今年6月22日，西北工業(yè)大學(xué)發(fā)布《公開聲明》稱，該校遭受境外網(wǎng)絡(luò)攻擊，隨后西安警方對此正式立案調(diào)查，中國國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成技術(shù)團(tuán)隊(duì)全程參與了此案的技術(shù)分析工作，并于9月5日發(fā)布了第一份“西北工業(yè)大學(xué)遭受美國NSA網(wǎng)絡(luò)攻擊調(diào)查報(bào)告”，調(diào)查報(bào)告指出此次網(wǎng)絡(luò)攻擊源頭系美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）。今天（27日），技術(shù)團(tuán)隊(duì)再次發(fā)布相關(guān)網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告，報(bào)告披露，特定入侵行動辦公室（TAO）在對西北工業(yè)大學(xué)發(fā)起網(wǎng)絡(luò)攻擊過程中構(gòu)建了對我國基礎(chǔ)設(shè)施運(yùn)營商核心數(shù)據(jù)網(wǎng)絡(luò)遠(yuǎn)程訪問的（所謂）“合法”通道，實(shí)現(xiàn)了對我國基礎(chǔ)設(shè)施的滲透控制。

多項(xiàng)證據(jù)顯示幕后黑手為美國國家安全局（NSA）

(資料圖)

此次調(diào)查報(bào)告披露，美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）在網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)過程中，暴露出多項(xiàng)技術(shù)漏洞，多次出現(xiàn)操作失誤，相關(guān)證據(jù)進(jìn)一步證明對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊竊密行動的幕后黑手即為美國國家安全局（NSA）。

調(diào)查發(fā)現(xiàn)，美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）在使用tipoff激活指令和遠(yuǎn)程控制NOPEN木馬時(shí)，必須通過手動操作，從這兩類工具的攻擊時(shí)間可以分析出網(wǎng)絡(luò)攻擊者的實(shí)際工作時(shí)間。

首先，根據(jù)對相關(guān)網(wǎng)絡(luò)攻擊行為的大數(shù)據(jù)分析，對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動98%集中在北京時(shí)間21時(shí)至凌晨4時(shí)之間，該時(shí)段對應(yīng)著美國東部時(shí)間9時(shí)至16時(shí)，屬于美國國內(nèi)的工作時(shí)間段。其次，美國時(shí)間的全部周六、周日中，均未發(fā)生對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動。第三，分析美國特有的節(jié)假日，發(fā)現(xiàn)美國的“陣亡將士紀(jì)念日”放假3天，美國“獨(dú)立日”放假1天，在這四天中攻擊方?jīng)]有實(shí)施任何攻擊竊密行動。第四，長時(shí)間對攻擊行為密切跟蹤發(fā)現(xiàn)，在歷年圣誕節(jié)期間，所有網(wǎng)絡(luò)攻擊活動都處于靜默狀態(tài)。依據(jù)上述工作時(shí)間和節(jié)假日安排進(jìn)行判斷，針對西北工業(yè)大學(xué)的攻擊竊密者都是按照美國國內(nèi)工作日的時(shí)間安排進(jìn)行活動的，肆無忌憚，毫不掩飾。

國家計(jì)算機(jī)病毒應(yīng)急處理中心高級工程師 杜振華：TAO對西北工業(yè)大學(xué)的這次網(wǎng)絡(luò)攻擊當(dāng)中，它體現(xiàn)出這種技術(shù)復(fù)雜度比較高，攻擊的周期比較長，人工的這種操作的工作量是比較多，那么在這種條件下，出現(xiàn)人為失誤，人為錯(cuò)誤的這種概率，也是相對比較高。那么這些失誤，可以被我們用來進(jìn)行這種歸因的分析，根據(jù)歸因的分析，比如說這次它在事故當(dāng)中泄露出的指令的字符串，還有代碼中的一些特征的字符串，那么它反映出的這種自然語言的特征，它是符合這種英語母語國家的特點(diǎn)。

技術(shù)團(tuán)隊(duì)在對網(wǎng)絡(luò)攻擊者長時(shí)間追蹤和反滲透過程中發(fā)現(xiàn)，攻擊者具有以下語言特征：一是攻擊者有使用美式英語的習(xí)慣；二是與攻擊者相關(guān)聯(lián)的上網(wǎng)設(shè)備均安裝英文操作系統(tǒng)及各類英文版應(yīng)用程序；三是攻擊者使用美式鍵盤進(jìn)行輸入。

