购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

西北工大事件,境外情报机构对我国敏感机构的网络攻击

过去网络安全事件多是小蟊贼、小黑客引起的,目前国家级网络攻击已成为大国对抗的主流,“平战结合”已经是新常态。在这种情形下,我们应该假定己方网络已经被渗透和攻击的状态,即“敌已在我”。事实上,一些境外黑客组织早已将一些攻击软件、间谍软件潜伏或渗透到我国的关键基础设施及相关领域或系统中,以达到控制相关网络设备、窃取高价值数据的目的。

我在这里分享一个关于360公司(以下简称360)揭秘某大国国家安全局对西北工业大学进行网络攻击的案例。2022年6月22日,西北工业大学发布了一则《公开声明》称,学校遭到了境外组织的网络攻击。在得知相关信息的第一时间,中国国家计算机病毒应急处理中心和360就联合成立了技术团队,对攻击事件展开调查,全程参与技术分析。

技术团队经过不懈努力,对比了从多个信息系统和上网终端中捕获到的木马程序样本之后,全面还原了本次攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,得出的初步结论并没有出乎大家的意料,此次攻击来自某大国国家安全局下属的“特定入侵行动办公室”(Office of Tailored Access Operation,TAO),行动代号“阻击XXXX”(ShotXXXX)。

此后360相继发布了两份报告,公布了TAO对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效防范和发现TAO的后续网络攻击行为提供可以借鉴的案例。

中国外交部发言人毛宁在例行记者会上回应,“该调查报告揭露了该国政府对中国进行网络攻击的又一个实例。”

接下来,我将360发布的相关报告核心信息综合如下,给大家还原本次TAO针对西北工业大学网络攻击的全貌。

一、攻击事件概貌

分析发现,该国国家安全局下属的TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),疑似窃取了高价值数据。与此同时,该国国家安全局还利用其控制的网络攻击武器平台、“零日漏洞”(0day)和网络设备,长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。经过复杂的技术分析与溯源,国家计算机病毒应急中心和360联合技术团队现已澄清该国国家安全局攻击活动中使用的网络资源、专用武器装备及具体手法,还原了攻击过程和被窃取的文件,掌握了该国国家安全局下属的TAO对中国信息网络实施网络攻击和数据窃密的证据链。

二、攻击组织基本情况

经技术分析和网上溯源调查发现,此次网络攻击行动是该国国家安全局信息情报部(代号S)数据侦查局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托该国国家安全局在美国和欧洲的各密码中心。

目前已被公布的六个密码中心分别是:

1.该国国家安全局马里兰州的米德堡总部;

2.瓦湖岛的该国国家安全局夏威夷密码中心(NSAH);

3.戈登堡的该国国家安全局乔治亚密码中心(NSAG);

4.圣安东尼奥的该国国家安全局得克萨斯密码中心(NSAT);

5.丹佛马克利空军基地的该国国家安全局科罗拉罗密码中心(NSAC);

6.德国达姆施塔特基地的该国国家安全局欧洲密码中心(NSAE)。

TAO是目前该国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,下设10个单位:

第一处:远程操作中心(ROC,代号S321),主要负责操作武器平台和工具,进入并控制目标系统或网络。

第二处:先进/接入网络技术处(ANT,代号S322),负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。

第三处:数据网络技术处(DNT,代号S323),负责研发复杂的计算机软件工具,为TAO操作人员执行网络攻击任务提供支撑。

第四处:电信网络技术处(TNT,代号S324),负责研究电信相关技术,为TAO操作人员隐蔽渗透电信网络提供支撑。

第五处:任务基础设施技术处(MIT,代号S325),负责开发与建立网络基础设施和安全监控平台,用于构建网络环境与匿名网络的攻击行动。

第六处:接入行动处(AO,代号S326),负责通过供应链,对拟送达目标的产品进行后门安装。

第七处:需求与定位处(R&T,代号S327),负责接收各相关单位的任务,确定侦察目标,分析评估情报价值。

第八处:接入技术行动处(ATO,编号S328),负责研发接触式窃密装置,并与该国中央情报局和联邦调查局人员合作,通过人力接触方式将窃密软件或装置安装在目标的计算机和电信系统中。

