更新時(shí)間:2025-03-12 15:53:13作者:佚名
2022年6月22日,西北理工大學(xué)發(fā)表了“公開(kāi)聲明”,指出該學(xué)校受到海外網(wǎng)絡(luò)襲擊的約束。西安克斯省西安公共安全局的貝林分公司立即發(fā)出了“警察信息通知”,證實(shí)了許多來(lái)自國(guó)外的特洛伊木馬樣品是在西北理工大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)的,西北理工大學(xué)的警方已正式調(diào)查了這一點(diǎn)。
國(guó)家計(jì)算機(jī)病毒應(yīng)急響應(yīng)中心和360公司共同組成了一個(gè)技術(shù)團(tuán)隊(duì)(以下簡(jiǎn)稱為“技術(shù)團(tuán)隊(duì)”),并在整個(gè)過(guò)程中參與了該案例的技術(shù)分析。技術(shù)團(tuán)隊(duì)依次從多個(gè)信息系統(tǒng)和西北理工大學(xué)的互聯(lián)網(wǎng)終端中提取了許多特洛伊木馬樣本,全面使用了現(xiàn)有的國(guó)內(nèi)數(shù)據(jù)資源和分析方法,并獲得了一些歐洲和南亞國(guó)家的合作伙伴的大力支持。它全面恢復(fù)了相關(guān)攻擊的整體輪廓,技術(shù)特征,攻擊武器,攻擊路徑和攻擊來(lái)源,并最初確定相關(guān)的攻擊活動(dòng)起源于美國(guó)國(guó)家安全局(NSA)的“量身定制的訪問(wèn)操作辦公室”(以下稱為tao)。
1。襲擊事件的概述
調(diào)查發(fā)現(xiàn),近年來(lái),美國(guó)國(guó)家安全局(TAO)對(duì)中國(guó)國(guó)內(nèi)網(wǎng)絡(luò)目標(biāo)進(jìn)行了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)攻擊,控制著成千上萬(wàn)的網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)服務(wù)器,網(wǎng)絡(luò)終端,網(wǎng)絡(luò)交換機(jī),電話交換機(jī),電話交換機(jī),路由器,路由器,防火墻等),并偷走了超過(guò)140GB的高額審查數(shù)據(jù)。陶使用其網(wǎng)絡(luò)攻擊武器平臺(tái)“零日漏洞”(0天)及其受控網(wǎng)絡(luò)設(shè)備等,以不斷擴(kuò)大其網(wǎng)絡(luò)攻擊和范圍。經(jīng)過(guò)技術(shù)分析和可追溯性,技術(shù)團(tuán)隊(duì)現(xiàn)在闡明了在陶(Tao)攻擊活動(dòng)中使用的網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施,特殊武器和設(shè)備,恢復(fù)了攻擊過(guò)程和被盜的文件,并獲得了網(wǎng)絡(luò)攻擊和數(shù)據(jù)盜竊的相關(guān)證據(jù),并獲得了中國(guó)信息網(wǎng)絡(luò)的相關(guān)證據(jù),涉及13人,涉及中國(guó)的17人,比6外的人涉及到60的簽署。該公司通過(guò)覆蓋公司來(lái)建立網(wǎng)絡(luò)攻擊環(huán)境。
2。攻擊事件分析
