更新時間:2025-03-12 15:53:13作者:佚名
2022年6月22日,西北理工大學發表了“公開聲明”,指出該學校受到海外網絡襲擊的約束。西安克斯省西安公共安全局的貝林分公司立即發出了“警察信息通知”,證實了許多來自國外的特洛伊木馬樣品是在西北理工大學的信息網絡中發現的,西北理工大學的警方已正式調查了這一點。
國家計算機病毒應急響應中心和360公司共同組成了一個技術團隊(以下簡稱為“技術團隊”),并在整個過程中參與了該案例的技術分析。技術團隊依次從多個信息系統和西北理工大學的互聯網終端中提取了許多特洛伊木馬樣本,全面使用了現有的國內數據資源和分析方法,并獲得了一些歐洲和南亞國家的合作伙伴的大力支持。它全面恢復了相關攻擊的整體輪廓,技術特征,攻擊武器,攻擊路徑和攻擊來源,并最初確定相關的攻擊活動起源于美國國家安全局(NSA)的“量身定制的訪問操作辦公室”(以下稱為tao)。
1。襲擊事件的概述
調查發現,近年來,美國國家安全局(TAO)對中國國內網絡目標進行了數以萬計的網絡攻擊,控制著成千上萬的網絡設備(網絡服務器,網絡終端,網絡交換機,電話交換機,電話交換機,路由器,路由器,防火墻等),并偷走了超過140GB的高額審查數據。陶使用其網絡攻擊武器平臺“零日漏洞”(0天)及其受控網絡設備等,以不斷擴大其網絡攻擊和范圍。經過技術分析和可追溯性,技術團隊現在闡明了在陶(Tao)攻擊活動中使用的網絡攻擊基礎設施,特殊武器和設備,恢復了攻擊過程和被盜的文件,并獲得了網絡攻擊和數據盜竊的相關證據,并獲得了中國信息網絡的相關證據,涉及13人,涉及中國的17人,比6外的人涉及到60的簽署。該公司通過覆蓋公司來建立網絡攻擊環境。
2。攻擊事件分析
在針對西北理工大學的網絡攻擊中,陶使用了40多種不同的NSA特異性網絡攻擊武器,并繼續在西北理工大學發動攻擊并竊取秘密,竊取了核心技術數據,例如關鍵網絡設備配置,網絡管理數據,運營數據,學校的維護數據。通過法醫分析,技術團隊發現攻擊者通過操作攻擊者滲透了1,100多個攻擊鏈接和90多個操作命令序列。他還找到了多個被盜的網絡設備配置文件,嗅探網絡通信數據和密碼,其他類型的日志和密鑰文件以及與黑客入侵網絡設備攻擊活動有關的其他主要細節。具體分析如下:
(i)相關的網絡攻擊基礎設施
為了掩蓋其攻擊行動,Tao將在開始操作之前進行長時間的準備工作,主要是建立匿名攻擊基礎設施。陶使用了它針對Sunos操作系統的兩個“零日漏洞”開發工具,并選擇了具有高網絡應用程序流量的服務器,例如教育機構和鄰國中國的商業公司,作為襲擊的目標;攻擊成功后,它安裝了Nopen Trojan程序(有關詳細信息,請參見相關研究報告)并控制了大量的跳板機。
陶在對西北理工大學的網絡攻擊行動中使用了54臺跳板機和代理服務器,主要分布在17個國家 /地區,包括日本,韓國,瑞典,波蘭,烏克蘭,其中70%位于中國各地,例如日本,韓國等國家。
這些跳板機的功能僅限于指令繼電器,也就是說,將先前的彈簧板說明轉發到目標系統,從而涵蓋了NSA的網絡攻擊的真實IP。目前,至少來自TAO控制跳板的四個IP地址(美國的國內電信運營商),即209.59.36。*,69.165.54。*,207.195.240。*和209.118.143。*。同時,為了進一步掩蓋Springboard機器與代理服務器和NSA之間的關系,NSA使用了美國注冊公司的匿名保護服務來匿名將可追溯的信息(例如相關域名,證書和注冊人)匿名,并且無法通過公共渠道查詢。
通過對威脅情報數據的相關分析西北工業大學網絡教育學院,技術團隊發現西北理工大學攻擊平臺使用的網絡資源涉及5個代理服務器。 NSA從美國Terremark購買了IP地址,并通過兩家秘密封面公司租用了一批服務器。兩家公司是杰克遜·史密斯顧問和穆勒多元化系統。同時,技術團隊還發現TAO基礎設施技術辦公室(MIT)員工使用“ Amanda Ramirez”這個名字購買了域名和公共S??SL證書(ID:ID:
E42D3BEA0A16111E67EF79F9CC2 *****)。隨后,上述域名和證書被部署在位于美國的中型攻擊平臺“ FoxAcid”上,以發動大量中國網絡目標的攻擊。特別是,陶發起了多輪連續攻擊和針對西北理工大學等中國信息網絡目標的秘密盜竊行動。
(ii)相關的網絡攻擊武器
在對西北理工大學的網絡攻擊中,陶連續使用了41個NSA專用的網絡攻擊武器和設備。在攻擊期間,TAO將根據目標環境靈活配置相同的網絡武器。例如,在西北理工大學的網絡攻擊中使用的網絡武器中,有14種不同版本的后門工具“ Crazy Heretic”(NSA命名)。技術團隊將道在此攻擊中使用的工具分為四類,包括:
