调查发现,针对西北工业大学的网络攻击中,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)使用了40余种不同的专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
据西安市公安局碑林分局副局长靳琪介绍,西北工业大学是目前我国从事航空、航天、航海工程教育和科学研究领域的重点大学,拥有大量国家顶级科研团队和高端人才,承担国家多个重点科研项目,地位十分特殊,网络安全十分关键。由于其所具有的特殊地位和从事的敏感科学研究,所以才成为此次网络攻击的针对性目标。
调查报告显示,美国国家安全局在对西北工业大学的网络攻击行动中,先后使用了41种专用网络攻击武器装备,仅后门工具“狡诈异端犯”(NSA命名)就有14款不同版本。
通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其他类型的日志和密钥文件以及其他与攻击活动相关的主要细节。
技术团队将此次攻击活动中所使用的武器类别分为四大类,具体包括:1、漏洞攻击突破类武器;2、持久化控制类武器;3、嗅探窃密类武器;4、隐蔽消痕类武器。
调查同时发现,美国国家安全局还利用其控制的网络攻击武器平台、“零日漏洞”(Oday)和网络设备,长期对中国的手机用户进行无差别地语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。
调查报告还披露,美国国家安全局为了隐匿其对西北工业大学等中国信息网络实施网络攻击的行为,做了长时间准备工作,并且进行了精心伪装。
技术团队分析发现,美国国家安全局下属的特定入侵行动办公室在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。特定入侵行动办公室利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,即安装NOPEN木马程序,控制了大批跳板机。
该办公室在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。其中,用以掩盖真实IP的跳板机都是精心挑选,所有IP均归属于非“五眼联盟”国家。
为了保护其身份安全,美国国家安全局还使用了美国隐私保护公司的匿名保护服务,相关域名和证书均指向无关联人员,以便掩盖真实攻击平台对西北工业大学等中国信息网络展开的多轮持续性攻击、窃密行动。
国家计算机病毒应急处理中心高级工程师杜振华表示:“有了这些跳板机之后,TAO就可以躲在这些跳板机的后面,去向目标发动网络攻击。这样从受害者的角度去看,即使他发现了攻击,实际上也是这些跳板机干的。”
经技术分析和网上溯源调查发现,该办公室成立于1998年,其力量部署主要依托美国国家安全局在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是:
该办公室也是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,下设包括远程操作中心、数据网络处理处、电信网络处理处、接入技术行动处等10个单位。
据360公司网络安全专家表示,TAO代表了当前全球网络攻击的最高水平,他们所掌握的大量的攻击武器,相当于有了互联网中的万能钥匙一样,可以任意地进出目标设备。
调查报告显示,一直以来,美国国家安全局针对我国各行业龙头企业、政府、大学tao 中文翻译、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害,值得我们深思与警惕。
正如外交部发言人赵立坚所言:“美国是名副其实的黑客帝国、窃听帝国、窃密帝国。”而通过此次的调查,全面还原了数年间美国国家安全局利用网络武器发起的一系列攻击行为,打破了一直以来美国对我国的单向透明优势。但是网络安全终究是一项全球性议题,反对网络霸权更需要的是国际社会的加强合作。
9月5日,中国外交部发言人毛宁主持例行记者会。有记者提问,日前,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受美国国家安全局网络攻击的调查报告,显示美国国家安全局下属的特定入侵行动办公室针对中国的网络目标实施了上万次恶意网络攻击。中方对此有何评论?
毛宁表示,根据国家计算机病毒应急处理中心和360公司联合技术团队的技术分析与追踪溯源,美国国家安全局对中国实施网络攻击和数据窃密的证据链清晰完整,涉及在美国国内对中国直接发起网络攻击的人员13名,以及为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。报告显示,美方先后使用41种专用网络攻击武器装备,对西北工业大学发起攻击窃密行动上千次,窃取了一批核心技术数据。美方还长期对中国的手机用户进行无差别语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。
毛宁指出,美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责,要求美方作出解释并立即停止不法行为。
毛宁说,我想强调的是,网络空间安全是世界各国面临的共同问题。作为拥有最强大网络技术实力的国家,美国应立即停止对他国进行窃密和攻击,以负责任的态度参与全球网络空间治理,为维护网络安全发挥建设性作用。据央视新闻返回搜狐,查看更多