S32P:项目计划整合处(PPI,代号S32P),负责总体规划与项目管理。

NWT:网络战小组(NWT),负责与133个网络作战小队联络。

图0-1 TAO组织架构及参与代号为“阻击××××”行动的TAO子部门

此案在该国国家安全局内部攻击行动代号为“阻击××××”(Shot××××)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动(图0-1)。由此可见,直接参与指挥与行动的,主要包括TAO负责人,S321和S325单位。

该国国家安全局窃密期间的TAO负责人是罗伯特·乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰·霍普金斯大学,获硕士学位。1989年进入该国国家安全局工作,曾经担任过TAO副主任,2013—2017年担任TAO主任。2017年10月开始担任该国国土安全顾问代理。2018年4—5月,担任该国国务安全顾问,后回到该国国家安全局担任该国国家安全局局长网络安全战略高级顾问,现担任该国国家安全局网络安全局主管。

三、TAO网络攻击实际情况

该国国家安全局TAO部门的S325单位,通过层层掩护,构建了由49台跳板机和5台代理服务器组成的匿名网络,购买专用网络资源,架设攻击平台。S321单位运用40余种不同的该国国家安全局专属网络攻击武器,持续对我国开展攻击窃密,窃取了关键网络设备配置、网管数据、运维数据等核心技术数据,窃密活动持续时间长,覆盖范围广。技术分析中还发现,TAO已于此次攻击活动开始前,就在该国多家大型知名互联网企业的配合下,掌握了中国大量通信网络设备的管理权限,为该国国家安全局持续侵入中国国内的重要信息网络大开方便之门。

经溯源分析,技术团队现已全部还原了该国国家安全局的攻击窃密过程,澄清其在西北工业大学内部渗透的攻击链路1100余条、操作的指令序列90余个,多份遭窃取的网络设备配置文件,嗅探的网络通信数据及口令、其他类型的日志和密钥文件。基本还原了每一次攻击的主要细节,掌握并固定了多条相关证据链,涉及在该国国内对中国直接发起网络攻击的人员13名,以及该国国家安全局通过掩护公司为构建网络攻击环境而与该国电信运营商签订的合同60余份,电子文件170余份。

四、该国国家安全局攻击网络的构建

经技术团队溯源分析发现,49台跳板机均经过精心挑选,所有IP均归属于非“五眼联盟”国家,而且大部分选择了中国周边国家(如日本、韩国等)的IP,约占70%。

TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”工具(已提取样本),分别为EXTREMEPARR(该国国家安全局命名)和EBBISLAND(该国国家安全局命名),选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标。攻击成功后,安装NOPEN(该国国家安全局命名,已提取样本)后门,控制了大批跳板机。

根据溯源分析,这些跳板机仅使用了中转指令,将上一级的跳板指令转发到目标系统,从而掩盖了该国国家安全局发起网络攻击的真实IP。

目前,已经至少掌握了TAO攻击实施者从其接入环境(该国国内电信运营商)控制跳板机的4个IP:

209.59.36.*

69.165.54.*

207.195.240.*

209.118.143.*

TAO基础设施技术处(MIT)人员通过将匿名购买的域名和SSL证书部署在位于该国本土的中间人攻击平台“酸狐狸”(FOXACID,该国国家安全局命名)上,对中国境内的大量网络目标开展攻击。特别值得关注的是,该国国家安全局利用上述域名和证书部署的平台,对包含西北工业大学在内的中国信息网络展开了多轮持续性的攻击和窃密行动。

该国国家安全局为了保护其身份安全,使用了该国Register公司的匿名保护服务,使其相关域名和证书无明确指向,无关联人员。

TAO为了掩盖其攻击来源,并保护“作案”工具的安全,对需要长期驻留互联网的攻击平台,通过掩护公司向服务商购买服务。

针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器(图0-2),该国国家安全局通过两家掩护公司向该国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP,并租用了一批服务器。