1。脆弱性攻擊的突破性武器
在依靠此類武器時,陶在西北理工大學的邊境網絡設備,門戶服務器,辦公室內部網宿主等上實施了攻擊突破,還用于攻擊和控制海外的彈簧板,以建立匿名網絡作為封面。這種武器有3種類型:
①“剃刀”
該武器可以用X86和SPARC體系結構實施遠程脆弱性攻擊,這些系統打開了指定的RPC服務。在攻擊過程中,它可以自動檢測目標系統服務的打開,并智能選擇適當的漏洞利用代碼以直接獲得對目標主機的完全控制。該武器用于攻擊日本,韓國和其他國家 /地區的跳板機。受控的跳板機用于攻擊西北理工大學的網絡攻擊。
②“孤立島”
該武器還可以針對打開指定的RPC服務的Solaris系統實施遠程溢出攻擊,直接獲得對目標主機的完全控制。與“剃須刀”的區別在于,該工具無法獨立檢測目標服務的開放性,并且用戶需要手動配置目標和相關參數。 NSA使用此武器來攻擊和控制西北理工大學的邊界服務器。
③“酸狐”武器平臺
該武器平臺部署在哥倫比亞,可以與“第二級約會”中間攻擊武器結合使用。它可以智能配置脆弱性有效載荷,以在IE,Firefox,Safari,Android Webkit等多個平臺上對主流瀏覽器進行遠程溢出攻擊,并獲得對目標系統的控制(請參閱國家安全局(NSA)對“蘇裝福克斯攻擊武器平臺”(NSA)的技術分析報告(NSA)對國家安全武器(NAS)的技術分析(NSA)的武器(NSA)。理工大學的辦公室Intranet主持人。
2。持續的控制武器
道依靠這種武器來對西北理工大學網絡進行隱藏和持續的控制。 TAO行動團隊可以通過加密的渠道發送控制說明,以操作此類武器,以執行西北理工大學網絡的滲透,控制和竊取。有6種此類武器:
①“第二個日期”
該武器一直居住在網絡邊界設備和服務器上,例如網關服務器,邊框路由器等,并且可以準確過濾并自動劫持大量數據流量,以實現中間攻擊功能。陶在西北理工大學邊境設備上安裝了武器,劫持了流過設備的交通,以指導“酸狐”平臺以進行脆弱性攻擊。
②“ nopen”
該武器是一個遙控的木馬,支持多個操作系統和不同的體系結構。它可以通過分類的隧道接收說明執行文件管理,過程管理,系統命令執行和其他操作,并且具有提高權限并持久的能力(請參閱國家計算機病毒緊急響應中心的“ Nopen”遙控的Trojan分析報告。TAO主要使用此武器來實現核心商業網絡的核心網絡網絡設備范圍內的核心網絡范圍內部的核心網絡控制。
③“狂暴噴霧”
該武器是基于Windows系統的遙控器,支持多個操作系統和不同的體系結構。它可以根據目標系統環境自定義和生成不同類型的Trojan服務器。該服務器本身具有強大的抗分析和抗抑制功能。陶主要使用此武器與“酸狐”平臺合作,以在西北理工大學的辦公網絡內實施對個人主機的持續控制。
④“瘋狂的異端”
該武器是一種輕巧的后門植入工具,在運行后已刪除。它具有增強目標設備上的權限和持久性的能力,并且可以從系統開始。陶主要使用此武器實現持久的住所,以便在正確的時間建立加密管道,以上傳Nopen Trojan,以確保對西北理工大學信息網絡的長期控制。
⑤“斯多葛外科醫生”
該武器是四種類型的操作系統,例如Linux,Solaris,Junos和FreeBSD的后門。該武器可以在目標設備上持續運行,并根據說明在目標設備上隱藏指定的文件,目錄,進程等。陶主要使用此武器隱藏Nopen Trojan的文件和過程,以避免通過監視發現。技術分析發現,陶在西北理工大學的網絡攻擊中使用了12種不同版本的武器。
3。嗅探秘密武器
道依靠此類武器來嗅探帳戶密碼和命令行操作記錄,在運營和維護網絡時,西北理工大學的員工使用的工作人員使用,并竊取西北理工大學網絡中的敏感信息以及操作和維護數據。有兩種類型的武器:
①“喝茶”
該武器可以長時間駐留在32位或64位Solaris系統中,并通過嗅探程序間通信,以在各種遠程登錄方法(例如SSH,Telnet和Rlogin)中獲取帳戶密碼。陶主要使用此武器來嗅探帳戶密碼,命令行操作記錄,日志文件等。在實施操作和維護工作時西北工業大學網絡教育學院,西北理工大學業務人員生成的生成,并壓縮和加密存儲以用于下載Nopen Trojan。
②“在敵軍后面的操作”一系列武器
該系列武器是專門為電信運營商特定業務系統設計的工具。根據所控制的業務設備的類型,“敵人背后的操作”將與不同的分析工具一起使用。陶在對西北理工大學的網絡攻擊中使用了針對電信運營商的三種攻擊和竊取工具,包括“魔術學校”,“小丑食品”和“詛咒火”。
4。隱藏和碎屑武器
陶(Tao)依靠這種武器,消除了西北理工大學網絡中其行為的痕跡,隱藏并掩蓋了其惡意運營和偷竊貝語網校,并為上述三種武器提供了保護。已經發現了其中一種武器:
“吐司面包”,該武器可用于查看和修改日志文件,例如UTMP,WTMP,LastLog等,以清除操作跟蹤。陶主要使用此武器清除和替換西北理工大學被指控的互聯網設備上的各種日志文件,從而隱藏了其惡意行為。陶對西北理工大學的網絡攻擊使用了3種不同版本的“吐司面包”。
3。攻擊可追溯性
基于上述技術分析結果和可追溯性調查,技術團隊最初認為,美國國家安全局(NSA)的信息和信息部(代碼S)數據調查局(代碼S32)是國家安全局(Code S3)的部門。該部門成立于1998年,其部署主要依賴于美國和歐洲的各個加密中心。宣布的六個密碼中心是:
1.美國馬里蘭州米德堡的NSA總部;
2。NSA夏威夷密碼中心(NSAH),位于美國夏威夷瓦胡島;
3.美國佐治亞州戈登堡的NSA Georgia加密中心(NSAG);
4。Dexas密碼中心(NSAT)位于美國德克薩斯州圣安東尼奧市;
5。NSAColoraro代碼中心(NSAC)位于美國科羅拉多州丹佛市Markley空軍基地;
6. NSA歐洲加密中心(NSAE)位于德國達姆施塔特的美國軍事基地。
Tao目前是一個戰術實施部門,專門從事美國政府的大規模網絡攻擊和針對其他國家的間諜活動。它由2,000多名軍事和平民人員組成,其內部機構包括:
首先:遠程操作中心(ROC,代碼S321),主要負責操作武器平臺和輸入和控制目標系統或網絡的工具。
第二個位置:高級/訪問網絡技術辦公室(ANT,代碼名稱S322),負責研究相關硬件技術,并為TAO網絡攻擊操作提供與硬件有關的技術和武器設備支持。
第三個位置:數據網絡技術部(DNT,代碼名稱S323),負責開發復雜的計算機軟件工具,以為TAO操作員提供網絡攻擊任務的支持。
第四個地點:電信網絡技術部(TNT,代碼名稱S324),負責研究與電信相關的技術,并為TAO運營商提供支持,以掩蓋透過電信網絡。
第5節:任務基礎設施技術部(MIT,代碼名稱S325),負責開發和建立網絡基礎架構和安全監控平臺,用于構建攻擊操作操作網絡環境和匿名網絡。
部門6:訪問操作辦公室(ATO,代碼名稱S326),負責通過供應鏈交付的后門安裝產品。
第七位置:要求和定位部(R&T,代碼S327),接受每個相關單元的任務,確定偵察目標,并分析和評估情報的價值。
S32P:項目計劃集成部(PPI,代號為S32P),負責整體計劃和項目管理。
NWT:網絡戰隊(NWT),負責與網絡戰隊聯絡。
國家安全局(NSA)對西北理工大學的攻擊為“ shotxxxx”。該行動由道領導人直接指導,麻省理工學院(S325)負責建立偵察環境和租賃攻擊資源; R&T(S327)負責確定攻擊操作策略和情報評估; ANT(S322),DNT(S323)和TNT(S324)負責提供技術支持; ROC(S321)負責組織攻擊偵察行動。可以看出,直接參與指揮和操作的主要人包括TAO領導者,S321和S325單位。
NSA對西北理工大學的襲擊期間的TAO領導人是羅伯特·愛德華·喬伊斯(Robert Edward Joyce)。這個人于1967年9月13日出生,并在漢尼拔高中學習。他于1989年畢業于克拉克森大學,獲得學士學位,并于1993年畢業于約翰·霍普金斯大學,獲得碩士學位。 He joined the National Security Agency in 1989. He served as deputy director of TAO and served as director of TAO from 2013 to 2017. He started working as an acting US Homeland Security Consultant in October 2017. From April to May 2018, he served as the White House's State Security Advisor, and later returned to the NSA to serve as senior advisor to cybersecurity strategy of the Director of the National Security Agency, and is now the NSA's head of cybersecurity.
4。摘要
根據國家計算機病毒應急中心和360聯合技術團隊的分析結果,該報告揭示了有關NSA在中國信息網絡用戶和重要單位(包括西北理工大學)的長期網絡間諜活動的真相。隨后的技術團隊還將宣布相關事件調查的更多技術細節。