在針對(duì)西北理工大學(xué)的網(wǎng)絡(luò)攻擊中,陶使用了40多種不同的NSA特異性網(wǎng)絡(luò)攻擊武器,并繼續(xù)在西北理工大學(xué)發(fā)動(dòng)攻擊并竊取秘密,竊取了核心技術(shù)數(shù)據(jù),例如關(guān)鍵網(wǎng)絡(luò)設(shè)備配置,網(wǎng)絡(luò)管理數(shù)據(jù),運(yùn)營(yíng)數(shù)據(jù),學(xué)校的維護(hù)數(shù)據(jù)。通過(guò)法醫(yī)分析,技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)攻擊者通過(guò)操作攻擊者滲透了1,100多個(gè)攻擊鏈接和90多個(gè)操作命令序列。他還找到了多個(gè)被盜的網(wǎng)絡(luò)設(shè)備配置文件,嗅探網(wǎng)絡(luò)通信數(shù)據(jù)和密碼,其他類型的日志和密鑰文件以及與黑客入侵網(wǎng)絡(luò)設(shè)備攻擊活動(dòng)有關(guān)的其他主要細(xì)節(jié)。具體分析如下:
(i)相關(guān)的網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施
為了掩蓋其攻擊行動(dòng),Tao將在開(kāi)始操作之前進(jìn)行長(zhǎng)時(shí)間的準(zhǔn)備工作,主要是建立匿名攻擊基礎(chǔ)設(shè)施。陶使用了它針對(duì)Sunos操作系統(tǒng)的兩個(gè)“零日漏洞”開(kāi)發(fā)工具,并選擇了具有高網(wǎng)絡(luò)應(yīng)用程序流量的服務(wù)器,例如教育機(jī)構(gòu)和鄰國(guó)中國(guó)的商業(yè)公司,作為襲擊的目標(biāo);攻擊成功后,它安裝了Nopen Trojan程序(有關(guān)詳細(xì)信息,請(qǐng)參見(jiàn)相關(guān)研究報(bào)告)并控制了大量的跳板機(jī)。
陶在對(duì)西北理工大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中使用了54臺(tái)跳板機(jī)和代理服務(wù)器,主要分布在17個(gè)國(guó)家 /地區(qū),包括日本,韓國(guó),瑞典,波蘭,烏克蘭,其中70%位于中國(guó)各地,例如日本,韓國(guó)等國(guó)家。
這些跳板機(jī)的功能僅限于指令繼電器,也就是說(shuō),將先前的彈簧板說(shuō)明轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng),從而涵蓋了NSA的網(wǎng)絡(luò)攻擊的真實(shí)IP。目前,至少來(lái)自TAO控制跳板的四個(gè)IP地址(美國(guó)的國(guó)內(nèi)電信運(yùn)營(yíng)商),即209.59.36。*,69.165.54。*,207.195.240。*和209.118.143。*。同時(shí),為了進(jìn)一步掩蓋Springboard機(jī)器與代理服務(wù)器和NSA之間的關(guān)系,NSA使用了美國(guó)注冊(cè)公司的匿名保護(hù)服務(wù)來(lái)匿名將可追溯的信息(例如相關(guān)域名,證書和注冊(cè)人)匿名,并且無(wú)法通過(guò)公共渠道查詢。
通過(guò)對(duì)威脅情報(bào)數(shù)據(jù)的相關(guān)分析西北工業(yè)大學(xué)網(wǎng)絡(luò)教育學(xué)院,技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)西北理工大學(xué)攻擊平臺(tái)使用的網(wǎng)絡(luò)資源涉及5個(gè)代理服務(wù)器。 NSA從美國(guó)Terremark購(gòu)買了IP地址,并通過(guò)兩家秘密封面公司租用了一批服務(wù)器。兩家公司是杰克遜·史密斯顧問(wèn)和穆勒多元化系統(tǒng)。同時(shí),技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn)TAO基礎(chǔ)設(shè)施技術(shù)辦公室(MIT)員工使用“ Amanda Ramirez”這個(gè)名字購(gòu)買了域名和公共S??SL證書(ID:ID:
E42D3BEA0A16111E67EF79F9CC2 *****)。隨后,上述域名和證書被部署在位于美國(guó)的中型攻擊平臺(tái)“ FoxAcid”上,以發(fā)動(dòng)大量中國(guó)網(wǎng)絡(luò)目標(biāo)的攻擊。特別是,陶發(fā)起了多輪連續(xù)攻擊和針對(duì)西北理工大學(xué)等中國(guó)信息網(wǎng)絡(luò)目標(biāo)的秘密盜竊行動(dòng)。
(ii)相關(guān)的網(wǎng)絡(luò)攻擊武器
在對(duì)西北理工大學(xué)的網(wǎng)絡(luò)攻擊中,陶連續(xù)使用了41個(gè)NSA專用的網(wǎng)絡(luò)攻擊武器和設(shè)備。在攻擊期間,TAO將根據(jù)目標(biāo)環(huán)境靈活配置相同的網(wǎng)絡(luò)武器。例如,在西北理工大學(xué)的網(wǎng)絡(luò)攻擊中使用的網(wǎng)絡(luò)武器中,有14種不同版本的后門工具“ Crazy Heretic”(NSA命名)。技術(shù)團(tuán)隊(duì)將道在此攻擊中使用的工具分為四類,包括:
1。脆弱性攻擊的突破性武器
在依靠此類武器時(shí),陶在西北理工大學(xué)的邊境網(wǎng)絡(luò)設(shè)備,門戶服務(wù)器,辦公室內(nèi)部網(wǎng)宿主等上實(shí)施了攻擊突破,還用于攻擊和控制海外的彈簧板,以建立匿名網(wǎng)絡(luò)作為封面。這種武器有3種類型:
①“剃刀”
該武器可以用X86和SPARC體系結(jié)構(gòu)實(shí)施遠(yuǎn)程脆弱性攻擊,這些系統(tǒng)打開(kāi)了指定的RPC服務(wù)。在攻擊過(guò)程中,它可以自動(dòng)檢測(cè)目標(biāo)系統(tǒng)服務(wù)的打開(kāi),并智能選擇適當(dāng)?shù)穆┒蠢么a以直接獲得對(duì)目標(biāo)主機(jī)的完全控制。該武器用于攻擊日本,韓國(guó)和其他國(guó)家 /地區(qū)的跳板機(jī)。受控的跳板機(jī)用于攻擊西北理工大學(xué)的網(wǎng)絡(luò)攻擊。
②“孤立島”
該武器還可以針對(duì)打開(kāi)指定的RPC服務(wù)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊,直接獲得對(duì)目標(biāo)主機(jī)的完全控制。與“剃須刀”的區(qū)別在于,該工具無(wú)法獨(dú)立檢測(cè)目標(biāo)服務(wù)的開(kāi)放性,并且用戶需要手動(dòng)配置目標(biāo)和相關(guān)參數(shù)。 NSA使用此武器來(lái)攻擊和控制西北理工大學(xué)的邊界服務(wù)器。
③“酸狐”武器平臺(tái)
該武器平臺(tái)部署在哥倫比亞,可以與“第二級(jí)約會(huì)”中間攻擊武器結(jié)合使用。它可以智能配置脆弱性有效載荷,以在IE,F(xiàn)irefox,Safari,Android Webkit等多個(gè)平臺(tái)上對(duì)主流瀏覽器進(jìn)行遠(yuǎn)程溢出攻擊,并獲得對(duì)目標(biāo)系統(tǒng)的控制(請(qǐng)參閱國(guó)家安全局(NSA)對(duì)“蘇裝福克斯攻擊武器平臺(tái)”(NSA)的技術(shù)分析報(bào)告(NSA)對(duì)國(guó)家安全武器(NAS)的技術(shù)分析(NSA)的武器(NSA)。理工大學(xué)的辦公室Intranet主持人。
2。持續(xù)的控制武器
道依靠這種武器來(lái)對(duì)西北理工大學(xué)網(wǎng)絡(luò)進(jìn)行隱藏和持續(xù)的控制。 TAO行動(dòng)團(tuán)隊(duì)可以通過(guò)加密的渠道發(fā)送控制說(shuō)明,以操作此類武器,以執(zhí)行西北理工大學(xué)網(wǎng)絡(luò)的滲透,控制和竊取。有6種此類武器:
①“第二個(gè)日期”
