美被指網攻西北工業大學 最新調查揭曾查詢中國境內敏感身份人員
位於陝西西安市的西北工業大學今年6月22日發佈公開聲明,稱該校遭受境外網絡攻擊。本月初,國家計算機病毒應急處理中心和360公司分別發布了調查報告,指西工大遭受的境外網絡攻擊來自美國國家安全局(NSA)特定入侵行動辦公室(Office of Tailored Access Operation,簡稱TAO)。周二(27日),《環球時報》報道指,最新調查報告進一步揭露了美國對西工大組織網絡攻擊的目的,並顯示在入侵過程中,美方還查詢一批中國境內敏感身份人員。
據報道,國家計算機病毒應急處理中心和360公司全程參與案件的技術分析,在持續攻堅後成功鎖定了TAO對西北工業大學實施網絡攻擊的目標節點、多級跳板、主控平台、加密隧道、攻擊武器和發起攻擊的原始終端,並成功查明13名攻擊者的真實身份。
最新調查報告進一步表明,TAO長期隱蔽控制西工大的運維管理服務器,並採取替換原系統文件和擦除系統日誌的方式消痕隱身以規避溯源;網絡安全技術人員根據隱蔽鏈路、滲透工具、木馬樣本等特徵關聯,發現TAO還對中國基礎設施運營商核心數據網絡實施滲透控制。
此外,TAO還透過掌握的中國基礎設施運營商的思科PIX防火牆、天融信防火牆等設備的賬號口令,以「合法」身份進入運營商網絡實施內網滲透拓展,控制相關運營商的服務質量監控系統和短信網關服務器,並利用專門針對運營商設備的武器工具,如「魔法學校」等,來查詢一批中國境內敏感身份人員,再將用戶信息打包加密後,經多級跳板回傳至NSA總部。
報道指,新報告公佈的一系列細節進一步證明TAO實施網絡攻擊行為,包括其竊取中國用戶隱私數據的時間及方式,相當於「人贓俱獲」。值得一提的是,TAO在實施網絡攻擊中曾因操作失誤暴露工作路徑,當時網絡攻擊人員利用位於韓國的跳板機,並使用NOPEN木馬再次攻擊西工大,但在對校內網實施第三級滲透後試圖入侵控制一台網絡設備期間,在運行上傳PY腳本工具時出現人為失誤,未修改指定參數。腳本執行後返回出錯信息,當中攻擊者上網終端的工作目錄和相應的文件名暴露,從而得知木馬控制端的系統環境為Linux系統,且相應目錄名「/etc/autoutils」為TAO網絡攻擊武器工具目錄的專用名稱(autoutils)。
而據大數據分析,多達98%的對西工大網絡攻擊行動集中在北京時間21時至凌晨4時之間,該時段屬於美國國內的工作時間段,而美國時間的周六、周日時間內,則均未發生相關網絡攻擊行動。另外,美國「陣亡將士紀念日」的3天假期及「獨立日」的1天假期中,攻擊方皆沒有實施任何攻擊竊密行動;在長期的對攻擊行為密切跟蹤中,還發現在歷年聖誕節期間,所有網絡攻擊活動都處於靜默狀態。