公司全程参与了此案的技术分析 工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马 程序样本，综合使用国内现有数据资源和分析手段，并得到欧洲、东南亚部分国 家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击 武器、攻击路径和攻击源头，初步判明相关攻击活动源自于美国国家安全局（NSA） 的“特定入侵行动办公室”（即：Office of Tailored Access Operation，后文简 称“TAO”）。 本系列研究报告将公布 TAO 对西北工业大学发起的上千次网络攻击活动中， 某些特定攻击活动的重要细节，为全球各国有效发现和防范 TAO 的后续网络攻 击行为提供可以借鉴的案例。 一、TAO 攻击渗透西北工业大学的流程 TAO 对他国发起的网络攻击技战术针对性强，采取半自动化攻击流 程，单点突破、逐步渗透、长期窃密。 一 单点突破、级联渗透，控制西北工业大学网络 经过长期的精心准备，TAO 使用“酸狐狸”平台对西北工业大学内部 主机和服务器实施中间人劫持攻击，部署“怒火喷射”远程控制武器，控 制多台关键服务器。利用木马级联控制渗透的方式，向西北工业大学内 部网络深度渗透，先后控制运维网、办公网的核心网络设备、服务器及 终端，并获取了部分西北工业大学内部路由器、交换机等重要网络节点 设备的控制权，窃取身份验证数据，并进一步实施渗透拓展，最终达成 了对西北工业大学内部网络的隐蔽控制。 二 隐蔽驻留、“合法”监控，窃取核心运维数据 TAO 将作战行动掩护武器“坚忍外科医生”与远程控制木马 NOPEN 配合使用，实现进程、文件和操作行为的全面“隐身”，长期隐蔽控制西 北工业大学的运维管理服务器，同时采取替换 3 个原系统文件和 3 类系 统日志的方式，消痕隐身，规避溯源。TAO 先后从该服务器中窃取了多 份网络设备配置文件。利用窃取到的配置文件，TAO 远程“合法”监控了 第 1 页 共 8 页 一批网络设备和互联网用户，为后续对这些目标实施拓展渗透提供数据 支持。 三 搜集身份验证数据、构建通道，渗透基础设施 TAO 通过窃取西北工业大学运维和技术人员远程业务管理的账号口 令、操作记录以及系统日志等关键敏感数据，掌握了一批网络边界设备 账号口令、业务设备访问权限、路由器等设备配置信息、FTP 服务器文 档资料信息。根据 TAO 攻击链路、渗透方式、木马样本等特征，关联发 现 TAO 非法攻击渗透中国境内的基础设施运营商，构建了对基础设施运 营商核心数据网络远程访问的“合法”通道，实现了对中国基础设施的渗 透控制。 四 控制重要业务系统，实施用户数据窃取 TAO 通过掌握的中国基础设施运营商的思科 PIX 防火墙、天融信防 火墙等设备的账号口令，以“合法”身份进入运营商网络，随后实施内网 渗透拓展，分别控制相关运营商的服务质量监控系统和短信网关服务器， 利用“魔法学校”等专门针对运营商设备的武器工具，查询了一批中国境 内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家 安全局总部。 二、窃取西北工业大学和中国运营商敏感信息 （一）窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感 数据 TAO 通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”，长 期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息，包含网 络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。 遭到嗅探的网络设备类型包括固定互联网的接入网设备（路由器、 认证服务器等）、核心网设备（核心路由器、交换机、防火墙等），也 包括通信基础设施运营企业的重要设备（数据服务平台等），内容包括 账号、口令、设备配置、网络配置等信息。 1、窃取西工大核心网络设备账号口令及配置信息 北京时间 20××年 12 月 11 日 6 时 52 分，TAO 以位于日本京都大学的 代理服务器（IP：130.54.××.××）为攻击跳板，非法入侵了西北工业大 学运维网络的“telnet”管理服务器，上传并安装 NOPEN 木马，然后级联 控制其内网监控管理服务器，上述 2 台服务器事先均已被安装“饮茶”嗅 探工具。TAO 远程操控木马检索并下载被压缩加密的监听记录文件，然 第 2 页 共 8 页 后清痕退出。窃取数据包括路由器、核心网设备（核心路由器、交换机、 防火墙）管理账号、口令、设备配置、网络配置等信息。 2、多次窃取接入网认证设备账号口令及配置信息 （1）北京时间 20××年 5 月 30 日 0 时 28 分，TAO 以位于日本的代理 服务器（IP：210.135.××.××）为攻击跳板，非法入侵了西北工业大学 运维网络“telnet”管理服务器，上传并安装 NOPEN 木马，然后级联控制 其内网监控管理服务器，这 2 台服务器事先均已被安装“饮茶”嗅探工具， TAO 远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括 接入网认证设备的账号、口令及配置信息。 （2）北京时间 20××年 7 月 4 日 1 时 12 分，TAO 利用位于德国莱比锡 技术经济和文化学院的代理服务器（IP：141.57.××.××）作为攻击跳板， 非 法 入 侵 西 北 工 业 大 学 运 维 网 络 “ telnet ” 管 理 服 务 器 ， 上 传 并 安 装 NOPEN 木马工具，级联控制其内网监控管理服务器等其他 3 台服务器， 这 4 台服务器事先均已被安装“饮茶”嗅探工具，TAO 远程操控木马检索 并下载窃密文件后清痕退出。 （3）北京时间 20××年 10 月 11 日 10 时 35 分，TAO 利用位于韩国首 尔国立江原大学的代理服务器（IP：210.115.××.××）作为攻击跳板， 非法入侵西北工业大学运维网络监控管理服务器，上传并安装 NOPEN 木马工具，然后级联控制其内网备份服务器、认证服务器等其他 4 台服 务器，这 5 台服务器事先均已被安装“饮茶”嗅探工具，TAO 远程操控木 马分别检索并下载窃取记录文件后清痕退出。 （4）北京时间 20××年 10 月 19 日 2 时 46 分，TAO 以位于韩国大田 的高等科学技术研究学院的代理服务器（IP：143.248.××.××）为攻击 跳板，非法入侵西北工业大学运维网络“telnet”管理服务器，级联控制其 内网监管服务器等其他 2 台服务器，这 3 台服务器事先均已被安装“饮茶” 嗅探工具，TAO 通过远程操控木马检索并下载窃密文件，然后清痕退出。 （二）窃取西北工业大学网络设备运维配置文件和日志文件 美国国家安全局“特定入侵行动办公室”（TAO）长期攻击入侵西北 工业大学网络运维管理服务器，秘密窃取网络设备运维配置文件和日志 文件。 1、窃取西北工业大学网络运行日志文件 北京时间 20××年 3 月 2 日 3 时 41 分，TAO 通过位于日本的代理服务 器（IP：210.135.××.××）非法入侵控制西北工业大学 1 台网络运维管 第 3 页 共 8 页 理服务器。3 时 49 分，TAO 从该运维管理服务器横向移动到另一台运 维监控服务器，以特定字符串为关键词检索日志文件并进行窃取了一批 系统运行日志文件和系统日常自检报告备份文件。 2、窃取西北工业大学服务器定期任务配置脚本 北京时间 20××年 10 月 11 日 10 时 41 分，TAO 通过位于韩国的代理 服务器（IP：210.115.××.××）入侵控制了西北工业大学一台内网服务 器。10 时 48 分，TAO 经过两次横向移动，入侵了另一台内网服务器， 访问了特定目录下的定期任务配置脚本，共检索到 14 个用于定期执行任 务的配置文件。随后，一次性窃取了这 14 个文件，这些文件可用于执行 定期清理、备份、检查电源等操作。 3、窃取西北工业大学公司服务器系统信息文件 北京时间 20××年 6 月 6 日 1 时 27 分，TAO 通过位于韩国的代理服务 器（IP：222.122.××.××）入侵控制了西北工业大学一台内网服务器。 2 时 4 分，TAO 经过两次横向移动，入侵了另一台内网服务器，访问了 目录/var/下的系统文件，窃取了 60 个常用的系统信息文件，被窃取的 系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地 域名解析配置等。 （三）渗透控制中国基础设施核心设备 美国国家安全局“特定入侵行动办公室”（TAO）利用窃取到的网络 设备账号口令，以“合法”身份进入中国某基础设施运营商服务网络，控 制相关服务质量监控系统，窃取用户隐私数据。 1、窃取中国用户隐私数据 北京时间 20××年 3 月 7 日 22:53，美国国家安全局“特定入侵行动 办公室”（TAO）通过位于墨西哥的攻击代理 148.208.××.××，攻击控 制中国某基础设施运营商的业务服务器 211.136.××.××，通过两次内网 横向移动（10.223.140.××、10.223.14.××）后，攻击控制了用户数据 库服务器，非法查询多名身份敏感人员的用户信息。 同 日 15:02 ， TAO 将 查 询 到 的 用 户 数 据 保 存 在 被 攻 击 服 务 器 /var/tmp/.2e434fd8aeae73e1/erf/out/f/ 目录下，被打包回传至攻击 跳板，随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工 具快速清除。 美国国家安全局“特定入侵行动办公室”（TAO）运用同样的手法， 分别于北京时间 20××年 1 月 10 日 23 时 22 分、1 月 29 日 8 时 41 分、 第 4 页 共 8 页 3 月 28 日 22 时 00 分、6 月 6 日 23 时 58 分，攻击控制另外 1 家中国 基础设施业务服务器，非法多批次查询、导出、窃取多名身份敏感人员 的用户信息。 2、渗透控制全球电信基础设施 据分析，美国国家安全局“特定入侵行动办公室”（TAO）以上述手 法，利用相同的武器工具组合，“合法”控制了全球不少于 80 个国家的电 信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作， 成功提取并固定了上述武器工具样本，并成功完成了技术分析