該武器一直居住在網(wǎng)絡(luò)邊界設(shè)備和服務(wù)器上,例如網(wǎng)關(guān)服務(wù)器,邊框路由器等,并且可以準(zhǔn)確過(guò)濾并自動(dòng)劫持大量數(shù)據(jù)流量,以實(shí)現(xiàn)中間攻擊功能。陶在西北理工大學(xué)邊境設(shè)備上安裝了武器,劫持了流過(guò)設(shè)備的交通,以指導(dǎo)“酸狐”平臺(tái)以進(jìn)行脆弱性攻擊。
②“ nopen”
該武器是一個(gè)遙控的木馬,支持多個(gè)操作系統(tǒng)和不同的體系結(jié)構(gòu)。它可以通過(guò)分類的隧道接收說(shuō)明執(zhí)行文件管理,過(guò)程管理,系統(tǒng)命令執(zhí)行和其他操作,并且具有提高權(quán)限并持久的能力(請(qǐng)參閱國(guó)家計(jì)算機(jī)病毒緊急響應(yīng)中心的“ Nopen”遙控的Trojan分析報(bào)告。TAO主要使用此武器來(lái)實(shí)現(xiàn)核心商業(yè)網(wǎng)絡(luò)的核心網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備范圍內(nèi)的核心網(wǎng)絡(luò)范圍內(nèi)部的核心網(wǎng)絡(luò)控制。
③“狂暴噴霧”
該武器是基于Windows系統(tǒng)的遙控器,支持多個(gè)操作系統(tǒng)和不同的體系結(jié)構(gòu)。它可以根據(jù)目標(biāo)系統(tǒng)環(huán)境自定義和生成不同類型的Trojan服務(wù)器。該服務(wù)器本身具有強(qiáng)大的抗分析和抗抑制功能。陶主要使用此武器與“酸狐”平臺(tái)合作,以在西北理工大學(xué)的辦公網(wǎng)絡(luò)內(nèi)實(shí)施對(duì)個(gè)人主機(jī)的持續(xù)控制。
④“瘋狂的異端”
該武器是一種輕巧的后門植入工具,在運(yùn)行后已刪除。它具有增強(qiáng)目標(biāo)設(shè)備上的權(quán)限和持久性的能力,并且可以從系統(tǒng)開(kāi)始。陶主要使用此武器實(shí)現(xiàn)持久的住所,以便在正確的時(shí)間建立加密管道,以上傳Nopen Trojan,以確保對(duì)西北理工大學(xué)信息網(wǎng)絡(luò)的長(zhǎng)期控制。
⑤“斯多葛外科醫(yī)生”
該武器是四種類型的操作系統(tǒng),例如Linux,Solaris,Junos和FreeBSD的后門。該武器可以在目標(biāo)設(shè)備上持續(xù)運(yùn)行,并根據(jù)說(shuō)明在目標(biāo)設(shè)備上隱藏指定的文件,目錄,進(jìn)程等。陶主要使用此武器隱藏Nopen Trojan的文件和過(guò)程,以避免通過(guò)監(jiān)視發(fā)現(xiàn)。技術(shù)分析發(fā)現(xiàn),陶在西北理工大學(xué)的網(wǎng)絡(luò)攻擊中使用了12種不同版本的武器。
3。嗅探秘密武器
道依靠此類武器來(lái)嗅探帳戶密碼和命令行操作記錄,在運(yùn)營(yíng)和維護(hù)網(wǎng)絡(luò)時(shí),西北理工大學(xué)的員工使用的工作人員使用,并竊取西北理工大學(xué)網(wǎng)絡(luò)中的敏感信息以及操作和維護(hù)數(shù)據(jù)。有兩種類型的武器:
①“喝茶”
該武器可以長(zhǎng)時(shí)間駐留在32位或64位Solaris系統(tǒng)中,并通過(guò)嗅探程序間通信,以在各種遠(yuǎn)程登錄方法(例如SSH,Telnet和Rlogin)中獲取帳戶密碼。陶主要使用此武器來(lái)嗅探帳戶密碼,命令行操作記錄,日志文件等。在實(shí)施操作和維護(hù)工作時(shí)西北工業(yè)大學(xué)網(wǎng)絡(luò)教育學(xué)院,西北理工大學(xué)業(yè)務(wù)人員生成的生成,并壓縮和加密存儲(chǔ)以用于下載Nopen Trojan。
