我国遭上万次恶意网络攻击，源头系美国国家安全局- 岑溪人家

我国遭上万次恶意网络攻击，源头系美国国家安全局

2022年09月06日 08:44 浏览：187 来源：小凤

9月5日，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告，调查发现，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）多年来对我国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备，疑似窃取了高价值数据。

今年4月，西安市公安机关接到一起网络攻击的报警，西北工业大学的信息系统发现遭受网络攻击的痕迹。（此前报道：一高校遭境外网络攻击！警方通报！）

西安市公安机关对此高度重视，立即组织警力与网络安全技术专家成立联合专案组对此案进行立案侦查。国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，简称TAO）。

本次调查还发现，在近年里，美国国家安全局（NSA）下属特定入侵行动办公室（TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，包括：网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等，窃取了超过140GB的高价值数据。

联合技术团队经过复杂的技术分析与溯源，还原了西北工业大学遭受网络攻击的过程和被窃取的文件，掌握了美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）对中国信息网络实施网络攻击和数据窃密的相关证据，涉及在美国国内对中国直接发起网络攻击的人员13 名，以及美国国家安全局（NSA）通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同 60 余份、电子文件 170余份。

NSA使用40余种网络攻击武器

窃取数据

此次调查发现，针对西北工业大学的网络攻击中，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）使用了40余种不同的专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

此次遭受攻击的西北工业大学位于陕西西安，隶属于工业和信息化部，是一所多科性、研究型、开放式大学。

NSA掩盖真实IP

精心伪装网络攻击痕迹

此次调查报告披露，美国国家安全局（NSA）为了隐匿其对西北工业大学等中国信息网络实施网络攻击的行为，做了长时间准备工作，并且进行了精心伪装。

技术团队分析发现，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设。特定入侵行动办公室（TAO）利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，即安装NOPEN木马程序，控制了大批跳板机。

特定入侵行动办公室（TAO）在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。其中，用以掩盖真实IP的跳板机都是精心挑选,所有IP均归属于非“五眼联盟”国家。

针对西北工业大学攻击平台所使用的网络资源涉及代理服务器，美国国家安全局（NSA）通过秘密成立的两家掩护公司购买了埃及、荷兰和哥伦比亚等地的IP，并租用一批服务器。