更多內容曝光！西北工業大學遭美國NSA網絡攻擊事件調查報告發布

央視網消息：今天（9月5日），國家計算機病毒應急處理中心和360公司分別發佈了關於西北工業大學遭受境外網絡攻擊的調查報告。調查發現，美國國家安全局（NSA）下屬的“特定入侵行動辦公室”（TAO）多年來對我國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了相關網絡設備，疑似竊取了高價值數據。

今年4月，西安市公安機關接到一起網絡攻擊的報警，西北工業大學的信息系統發現遭受網絡攻擊的痕跡。

西安市公安機關對此高度重視，立即組織警力與網絡安全技術專家成立聯合專案組對此案進行立案偵查。國家計算機病毒應急處理中心和360公司聯合組成技術團隊，全程參與了此案的技術分析工作。技術團隊先後從西北工業大學的多個信息系統和上網終端中提取到了多款木馬樣本，綜合使用國內現有數據資源和分析手段，並得到了歐洲、南亞部分國家合作伙伴的通力支持，全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關攻擊活動源自美國國家安全局（NSA）“特定入侵行動辦公室”（Office of Tailored Access Operation，簡稱TAO ）。

本次調查還發現，在近年裏，美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）對中國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了數以萬計的網絡設備，包括：網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火牆等，竊取了超過140GB的高價值數據。

聯合技術團隊經過複雜的技術分析與溯源，還原了西北工業大學遭受網絡攻擊的過程和被竊取的文件，掌握了美國國家安全局（NSA）下屬的“特定入侵行動辦公室”（TAO）對中國信息網絡實施網絡攻擊和數據竊密的相關證據，涉及在美國國內對中國直接發起網絡攻擊的人員13名，以及美國國家安全局（NSA）通過掩護公司爲構建網絡攻擊環境而與美國電信運營商簽訂的合同60餘份、電子文件170餘份。

使用41種網絡攻擊武器竊取數據

更多內容曝光！西北工業大學遭美國NSA網絡攻擊事件調查報告發布

此次調查發現，針對西北工業大學的網絡攻擊中，美國國家安全局（NSA）下屬的“特定入侵行動辦公室”（TAO）使用了41種不同的專屬網絡攻擊武器，持續對西北工業大學開展攻擊竊密，竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。

此次遭受攻擊的西北工業大學位於陝西西安，隸屬於工業和信息化部，是一所多科性、研究型、開放式大學。

調查報告顯示，美國國家安全局（NSA）在對西北工業大學的網絡攻擊行動中，先後使用了41種專用網絡攻擊武器裝備，僅後門工具“狡詐異端犯”（ NSA 命名）就有14款不同版本。

通過取證分析，技術團隊累計發現攻擊者在西北工業大學內部滲透的攻擊鏈路多達1100餘條、操作的指令序列90餘個，並從被入侵的網絡設備中定位了多份遭竊取的網絡設備配置文件、遭嗅探的網絡通信數據及口令、其他類型的日誌和密鑰文件以及其他與攻擊活動相關的主要細節。

技術團隊將此次攻擊活動中所使用的武器類別分爲四大類，具體包括漏洞攻擊突破類武器、持久化控制類武器、嗅探竊密類武器、隱蔽消痕類武器。

此次調查報告披露，美國國家安全局（NSA）利用大量網絡攻擊武器，針對我國各行業龍頭企業、政府、大學、醫療、科研等機構長期進行祕密黑客攻擊活動。

調查同時發現，美國國家安全局（NSA）還利用其控制的網絡攻擊武器平臺、“零日漏洞“（Oday）和網絡設備，長期對中國的手機用戶進行無差別的語音監聽，非法竊取手機用戶的短信內容，並對其進行無線定位。