360公司網(wǎng)絡(luò)安全專家 邊亮：比如說我們抓到了一次，它在攻擊的過程中，它發(fā)送腳本的命令是有錯(cuò)的，發(fā)錯(cuò)了，寫錯(cuò)了，然后它這個(gè)工具會對攻擊者進(jìn)行提示，哪里出錯(cuò)會把出錯(cuò)信息返回給攻擊者，給他以提示，這個(gè)信息里邊就包括了攻擊者他當(dāng)前操作系統(tǒng)的環(huán)境，這樣一來其實(shí)就暴露了攻擊者相關(guān)的信息是美國的作戰(zhàn)辦公室（TAO）。

技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)，北京時(shí)間20××年5月16日5時(shí)36分，對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊人員利用位于韓國的跳板機(jī)（IP:222.122.××.××），并使用NOPEN木馬再次攻擊西北工業(yè)大學(xué)。在對西北工業(yè)大學(xué)內(nèi)網(wǎng)實(shí)施第三級滲透后試圖入侵控制一臺網(wǎng)絡(luò)設(shè)備時(shí)，在運(yùn)行上傳PY腳本工具時(shí)出現(xiàn)人為失誤，未修改指定參數(shù)。腳本執(zhí)行后返回出錯(cuò)信息，信息中暴露出攻擊者上網(wǎng)終端的工作目錄和相應(yīng)的文件名，從中可知木馬控制端的系統(tǒng)環(huán)境為Linux系統(tǒng)，且相應(yīng)目錄名“/etc/autoutils”系特定入侵行動辦公室（TAO）網(wǎng)絡(luò)攻擊武器工具目錄的專用名稱（autoutils）。

出錯(cuò)信息如下：

Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569

技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)，此次被捕獲的、對西北工業(yè)大學(xué)攻擊竊密中所用的41款不同的網(wǎng)絡(luò)攻擊武器工具中，有16款工具與（2016年）“影子經(jīng)紀(jì)人”曝光的TAO武器完全一致；有23款工具雖然與“影子經(jīng)紀(jì)人”曝光的工具不完全相同，但其基因相似度高達(dá)97%，屬于同一類武器，只是相關(guān)配置不相同；另有2款工具無法與“影子經(jīng)紀(jì)人”曝光工具進(jìn)行對應(yīng)，但這2款工具需要與TAO的其它網(wǎng)絡(luò)攻擊武器工具配合使用，因此這批武器工具明顯具有同源性，都?xì)w屬于TAO。

360公司網(wǎng)絡(luò)安全專家 邊亮：每個(gè)程序開發(fā)者或者說每個(gè)作者他都會有他的相關(guān)習(xí)慣，比如說類似于我們寫字一樣筆體一樣，這個(gè)習(xí)慣他不會說一兩天就很輕易去更改，那么程序也是這個(gè)道理，它里邊有很多這種邏輯，它的算法包括它的這種數(shù)據(jù)結(jié)構(gòu)，所以我們會通過我們分析去抓它這個(gè)習(xí)慣，從而進(jìn)行綜合的對比，來找它到底是不是屬于同一類型或者同一個(gè)家族同一個(gè)基因的這么一套攻擊武器。

技術(shù)團(tuán)隊(duì)綜合分析發(fā)現(xiàn)，在對中國目標(biāo)實(shí)施的上萬次網(wǎng)絡(luò)攻擊，特別是對西北工業(yè)大學(xué)發(fā)起的上千次網(wǎng)絡(luò)攻擊中，部分攻擊過程中使用的武器攻擊，在（2016年）“影子經(jīng)紀(jì)人”曝光NSA武器裝備前便完成了木馬植入。按照NSA的行為習(xí)慣，上述武器工具大概率由TAO雇員自己使用。

NSA侵入我國基礎(chǔ)設(shè)施相關(guān)設(shè)備 竊取用戶隱私數(shù)據(jù)

據(jù)了解，技術(shù)團(tuán)隊(duì)通過相關(guān)技術(shù)手段，對西北工業(yè)大學(xué)遭受網(wǎng)絡(luò)攻擊的痕跡和現(xiàn)場環(huán)境進(jìn)行了取證分析，判斷出了美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）當(dāng)時(shí)攻擊的手法和時(shí)間，并且披露了其中相關(guān)網(wǎng)絡(luò)攻擊的典型案例。

1、竊取西北工業(yè)大學(xué)遠(yuǎn)程業(yè)務(wù)管理賬號口令、操作記錄等關(guān)鍵敏感數(shù)據(jù)