图0-2 某大国国家安全局对西北工业大学实施网络攻击

这两家掩护公司分别为杰克逊·史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。

五、TAO的武器装备分析

技术分析发现,TAO先后使用了41款该国国家安全局的专用网络攻击武器装备,通过分布于日本、韩国、瑞典、波兰、乌克兰等17个国家的跳板机和代理服务器,对西北工业大学发起了攻击窃密行动上千次,窃取了一批网络数据。

该国国家安全局TAO部门的网络攻击武器装备针对性强,得到了该国互联网巨头的鼎力支持。同一款装备会根据目标环境进行灵活配置,在其使用的41款装备中,仅后门工具“狡诈异端犯”(该国国家安全局命名)在对西北工业大学的网络攻击中就有14款不同版本。该国国家安全局所使用武器工具类别主要分为四大类,分别是:

(一)漏洞攻击突破类武器

TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用控制境外跳板机以构建匿名网络来实施攻击。此类武器共有3种:

1.“剃须刀”

此武器可针对开放了指定RPC服务的X86和SPARC架构的Solaris系统实施远程溢出攻击,攻击时可自动探知目标系统服务开放情况并利用代码智能化选择合适版本的漏洞,直接获取对目标主机的完整控制权。

此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。

2.“孤岛”

此武器同样可针对开放了制定RPC服务的Solaris系统实施远程溢出攻击,直接获取对目标主机的完整控制权。

与“剃须刀”工具不同之处在于,此工具不具备自主探测目标服务开放情况的能力,需由使用者手动选择欲打击的目标。

该国国家安全局使用此武器攻击控制了西北工业大学的边界服务器。

3.“酸狐狸”武器平台

此武器平台部署在哥伦比亚,可结合“二次约会”中间人攻击武器使用,可智能化配置漏洞载荷针对IE、FireFox、Safari、Android WebKit等多平台的主流浏览器开展远程溢出攻击,获取目标系统的控制权。

TAO主要使用该武器平台对西北工业大学办公内网主机开展突破攻击。

(二)持久化控制类武器

TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO工作人员可通过加密通道发送控制指令,操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有5种:

1.“二次约会”

此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。

TAO在西北工业大学边界设备上安置该武器,劫持流经该设备的流量,将其引导至“酸狐狸”平台实施漏洞攻击。

2.NOPEN木马

此武器是一种支持多种操作系统和不同体系架构的控守型木马,可通过加密隧道接收指令,执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力。

TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

3.“怒火喷射”

此武器是一款基于Windows系统且支持多种操作系统和不同体系架构的控守型木马,可根据目标系统环境定制生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。

TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。

4.“狡诈异端犯”

此武器是一款轻量级的后门植入工具,运行后即自删除,具备提取权限功能,持久驻留于目标设备上并可随系统启动。

TAO主要使用该武器实现持久驻留,以便在合适时机建立加密管道来上传NOPEN木马,保障对西北工业大学信息网络的长期控制。

5.“坚忍外科医生”

此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。

TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。

TAO在对西北工业大学的网络攻击中共使用该武器的12个不同版本。

(三)嗅探窃密类武器

TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、生成的操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。

此类武器共有两种:

1.“饮茶”

此武器可长期驻留在32位或64位的Solaris系统中,通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。

TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、操作记录、日志文件等,压缩加密存储后供NOPEN木马下载。

2.“敌后行动”系列武器

此系列武器是专门针对运营商特定业务系统使用的工具,根据被控业务设备的不同类型,“敌后行动”会与不同的解析工具配合使用。

在对西北工业大学运维管道的攻击中共使用了“魔法学校”“小丑食物”和“诅咒之火”3类针对运营商的攻击窃密工具。

(四)隐蔽消痕类武器

TAO依托此类武器消除其在西北工业大学网络系统上的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述3类武器提供保护。

现已发现的此类武器只有1种:

“吐司面包”

“吐司面包”,此武器可用于查看和修改utmp、wtmp、lastlog等日志文件并清除操作痕迹。

TAO主要使用该武器清除、替换被控的西北工业大学上网设备上的各类日志文件,隐藏其恶意行为。

TAO对西北工业大学的网络攻击总共使用了3款不同版本的“吐司面包”。

六、TAO攻击渗透西北工业大学的流程

TAO对他国发起的网络攻击战术针对性强,通常采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。

(一)单点突破、级联渗透,控制西北工业大学网络

经过长期的精心准备,TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。利用木马级联控制渗透的方式,向西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权,窃取身份验证数据,并进一步实施渗透拓展,最终达成了对西北工业大学内部网络的隐蔽控制。

