2022年6月22日,西北工业大学发布了一份《公开声明》,披露该校成为境外网络攻击的目标。随后,陕西省西安市公安局碑林分局发布了一份《警情通报》,证实在西北工业大学的信息网络中发现了多款源自境外的木马样本,警方已正式立案调查。
国家计算机病毒应急处理中心和360公司组成的技术团队全程参与了此次案件的技术分析工作。他们从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,并得到了欧洲、南亚部分国家合作伙伴的通力支持。经过综合使用国内外数据资源和分析手段,技术团队还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头。初步判明,相关攻击活动源自美国国家安全局(NSA)的“特定入侵行动办公室”(TAO)。
攻击事件概貌
调查发现,近年来,美国NSA下属的TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。攻击手段包括利用网络攻击武器平台、“零日漏洞”及其控制的网络设备,持续扩大攻击范围。技术团队通过溯源调查发现,攻击活动涉及美国国内对中国直接发起网络攻击的人员13名,以及NSA与美国电信运营商签订的合同60余份,电子文件170余份。
攻击事件分析
在对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,灵活配置同一款网络武器以适应不同目标环境。这些武器分为漏洞攻击突破类、持久化控制类、嗅探窃密类和隐蔽消痕类四大类。攻击基础设施主要通过匿名化攻击准备工作,利用两个“零日漏洞”利用工具选择攻击目标,包括中国周边国家的教育机构和商业公司等。攻击使用的54台跳板机和代理服务器主要分布在17个国家,70%位于中国周边国家。
相关网络攻击武器
TAO使用了41种NSA的专用网络攻击武器,根据目标环境灵活配置同一款网络武器。武器主要分为漏洞攻击突破类、持久化控制类、嗅探窃密类和隐蔽消痕类四大类。漏洞攻击突破类武器包括“剃须刀”、 “孤岛”、 “酸狐狸”武器平台。持久化控制类武器有“二次约会”、“NOPEN”、“怒火喷射”、“狡诈异端犯”、“坚忍外科医生”等。嗅探窃密类武器包括“饮茶”和“敌后行动”系列武器。隐蔽消痕类武器为“吐司面包”。
攻击溯源
技术团队初步判断对西北工业大学实施网络攻击的是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,力量部署主要依托NSA在美国和欧洲的各密码中心。TAO的机构包括远程操作中心、先进/接入网络技术处、数据网络技术处、电信网络技术处、任务基础设施技术处、接入行动处、需求与定位处、项目计划整合处、网络战小组等。直接参与指挥与行动的主要包括TAO负责人、S321和S325单位。NSA对西北工业大学的攻击行动代号为“阻击XXXX”(shotXXXX),由TAO负责人罗伯特·乔伊斯指挥。
这一揭秘深入剖析了美国国安局APT网络攻击平台的技术手段和组织结构,强调了对网络攻击的关注和防范的重要性。
原文始发于微信公众号(紫队安全研究):揭秘APT组织 – 美国国安局NSA的TAO