調(diào)查報(bào)告顯示，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）通過在西北工業(yè)大學(xué)運(yùn)維管理服務(wù)器安裝嗅探工具“飲茶”，長期隱蔽嗅探竊取西北工業(yè)大學(xué)運(yùn)維管理人員遠(yuǎn)程維護(hù)管理信息，包含網(wǎng)絡(luò)邊界設(shè)備賬號口令、業(yè)務(wù)設(shè)備訪問權(quán)限、路由器等設(shè)備配置信息等。

技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)，西北工業(yè)大學(xué)遭到嗅探的網(wǎng)絡(luò)設(shè)備類型包括固定互聯(lián)網(wǎng)的接入網(wǎng)設(shè)備（路由器、認(rèn)證服務(wù)器等）、核心網(wǎng)設(shè)備（核心路由器、交換機(jī)、防火墻等），也包括通信基礎(chǔ)設(shè)施運(yùn)營企業(yè)的重要設(shè)備（數(shù)據(jù)服務(wù)平臺等），內(nèi)容包括賬號、口令、設(shè)備配置、網(wǎng)絡(luò)配置等信息。

北京時(shí)間20××年12月11日6時(shí)52分，TAO以位于日本京都大學(xué)的代理服務(wù)器（IP：130.54.××.××）為攻擊跳板，非法入侵了西北工業(yè)大學(xué)運(yùn)維網(wǎng)絡(luò)的“telnet”管理服務(wù)器，上傳并安裝NOPEN木馬，然后級聯(lián)控制其內(nèi)網(wǎng)監(jiān)控管理服務(wù)器，上述2臺服務(wù)器事先均已被安裝“飲茶”嗅探工具。TAO遠(yuǎn)程操控木馬檢索并下載被壓縮加密的監(jiān)聽記錄文件，然后清痕退出。竊取數(shù)據(jù)包括路由器、核心網(wǎng)設(shè)備（核心路由器、交換機(jī)、防火墻）管理賬號、口令、設(shè)備配置、網(wǎng)絡(luò)配置等信息。

2、竊取西北工業(yè)大學(xué)網(wǎng)絡(luò)設(shè)備運(yùn)維配置文件和日志文件

美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）長期攻擊入侵西北工業(yè)大學(xué)網(wǎng)絡(luò)運(yùn)維管理服務(wù)器，秘密竊取網(wǎng)絡(luò)設(shè)備運(yùn)維配置文件和日志文件。

北京時(shí)間20××年10月11日10時(shí)41分，TAO通過位于韓國的代理服務(wù)器（IP：210.115.××.××）入侵控制了西北工業(yè)大學(xué)一臺內(nèi)網(wǎng)服務(wù)器。10時(shí)48分，TAO經(jīng)過兩次橫向移動，入侵了另一臺內(nèi)網(wǎng)服務(wù)器，訪問了特定目錄下的定期任務(wù)配置腳本，共檢索到14個(gè)用于定期執(zhí)行任務(wù)的配置文件。隨后，一次性竊取了這14個(gè)文件，這些文件可用于執(zhí)行定期清理、備份、檢查電源等操作。

3、滲透控制中國基礎(chǔ)設(shè)施核心設(shè)備

美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）利用竊取到的網(wǎng)絡(luò)設(shè)備賬號口令，以“合法”身份進(jìn)入中國某基礎(chǔ)設(shè)施運(yùn)營商服務(wù)網(wǎng)絡(luò)，控制相關(guān)服務(wù)質(zhì)量監(jiān)控系統(tǒng)，竊取用戶隱私數(shù)據(jù)。

北京時(shí)間20××年3月7日22:53，美國國家安全局“特定入侵行動辦公室”（TAO）通過位于墨西哥的攻擊代理148.208.××.××，攻擊控制中國某基礎(chǔ)設(shè)施運(yùn)營商的業(yè)務(wù)服務(wù)器211.136.××.××，通過兩次內(nèi)網(wǎng)橫向移動（10.223.140.××、10.223.14.××）后，攻擊控制了用戶數(shù)據(jù)庫服務(wù)器，非法查詢多名身份敏感人員的用戶信息。

同日15:02，TAO將查詢到的用戶數(shù)據(jù)保存在被攻擊服務(wù)器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目錄下，被打包回傳至攻擊跳板，隨后竊密過程中上傳的滲透工具、用戶數(shù)據(jù)等攻擊痕跡被專用工具快速清除。