(二)隐蔽驻留、“合法”监控,窃取核心运维数据

TAO将作战行动掩护武器“坚忍外科医生”与远程控制木马“NOPEN”配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。

(三)搜集身份验证数据、构建通道,渗透基础设施

TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、文件传输协议(FTP)服务器文档资料信息。我们根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。

(四)控制重要业务系统,实施用户数据窃取

TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门控制运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至该国国家安全局总部。

七、窃取西北工业大学和中国运营商敏感信息

(一)窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据

TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”,长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器设备配置信息等。

遭到嗅探的网络设备类型包括固定互联网的接入网设备(路由器、认证服务器等),核心网设备(核心路由器、交换机、防火墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),内容包括账号、口令、设备配置、网络配置等信息。

1.窃取西工大核心网络设备账号口令及配置信息

北京时间20××年12月11日6时52分,TAO以位于日本京都大学的代理服务器(IP:130.54.××.××)为攻击跳板,非法入侵了西北工业大学运维网络的“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,而上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马,检索并下载被压缩加密的监听记录文件,然后清痕退出。窃取数据包括路由器数据、核心网设备(核心路由器、交换机、防火墙)管理账号、口令、设备配置、网络配置等信息。

2.多次窃取接入网认证设备账号口令及配置信息

(1)北京时间20××年5月30日0时28分,TAO以位于日本的代理服务器(IP:210.135.××.××)为攻击跳板,非法入侵了西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,这2台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括接入网认证设备的账号、口令及配置信息。

(2)北京时间20××年7月4日1时12分,TAO利用位于德国莱比锡技术经济和文化学院的代理服务器(IP:141.57.××.××)作为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马工具,级联控制其内网监控管理服务器等其他3台服务器,这4台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密文件后清痕退出。

(3)北京时间20××年10月11日10时35分,TAO利用位于韩国首尔国立江原大学的代理服务器(IP:210.115.××.××)作为攻击跳板,非法入侵西北工业大学运维网络监控管理服务器,上传并安装NOPEN木马工具,然后级联控制其内网备份服务器、认证服务器等其他4台服务器,这5台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。

(4)北京时间20××年10月19日2时46分,TAO以位于韩国大田的高等科学技术研究学院的代理服务器(IP:143.248.××.××)为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,级联控制其内网监管服务器等其他2台服务器,这3台服务器事先均已被安装“饮茶”嗅探工具,TAO通过远程操控木马检索并下载窃密文件,然后清痕退出。

(二)窃取西北工业大学网络设备运维配置文件和日志文件

TAO长期攻击入侵西北工业大学网络运维管理服务器,秘密窃取网络设备运维配置文件和日志文件。

1.窃取西北工业大学网络运行日志文件

北京时间20××年3月2日3时41分,TAO通过位于日本的代理服务器(IP:210.135.××.××)非法入侵控制西北工业大学1台网络运维管理服务器。3时49分,TAO从该运维管理服务器横向移动到另一台运维监控服务器,以特定字符串为关键词检索日志文件,窃取了一批系统运行日志文件和系统日常自检报告备份文件。

2.窃取西北工业大学服务器定期任务配置脚本

北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。

3.窃取西北工业大学服务器系统信息文件

北京时间20××年6月6日1时27分,TAO通过位于韩国的代理服务器(IP:222.122.××.××)入侵控制了西北工业大学一台内网服务器。2时4分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了目录/var/下的系统文件,窃取了60个常用的系统信息文件,被窃取的系统信息文件内容包含系统发行版本、用户密码(哈希密码)、用户权限、本地域名解析配置等。

(三)渗透控制中国基础设施核心设备

TAO利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。

1.窃取中国用户隐私数据

北京时间20××年3月7日22:53,TAO通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。

同日15:02,TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下,打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。

