2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马程序样本,西安警方已对此正式立案调查。
中国国家计算机病毒应急处理中心和360公司第一时间成立技术团队开展调查工作,全程参与此案技术分析。技术团队先后从多个信息系统和上网终端中捕获到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)的“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO)。
该系列研究报告将公布美国国家安全局(NSA)“信号特定入侵行动办公室”(TAO)对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效防范和发现TAO的后续网络攻击行为提供可以借鉴的案例。
一、攻击事件概貌
二、攻击组织基本情况
经技术分析和网上溯源调查发现,此次网络攻击行动是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。
1
国安局马里兰州的米德堡总部;
2
瓦湖岛的国安局夏威夷密码中心(NSAH);
3
戈登堡的国安局乔治亚密码中心(NSAG);
4
圣安东尼奥的国安局德克萨斯密码中心(NSAT);
5
丹佛马克利空军基地的国安局科罗拉罗密码中心(NSAC);
6
德国达姆施塔特美军基地的国安局欧洲密码中心(NSAE)。
TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,下设10个单位:
第一处:远程操作中心(ROC,代号S321)
主要负责操作武器平台和工具进入并控制目标系统或网络。
第二处:先进/接入网络技术处(ANT,代号S322)
负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。
第三处:数据网络技术处(DNT,代号S323)
负责研发复杂的计算机软件工具,为TAO操作人员执行网络攻击任务提供支撑。
第四处:电信网络技术处(TNT,代号S324)
负责研究电信相关技术,为TAO操作人员隐蔽渗透电信网络提供支撑。
第五处:任务基础设施技术处(MIT,代号S325)
负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络。
第六处:接入行动处(AO,代号S326)
负责通过供应链,对拟送达目标的产品进行后门安装。
第七处:需求与定位处(R&T,代号S327)
接收各相关单位的任务,确定侦察目标,分析评估情报价值。
第八处:接入技术行动处(ATO,编号S328)
负责研发接触式窃密装置,并与美国中央情报局和联邦调查局人员合作,通过人力接触方式将窃密软件或装置安装在目标的计算机和电信系统中。
S32P:项目计划整合处(PPI,代号S32P)
负责总体规划与项目管理。
NWT:网络战小组(NWT)
负责与133个网络作战小队联络。
图一 TAO组织架构及参与“阻击XXXX”行动的TAO子部门
此案在美国国家安全局(NSA)内部攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的,主要包括TAO负责人,S321和S325单位。
NSA窃密期间的TAO负责人是罗伯特·乔伊斯(Robert Edward Joyce)。此人1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰·霍普金斯大学,获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全局主管。
图二 罗伯特•乔伊斯(Robert E. Joyce)
原TAO主任,现NSA网络安全局主管
三、TAO网络攻击实际情况
四、NSA攻击网络的构建
图三 美国国家安全局(NSA)对西北工业大学实施网络攻击
根据溯源分析,本次窃密行动共选用了其中的49台跳板机,这些跳板机仅使用了中转指令,将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。
目前已经至少掌握TAO攻击实施者从其接入环境(美国国内电信运营商)控制跳板机的四个IP:
209.59.36.*
69.165.54.*
207.195.240.*
209.118.143.*
TAO基础设施技术处(MIT)人员通过将匿名购买的域名和SSL证书部署在位于美国本土的中间人攻击平台“酸狐狸”(FOXACID,NSA命名)上,对中国境内的大量网络目标开展攻击。特别值得关注的是,NSA利用上述域名和证书部署的平台,对西北工业大学等中国信息网络展开了多轮持续性的攻击、窃密行动。
美国国家安全局NSA为了保护其身份安全,使用了美国Register公司的匿名保护服务,相关域名和证书无明确指向,无关联人员。
TAO为了掩盖其攻击来源,并保护工具的安全,对需要长期驻留互联网的攻击平台,通过掩护公司向服务商购买服务。
针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP,并租用一批服务器。
这两家公司分别为杰克·史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。
五、TAO的武器装备分析
美国国家安全局TAO的网络攻击武器装备针对性强,得到了美国互联网巨头的鼎力支持。同一款装备会根据目标环境进行灵活配置,在这中使用的41款装备中,仅后门工具“狡诈异端犯”(NSA命名)在对西北工业大学的网络攻击中就有14款不同版本。NSA所使用工具类别主要分为四大类,分别是:
(一)漏洞攻击突破类武器
TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名网络。此类武器共有3种:
1.“剃须刀”
2.“孤岛”
3.“酸狐狸”武器平台
(二)持久化控制类武器
TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO工作人员可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有5种:
1.“二次约会”
2.“NOPEN”木马
3.“怒火喷射”
4.“狡诈异端犯”
5.“坚忍外科医生”
(三)嗅探窃密类武器
TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、生成的操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种:
1.“饮茶”
2.“敌后行动”系列武器
(四)隐蔽消痕类武器
TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。
现已发现的此类武器共有1种:
1.“吐司面包”
小结:
往期推荐
|
|||
|
|||
|
|||
|
原文始发于微信公众号(360数字安全):关于西北工业大学发现美国NSA网络攻击调查报告(之一)
