揭秘西工大遭受網(wǎng)絡(luò)攻擊事件

揭秘西工大網(wǎng)絡(luò)攻擊事件美國特別入侵行動辦公室（TAO）對他國發(fā)起的網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)針對性強(qiáng)，采取半自動化攻擊流程，單點突破、逐步滲透、長期竊密。經(jīng)過長期的精心準(zhǔn)備，TAO使用“酸狐貍”平臺對中國西北工業(yè)大學(xué)內(nèi)部主機(jī)和服務(wù)器實施中間人劫持攻擊，部署“怒火噴射”遠(yuǎn)程控制武器，控制多臺關(guān)鍵服務(wù)器。利用木馬級聯(lián)控制滲透的方式，向中國西北工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)深度滲透，先后控制運(yùn)維網(wǎng)、辦公網(wǎng)的核心網(wǎng)絡(luò)設(shè)備、服務(wù)器及終端，并獲取了部分中國西北工業(yè)大學(xué)內(nèi)部路由器、交換機(jī)等重要網(wǎng)絡(luò)節(jié)點設(shè)備的控制權(quán)，竊取身份驗證數(shù)據(jù)，并進(jìn)一步實施滲透拓展，最終達(dá)成了對中國西北工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)的隱蔽控制。TAO將作戰(zhàn)行動掩護(hù)武器“精準(zhǔn)外科醫(yī)生”與遠(yuǎn)程控制木馬NOPEN配合使用，實現(xiàn)進(jìn)程、文件和操作行為的全面“隱身”，長期隱蔽控制中國西北工業(yè)大學(xué)的運(yùn)維管理服務(wù)器，同時采取替換3個原系統(tǒng)文件和3類系統(tǒng)日志的方式，消痕隱身，規(guī)避溯源。TAO先后從該服務(wù)器中竊取了多份網(wǎng)絡(luò)設(shè)備配置文件。利用竊取到的配置文件，TAO遠(yuǎn)程“合法”監(jiān)控了一批網(wǎng)絡(luò)設(shè)備和互聯(lián)網(wǎng)用戶，為后續(xù)對這些目標(biāo)實施拓展?jié)B透提供數(shù)據(jù)支持。TAO通過竊取中國西北工業(yè)大學(xué)運(yùn)維和技術(shù)人員遠(yuǎn)程業(yè)務(wù)管理的賬號口令、操作記錄以及系統(tǒng)日志等關(guān)鍵敏感數(shù)據(jù),掌握了一批網(wǎng)絡(luò)邊界設(shè)備賬號口令、業(yè)務(wù)設(shè)備訪問權(quán)限、路由器等設(shè)備配置信息、FTP服務(wù)器文檔資料信息。根據(jù)TAO攻擊鏈路、滲透方式、木馬樣本等特征，關(guān)聯(lián)發(fā)現(xiàn)TAO非法攻擊滲透中國境內(nèi)的基礎(chǔ)設(shè)施運(yùn)營商，構(gòu)建了對基礎(chǔ)設(shè)施運(yùn)營商核心數(shù)據(jù)網(wǎng)絡(luò)遠(yuǎn)程訪問的“合法”通道，實現(xiàn)了對中國基礎(chǔ)設(shè)施的滲透控制。TAO通過掌握的中國基礎(chǔ)設(shè)施運(yùn)營商的思科PIX防火墻、天融信防火墻等設(shè)備的賬號口令，以“合法”身份進(jìn)入運(yùn)營商網(wǎng)絡(luò)，隨后實施內(nèi)網(wǎng)滲透拓展，分別控制相關(guān)運(yùn)營商的服務(wù)質(zhì)量監(jiān)控系統(tǒng)和短信網(wǎng)關(guān)服務(wù)器，利用“魔法學(xué)?！钡葘ｉT針對運(yùn)營商設(shè)備的武器工具，查詢了一批中國境內(nèi)敏感身份人員，并將用戶信息打包加密后經(jīng)多級跳板回傳至美國國家安全局總部。美國國家安全局“特定入侵行動辦公室"（TAO）在網(wǎng)絡(luò)攻擊中國西北工業(yè)大學(xué)過程中，暴露出多項技術(shù)漏洞，多次出現(xiàn)操作失誤，相關(guān)證據(jù)進(jìn)一步證明對中國西北工業(yè)大學(xué)實施網(wǎng)絡(luò)攻擊竊密行動的幕后黑手即為美國國家安全局NSA。首先，攻擊時間完全吻合美國工作作息時間規(guī)律。