TAO运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外一家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。

2.渗透控制全球电信基础设施

据分析,TAO以上述手法,利用相同的武器工具组合,“合法”控制了全球不少于80个国家的电信基础设施网络。我国技术团队与欧洲和东南亚国家通力协作,提取并固定了上述武器工具样本,并成功完成了技术分析,协助全球共同抵御和防范该国国家安全局的网络渗透攻击,拟适时对外公布。

八、TAO在攻击过程中暴露身份的相关情况

TAO在网络攻击西北工业大学过程中,暴露出多项技术漏洞,多次出现操作失误。相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手,即为该国国家安全局,兹摘要举例如下:

(一)攻击时间完全吻合该国工作作息时间规律

TAO在使用tipoff激活指令和远程控制NOPEN木马时,必须通过手动操作,从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。

首先,根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至次日4时之间,该时段对应着该国东部时间9时至16时,属于该国国内的工作时间段。其次,该国时间的全部周六、日中,均未发生对西北工业大学的网络攻击行动。再次,分析该国特有的节假日,发现该国的“阵亡将士纪念日”放假3天,该国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。最后,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断,针对西北工业大学的攻击窃密者都是按照该国国内工作日的时间安排进行活动的。作案者肆无忌惮,毫不掩饰。

(二)语言行为习惯与该国密切关联

技术团队在对网络攻击者长时间追踪和反渗透过程中发现,攻击者具有以下语言特征:一是攻击者有使用美式英语的习惯;二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击者使用美式键盘进行输入。

(三)武器操作失误暴露工作路径

20××年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称(autoutils)。

出错信息如下:

Quantifier follows nothing in regex;marked by <-- HERE in m/* <-- HERE.log/at ../etc/autoutils line 4569

(四)大量武器与遭曝光的该国国家安全局武器基因高度同源

此次被捕获的、对西北工业大学攻击窃密所用的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TAO武器完全一致;有23款工具虽然与“影子经纪人”曝光的工具不完全相同,但其“基因”相似度高达97%,属于同一类武器,只是相关配置不相同;另有2款工具无法与“影子经纪人”曝光工具对应,但这2款工具需要与TAO的其他网络攻击武器工具配合使用,因此这批武器工具明显具有同源性,都归属于TAO。

(五)部分网络攻击行为发生在“影子经纪人”曝光之前

技术团队综合分析发现,在对中国目标实施的上万次网络攻击中,特别是对西北工业大学发起的上千次网络攻击,部分攻击过程中使用的武器攻击,在“影子经纪人”曝光该国国家安全局武器装备前便完成了木马植入。按照该国国家安全局的行为习惯,上述武器工具大概率由TAO雇员自己使用。

九、TAO网络攻击西北工业大学武器平台IP列表

技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址(表0-1)。

表0-1 TAO网络攻击西北工业大学武器平台IP列表

TAO在对西北工业大学进行网络攻击时所用的跳板IP如下(表0-2)。

表0-2 TAO网络攻击西北工业大学所用跳板IP列表

续表

总结

综合此次该国国家安全局下属的TAO针对西北工业大学的网络入侵行径,其行为对我国国防安全、关键基础设施安全、社会安全、公民个人信息安全造成严重危害,值得我们深思与警惕:

面对该国国家安全局对我国实施长期潜伏与持续渗透的攻击行为,我国政府、各大中小企业、大学、医疗机构、科研机构以及重要信息基础设施运维单位等都应做好防范准备:一方面各行业、企业应尽快开展高级持续性威胁攻击自查工作,另一方面要着力实现以“看见”为核心的全面系统化防治。

面对国家级背景的强大对手,要知道风险在哪,是什么样的风险,什么时候的风险。因此,要逐步提升感知能力、看见能力、处置能力,在攻击做出破坏之前及时斩断“杀伤链”,变事后发现为事前捕获,真正实现感知风险、看见威胁、抵御攻击。 urXQNhEQFYzy5UWEZK27XOVJDkjcKeTRsPV3fTtdjmH0HrNJtUz2NXSdFVDDedV3

点击中间区域
呼出菜单
上一章
目录
下一章
×