做長時間準備工作精心僞裝網絡攻擊痕跡

更多內容曝光！西北工業大學遭美國NSA網絡攻擊事件調查報告發布

此次調查報告披露，美國國家安全局（NSA）爲了隱匿其對西北工業大學等中國信息網絡實施網絡攻擊的行爲，做了長時間準備工作，並且進行了精心僞裝。

技術團隊分析發現，美國國家安全局（NSA）下屬的“特定入侵行動辦公室”（TAO）在開始行動前會進行較長時間的準備工作，主要進行匿名化攻擊基礎設施的建設。特定入侵行動辦公室（TAO）利用其掌握的針對SunOS操作系統的兩個“零日漏洞”利用工具，選擇了中國周邊國家的教育機構、商業公司等網絡應用流量較多的服務器爲攻擊目標；攻擊成功後，即安裝NOPEN木馬程序，控制了大批跳板機。

“特定入侵行動辦公室”（TAO）在針對西北工業大學的網絡攻擊行動中先後使用了54臺跳板機和代理服務器，主要分佈在日本、韓國、瑞典、波蘭、烏克蘭等17個國家，其中70%位於中國周邊國家，如日本、韓國等。其中，用以掩蓋真實IP的跳板機都是精心挑選，所有IP均歸屬於非“五眼聯盟”國家。

針對西北工業大學攻擊平臺所使用的網絡資源涉及代理服務器，美國國家安全局（NSA）通過祕密成立的兩家掩護公司購買了埃及、荷蘭和哥倫比亞等地的IP，並租用一批服務器。

美國國家安全局（NSA）爲了保護其身份安全，使用了美國隱私保護公司的匿名保護服務，相關域名和證書均指向無關聯人員，以便掩蓋真實攻擊平臺對西北工業大學等中國信息網絡展開的多輪持續性攻擊、竊密行動。

技術團隊還發現，相關網絡攻擊活動開始前，美國國家安全局（NSA）在美國多家大型知名互聯網企業配合下，將掌握的中國大量通信網絡設備的管理權限，提供給美國國家安全局等情報機構，爲持續侵入中國國內的重要信息網絡大開方便之門。

TAO：網絡攻擊竊密活動的戰術實施單位

更多內容曝光！西北工業大學遭美國NSA網絡攻擊事件調查報告發布

調查報告顯示，美國國家安全局（NSA）下屬的“特定入侵行動辦公室”（TAO）不僅對中國國內的各重點企業和機構實施惡意網絡攻擊，而且還長期對中國的手機用戶進行無差別的語音監聽，非法竊取手機用戶的短信內容，並對其進行無線定位。那麼這個簡稱TAO的“特定入侵行動辦公室”到底是一個什麼機構呢？

經技術分析和網上溯源調查發現，實施此次網絡攻擊行動美國國家安全局（NSA）下屬“特定入侵行動辦公室”（TAO）部門成立於 1998年，其力量部署主要依託美國國家安全局（NSA）在美國和歐洲的各密碼中心。目前已被公佈的六個密碼中心分別是：

1．國安局馬里蘭州的米德堡總部；

2．瓦湖島的國安局夏威夷密碼中心（NSAH）；

3．戈登堡的國安局喬治亞密碼中心（NSAG）；

4．聖安東尼奧的國安局德克薩斯密碼中心（NSAT）；

5．丹佛馬克利空軍基地的國安局科羅拉羅密碼中心（NSAC）；

6．德國達姆施塔特美軍基地的國安局歐洲密碼中心（NSAE）。

“特定入侵行動辦公室”TAO 是目前美國政府專門從事對他國實施大規模網絡攻擊竊密活動的戰術實施單位，由 2000 多名軍人和文職人員組成，下設10個單位，美國國家安全局（NSA）針對西北工業大學的攻擊竊密行動負責人是羅伯特·喬伊斯（Robert Edward Joyce ）。此人於 1967年9月13日出生，1989 年進入美國國家安全局工作，曾經擔任過“特定入侵行動辦公室”（TAO）副主任、主任，現擔任美國國家安全局（NSA）網絡安全主管。

專家呼籲提高網絡安全防範