美國國家安全局“特定入侵行動辦公室"（TAO）在使用tipoff激活指令和遠(yuǎn)程控制N0PEN木馬時，必須通過手動操作，從這兩類工具的攻擊時間可以分析出網(wǎng)絡(luò)攻擊者的實際工作時間。根據(jù)對相關(guān)網(wǎng)絡(luò)攻擊行為的大數(shù)據(jù)分析，對中國西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動98%集中在北京時間21時至凌晨4時之間，該時段對應(yīng)著美國東部時間9時至16時，屬于美國國內(nèi)的工作時間段。其次，美國時間的全部周六、周日中，均未發(fā)生對中國西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動。第三，分析美國特有的節(jié)假日，發(fā)現(xiàn)美國的“陣亡將士紀(jì)念日”放假3天，美國“獨立日”放假1天，在這四天中攻擊方?jīng)]有實施任何攻擊竊密行動。第四，長時間對攻擊行為密切跟蹤發(fā)現(xiàn),在歷年圣誕節(jié)期間，所有網(wǎng)絡(luò)攻擊活動都處于靜默狀態(tài)。依據(jù)上述工作時間和節(jié)假日安排進(jìn)行判斷，針對中國西北工業(yè)大學(xué)的攻擊竊密者都是按照美國國內(nèi)工作日的時間安排進(jìn)行活動的，肆無忌憚，毫不掩飾。其次，其語言行為習(xí)慣與美國密切關(guān)聯(lián)。技術(shù)團(tuán)隊在對網(wǎng)絡(luò)攻擊者長時間追蹤和反滲透過程中發(fā)現(xiàn)，攻擊者具有以下語言特征：一是攻擊者有使用美式英語的習(xí)慣；二是與攻擊者相關(guān)聯(lián)的上網(wǎng)設(shè)備均安裝英文操作系統(tǒng)及各類英文版應(yīng)用程序；三是攻擊者使用美式鍵盤進(jìn)行輸入。而武器操作失誤則暴露了工作路徑。20XX年5月16日5時36分(北京時間)，對中國西北工業(yè)大學(xué)實施網(wǎng)絡(luò)攻擊人員利用位于韓國的跳板機(jī)(IP：222.122.XX.XX),并使用NOPEN木馬再次攻擊中國西北工業(yè)大學(xué)。在對中國西北工業(yè)大學(xué)內(nèi)網(wǎng)實施第三級滲透后試圖入侵控制一臺網(wǎng)絡(luò)設(shè)備時，在運(yùn)行上傳PY腳本工具時出現(xiàn)人為失誤，未修改指定參數(shù)。腳本執(zhí)行后返回出錯信息，信息中暴露出攻擊者上網(wǎng)終端的工作目錄和相應(yīng)的文件名，從中可知木馬控制端的系統(tǒng)環(huán)境為Linux系統(tǒng)，且相應(yīng)目錄名”/etc/autoutils”系TAO網(wǎng)絡(luò)攻擊武器工具目錄的專用名稱(autoutils)o出錯信息如下：Quantifierfollowsnothinginregex；markedby<--HEREinm/*<--HERE.log/at../etc/autoutilsline4569最重要的是其大量武器與遭曝光的NSA武器基因高度同源。此次被捕獲的、對中國西北工業(yè)大學(xué)攻擊竊密中所用的41款不同的網(wǎng)絡(luò)攻擊武器工具中，有16款工具與“影子經(jīng)紀(jì)人”曝光的TA0武器完全一致；有23款工具雖然與“影子經(jīng)紀(jì)人”曝光的工具不完全相同，但其基因相似度高達(dá)97%,屬于同一類武器，只是相關(guān)配置不相同；另有2款工具無法與“影子經(jīng)紀(jì)人”曝光工具進(jìn)行對應(yīng)，但這2款工具需要與TA0的其它網(wǎng)絡(luò)攻擊武器工具配合使用，因此這批武器工具明顯具有同源性，都?xì)w屬于TA0。而且部分網(wǎng)絡(luò)攻擊行為發(fā)生在“影子經(jīng)紀(jì)人”曝光之前。技術(shù)團(tuán)隊綜合分析發(fā)現(xiàn)，在對中國目標(biāo)實施的上萬次網(wǎng)絡(luò)攻擊，特別是對中國西北工業(yè)大學(xué)發(fā)起的上千次網(wǎng)絡(luò)攻擊中，部分攻擊過程中使用的武器攻擊，在“影子經(jīng)紀(jì)人”曝光NSA武器裝備前便完成了木馬植入。按照NSA的行為習(xí)慣，上述武器工具大概率由TA0雇員自己使用。