②“在敵軍后面的操作”一系列武器
該系列武器是專門為電信運(yùn)營(yíng)商特定業(yè)務(wù)系統(tǒng)設(shè)計(jì)的工具。根據(jù)所控制的業(yè)務(wù)設(shè)備的類型,“敵人背后的操作”將與不同的分析工具一起使用。陶在對(duì)西北理工大學(xué)的網(wǎng)絡(luò)攻擊中使用了針對(duì)電信運(yùn)營(yíng)商的三種攻擊和竊取工具,包括“魔術(shù)學(xué)校”,“小丑食品”和“詛咒火”。
4。隱藏和碎屑武器
陶(Tao)依靠這種武器,消除了西北理工大學(xué)網(wǎng)絡(luò)中其行為的痕跡,隱藏并掩蓋了其惡意運(yùn)營(yíng)和偷竊貝語(yǔ)網(wǎng)校,并為上述三種武器提供了保護(hù)。已經(jīng)發(fā)現(xiàn)了其中一種武器:
“吐司面包”,該武器可用于查看和修改日志文件,例如UTMP,WTMP,LastLog等,以清除操作跟蹤。陶主要使用此武器清除和替換西北理工大學(xué)被指控的互聯(lián)網(wǎng)設(shè)備上的各種日志文件,從而隱藏了其惡意行為。陶對(duì)西北理工大學(xué)的網(wǎng)絡(luò)攻擊使用了3種不同版本的“吐司面包”。
3。攻擊可追溯性
基于上述技術(shù)分析結(jié)果和可追溯性調(diào)查,技術(shù)團(tuán)隊(duì)最初認(rèn)為,美國(guó)國(guó)家安全局(NSA)的信息和信息部(代碼S)數(shù)據(jù)調(diào)查局(代碼S32)是國(guó)家安全局(Code S3)的部門。該部門成立于1998年,其部署主要依賴于美國(guó)和歐洲的各個(gè)加密中心。宣布的六個(gè)密碼中心是:
1.美國(guó)馬里蘭州米德堡的NSA總部;
2。NSA夏威夷密碼中心(NSAH),位于美國(guó)夏威夷瓦胡島;
3.美國(guó)佐治亞州戈登堡的NSA Georgia加密中心(NSAG);
4。Dexas密碼中心(NSAT)位于美國(guó)德克薩斯州圣安東尼奧市;
5。NSAColoraro代碼中心(NSAC)位于美國(guó)科羅拉多州丹佛市Markley空軍基地;
6. NSA歐洲加密中心(NSAE)位于德國(guó)達(dá)姆施塔特的美國(guó)軍事基地。
Tao目前是一個(gè)戰(zhàn)術(shù)實(shí)施部門,專門從事美國(guó)政府的大規(guī)模網(wǎng)絡(luò)攻擊和針對(duì)其他國(guó)家的間諜活動(dòng)。它由2,000多名軍事和平民人員組成,其內(nèi)部機(jī)構(gòu)包括:
首先:遠(yuǎn)程操作中心(ROC,代碼S321),主要負(fù)責(zé)操作武器平臺(tái)和輸入和控制目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的工具。
第二個(gè)位置:高級(jí)/訪問(wèn)網(wǎng)絡(luò)技術(shù)辦公室(ANT,代碼名稱S322),負(fù)責(zé)研究相關(guān)硬件技術(shù),并為TAO網(wǎng)絡(luò)攻擊操作提供與硬件有關(guān)的技術(shù)和武器設(shè)備支持。
第三個(gè)位置:數(shù)據(jù)網(wǎng)絡(luò)技術(shù)部(DNT,代碼名稱S323),負(fù)責(zé)開(kāi)發(fā)復(fù)雜的計(jì)算機(jī)軟件工具,以為TAO操作員提供網(wǎng)絡(luò)攻擊任務(wù)的支持。
第四個(gè)地點(diǎn):電信網(wǎng)絡(luò)技術(shù)部(TNT,代碼名稱S324),負(fù)責(zé)研究與電信相關(guān)的技術(shù),并為TAO運(yùn)營(yíng)商提供支持,以掩蓋透過(guò)電信網(wǎng)絡(luò)。
