2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马程序样本,西安警方已对此正式立案调查。
中国国家计算机病毒应急处理中心和360公司成立技术团队开展调查工作,全程参与此案技术分析。技术团队先后从多个信息系统和上网终端中捕获到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)的“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO)。
该系列研究报告将公布美国国家安全局(NSA)“信号特定入侵行动办公室”(TAO)对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效防范和发现TAO的后续网络攻击行为提供可以借鉴的案例。
一、攻击事件概貌
分析发现,美国NSA的“特定入侵行动办公室”(TAO)对中国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),疑似窃取了高价值数据。与此同时,美国NSA还利用其控制的网络攻击武器平台、“零日漏洞”(0day)和网络设备,长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。经过复杂的技术分析与溯源,技术团队现已澄清NSA攻击活动中使用的网络资源、专用武器装备及具体手法,还原了攻击过程和被窃取的文件,掌握了美国NSA“特定入侵行动办公室”(TAO)对中国信息网络实施网络攻击和数据窃密的证据链。
二、攻击组织基本情况
目前已被公布的六个密码中心分别是:
此案在美国国家安全局(NSA)内部攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的,主要包括TAO负责人,S321和S325单位。
NSA窃密期间的TAO负责人是罗伯特·乔伊斯(Robert Edward Joyce)。此人1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰·霍普金斯大学,获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略***顾问,现担任NSA网络安全局主管。
三、TAO网络攻击实际情况
69.165.54.*
207.195.240.*
209.118.143.*
TAO基础设施技术处(MIT)人员通过将匿名购买的域名和SSL证书部署在位于美国本土的中间人攻击平台“酸狐狸”(FOXACID,NSA命名)上,对中国境内的大量网络目标开展攻击。特别值得关注的是,NSA利用上述域名和证书部署的平台,对西北工业大学等中国信息网络展开了多轮持续性的攻击、窃密行动。
美国国家安全局NSA为了保护其身份安全,使用了美国Register公司的匿名保护服务,相关域名和证书无明确指向,无关联人员。
TAO为了掩盖其攻击来源,并保护工具的安全,对需要长期驻留互联网的攻击平台,通过掩护公司向服务商购买服务。
针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP,并租用一批服务器。
这两家公司分别为杰克·史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。
五、TAO的武器装备分析
技术分析发现,TAO先后使用了41种NSA的专用网络攻击武器装备,通过分布于日本、韩国、瑞典、波兰、乌克兰等17个国家的49台跳板机和5台代理服务器,对西北工业大学发起了攻击窃密行动上千次,窃取了一批网络数据。
美国国家安全局TAO的网络攻击武器装备针对性强,得到了美国互联网巨头的鼎力支持。同一款装备会根据目标环境进行灵活配置,在这中使用的41款装备中,仅后门工具“狡诈异端犯”(NSA命名)在对西北工业大学的网络攻击中就有14款不同版本。NSA所使用工具类别主要分为四大类,分别是:
(一)漏洞攻击突破类武器
TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名网络。此类武器共有3种:
(三)嗅探窃密类武器
TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、生成的操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种:
(四)隐蔽消痕类武器
TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。
现已发现的此类武器共有1种:
IT解决方案:
内网终端安全管理系统,终端安全管理系统,终端安全管理系统升级服务,终端安全管理系统升级项目,终端安全管控系统维保项目,
杀毒软件edr, 杀毒项目 。防病毒终端安全symantec网络版杀毒安全系统- symantec 防病毒软件,symantec软件维保,symantec软件续费。360天擎防病毒系统,360杀毒软件,
亚信杀毒软件维保,
金山杀毒软件授权续保,
四川360企业安全 成都360企业安全 西藏360企业安全 重庆360企业安全 贵州360企业安全 贵阳360企业安全 云南360企业安全 昆明360企业安全四川360企业安全: 德阳360企业安全 绵阳360企业安全,攀枝花360企业安全,西昌360企业安全,雅安360企业安全,内江360企业安全,资阳360企业安全,南充360企业安全,眉山360企业安全,乐山360企业安全,自贡360企业安全泸州360企业安全广元360企业安全遂宁360企业安全 宜宾360企业安全 广安360企业安全 达州360企业安全 雅安360企业安全 巴中360企业安全 资阳360企业安全 攀枝花360企业安全 凉山彝族自治州360企业安全 甘孜藏族自治州360企业安全 阿坝藏族羌族自治州360企业安全360终端安全防护系统, 360终端安全管理, 360终端安全管理系统是进行监控吗, 360终端安全管理系统卸载密码,360终端安全管理系统报价, 360终端安全管理系统密码,360 终端安全管理系统软件怎么卸载,360终端安全管理系统卸载,360终端安全管理系统的账户密码,360终端安全管理系统软件贵州360企业安全:贵阳360企业安全、六盘水360企业安全、遵义360企业安全、安顺360企业安全、铜仁360企业安全、毕节360企业安全。 黔南360企业安全、黔西南360企业安全、贵州黔东南360企业安全
360终端安全防护系统,重庆360企业安全 合川360企业安全 南川360企业安全潼南360企业安全铜梁360企业安全长寿360企业安全 璧山360企业安全 荣昌360企业安全 綦江360企业安全 大足360企业安全 武隆360企业安全 垫江360企业安全 奉节360企业安全丰都360企业安全 城口360企业安全 巫溪360企业安全 云阳360企业安全 酉阳360企业安全 巫山360企业安全 梁平360企业安全 彭水360企业安全 秀山360企业安全 石柱360企业安全 开县360企业安全
360终端安全防护系统(信创版)昆明360企业安全、曲靖360企业安全、玉溪360企业安全、 保山360企业安全、昭通360企业安全、丽江360企业安全、普洱360企业安全、 临沧360企业安全。
文山壮族苗族自治州(文山360企业安全) 、红河哈尼族彝族自治州(红河360企业安全) 、西双版纳傣族自治州、(西双版纳360企业安全) 楚雄彝族自治州(楚雄360企业安全)、 大理白族自治州(大理360企业安全)、 德宏傣族景颇族自治州(德宏360企业安全)、 怒江傈僳族自治州(怒江360企业安全)、 迪庆藏族自治州(迪庆360企业安全)
360企业安全 官网
360企业安全 成都分公司 360企业安全 四川分公司
360企业安全 解决方案 合作伙伴 成都360企业安全 授权代理商 四川360企业安全授权经销商
360企业安全 中国合作伙伴 – 360企业安全 核心级和企业级合作伙伴 专业级合作伙伴
成都科汇科技有限公司
360政企安全 部署 实施 故障解决
360政企安全 专业级 四川 成都 技术服务中心
360政企安全 核心级 360企业安全备份服务中心
360政企安全
对以上内容感兴趣的可自行联系官网。
更多型号和解决方案请咨询:
成都科汇科技有限公司(IT解决方案商)
地址:四川省成都市武侯区人民南路四段一号时代数码大厦18楼A5
电话咨询热线:400-028-1235
QQ咨询热线: 1325383361
24小时咨询热线:180 8195 0517(微信同号)
本文章为转发的公开信息,如有相关侵权,敬请联系上述联系方式即可删除。