國家計(jì)算機(jī)病毒應(yīng)急處理中心高級工程師 杜振華：TAO在這次針對西北工業(yè)大學(xué)的攻擊中使用了很多類的這種網(wǎng)絡(luò)武器，具體來說比如酸狐貍，那么它屬于典型的漏洞突破類的武器，它通過這種中間人的攻擊的方式，可以向內(nèi)網(wǎng)的被受害的主機(jī)去投送其他的網(wǎng)絡(luò)武器，像怒火噴射、絕不公開這種持久控制類武器，它就可以根據(jù)這種TAO遠(yuǎn)程發(fā)送的這種控制指令來實(shí)施在內(nèi)網(wǎng)的進(jìn)一步的攻擊滲透，橫向移動，可以部署像嗅探竊密類的武器，通過嗅探竊密類武器，像飲茶，它可以竊取更多的遠(yuǎn)程管理主機(jī)賬號密碼。

360公司網(wǎng)絡(luò)安全專家 邊亮：飲茶這種武器，它類似于我們戰(zhàn)爭中的間諜，它可以在網(wǎng)絡(luò)當(dāng)中去竊聽我們的流量數(shù)據(jù)。它通過網(wǎng)絡(luò)數(shù)據(jù)這種監(jiān)聽，就可以竊取到我們相關(guān)的這種敏感的數(shù)據(jù)和信息，就類似于我們兩個(gè)人聊天當(dāng)中可能有第三者進(jìn)行隔墻有耳這種監(jiān)聽一樣。

據(jù)技術(shù)團(tuán)隊(duì)分析，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）以上述手法，利用相同的武器工具組合，“合法”控制了全球不少于80個(gè)國家的電信基礎(chǔ)設(shè)施網(wǎng)絡(luò)。技術(shù)團(tuán)隊(duì)與歐洲和東南亞國家的合作伙伴通力協(xié)作，成功提取并固定了上述武器工具樣本，并成功完成了技術(shù)分析，擬適時(shí)對外公布，協(xié)助全球共同抵御和防范美國國家安全局NSA的網(wǎng)絡(luò)滲透攻擊。

維護(hù)網(wǎng)絡(luò)安全是國際社會的共同責(zé)任

技術(shù)團(tuán)隊(duì)經(jīng)過持續(xù)攻堅(jiān)，成功鎖定了美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊的目標(biāo)節(jié)點(diǎn)、多級跳板、主控平臺、加密隧道、攻擊武器和發(fā)起攻擊的原始終端，發(fā)現(xiàn)了攻擊實(shí)施者的身份線索，并成功查明了13名攻擊者的真實(shí)身份。

報(bào)告顯示，國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成技術(shù)團(tuán)隊(duì)，全程參與了此案的技術(shù)分析工作，技術(shù)團(tuán)隊(duì)得到歐洲、東南亞部分國家合作伙伴的通力支持，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關(guān)攻擊活動源自美國國家安全局（NSA）的特定入侵行動辦公室（TAO）。本系列研究報(bào)告將為全球各國有效發(fā)現(xiàn)和防范TAO的后續(xù)網(wǎng)絡(luò)攻擊行為提供可以借鑒的案例。

中國科技大學(xué)公共事務(wù)學(xué)院 網(wǎng)絡(luò)空間安全學(xué)院教授 左曉棟：由于網(wǎng)絡(luò)攻擊它是跨國界的，所以網(wǎng)絡(luò)攻擊的溯源，無論是在技術(shù)上，還是在程序上，都有巨大的難度。

專家表示，網(wǎng)絡(luò)空間是人類的共同家園，網(wǎng)絡(luò)攻擊是全球面臨的共同威脅，維護(hù)網(wǎng)絡(luò)安全是國際社會的共同責(zé)任。針對此類網(wǎng)絡(luò)攻擊，更需要相關(guān)國家通力合作才能揪出幕后黑手。

9月8日，外交部美大司司長楊濤就美國對我西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊竊密向美國駐華使館提出嚴(yán)正交涉。

楊濤指出，日前，中國國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司發(fā)布美國國家安全局下屬部門對中國西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告，有關(guān)事實(shí)清清楚楚，證據(jù)確鑿充分。這不是美國政府第一次對中國機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)攻擊和竊密敏感信息。美方行徑嚴(yán)重侵犯中國有關(guān)機(jī)構(gòu)的技術(shù)秘密，嚴(yán)重危害中國關(guān)鍵基礎(chǔ)設(shè)施、機(jī)構(gòu)和個(gè)人信息安全，必須立即停止。

（總臺央視記者 侯軍 陳雷 張崗 董良言 陳慶濱 韓汝旭）