第5節(jié):任務(wù)基礎(chǔ)設(shè)施技術(shù)部(MIT,代碼名稱S325),負(fù)責(zé)開(kāi)發(fā)和建立網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和安全監(jiān)控平臺(tái),用于構(gòu)建攻擊操作操作網(wǎng)絡(luò)環(huán)境和匿名網(wǎng)絡(luò)。
部門6:訪問(wèn)操作辦公室(ATO,代碼名稱S326),負(fù)責(zé)通過(guò)供應(yīng)鏈交付的后門安裝產(chǎn)品。
第七位置:要求和定位部(R&T,代碼S327),接受每個(gè)相關(guān)單元的任務(wù),確定偵察目標(biāo),并分析和評(píng)估情報(bào)的價(jià)值。
S32P:項(xiàng)目計(jì)劃集成部(PPI,代號(hào)為S32P),負(fù)責(zé)整體計(jì)劃和項(xiàng)目管理。
NWT:網(wǎng)絡(luò)戰(zhàn)隊(duì)(NWT),負(fù)責(zé)與網(wǎng)絡(luò)戰(zhàn)隊(duì)聯(lián)絡(luò)。
國(guó)家安全局(NSA)對(duì)西北理工大學(xué)的攻擊為“ shotxxxx”。該行動(dòng)由道領(lǐng)導(dǎo)人直接指導(dǎo),麻省理工學(xué)院(S325)負(fù)責(zé)建立偵察環(huán)境和租賃攻擊資源; R&T(S327)負(fù)責(zé)確定攻擊操作策略和情報(bào)評(píng)估; ANT(S322),DNT(S323)和TNT(S324)負(fù)責(zé)提供技術(shù)支持; ROC(S321)負(fù)責(zé)組織攻擊偵察行動(dòng)。可以看出,直接參與指揮和操作的主要人包括TAO領(lǐng)導(dǎo)者,S321和S325單位。
NSA對(duì)西北理工大學(xué)的襲擊期間的TAO領(lǐng)導(dǎo)人是羅伯特·愛(ài)德華·喬伊斯(Robert Edward Joyce)。這個(gè)人于1967年9月13日出生,并在漢尼拔高中學(xué)習(xí)。他于1989年畢業(yè)于克拉克森大學(xué),獲得學(xué)士學(xué)位,并于1993年畢業(yè)于約翰·霍普金斯大學(xué),獲得碩士學(xué)位。 He joined the National Security Agency in 1989. He served as deputy director of TAO and served as director of TAO from 2013 to 2017. He started working as an acting US Homeland Security Consultant in October 2017. From April to May 2018, he served as the White House's State Security Advisor, and later returned to the NSA to serve as senior advisor to cybersecurity strategy of the Director of the National Security Agency, and is now the NSA's head of cybersecurity.
4。摘要
根據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急中心和360聯(lián)合技術(shù)團(tuán)隊(duì)的分析結(jié)果,該報(bào)告揭示了有關(guān)NSA在中國(guó)信息網(wǎng)絡(luò)用戶和重要單位(包括西北理工大學(xué))的長(zhǎng)期網(wǎng)絡(luò)間諜活動(dòng)的真相。隨后的技術(shù)團(tuán)隊(duì)還將宣布相關(guān)事件調(diào)查的更多技術(shù)細(xì)節(jié)。
2025-03-12 16:23