美國NSA特定入侵行動辦公室曝光:西北工業(yè)大學遭受境外網(wǎng)絡(luò)攻擊真相揭秘
更新時間:2025-03-12 16:23:05作者:佚名
西北理工大學在6月發(fā)表聲明,稱來自國外的黑客和罪犯向?qū)W校的教師和學生發(fā)送了包含特洛伊木馬計劃的網(wǎng)絡(luò)釣魚電子郵件,試圖竊取相關(guān)的老師和學生的電子郵件數(shù)據(jù)以及公民的個人信息。 9月5日,《全球時報》從相關(guān)部門了解到,“西北理工大學的“真正的罪魁禍首”遭受了海外網(wǎng)絡(luò)攻擊的困擾”是國家安全局(NSA)特定的入侵運營辦公室(TAO)。在各個部門的聯(lián)合努力下,這項行動全面恢復(fù)了美國國家安全局在過去幾年中使用網(wǎng)絡(luò)武器發(fā)起的一系列攻擊,從而打破了美國對我們國家的“單向透明度”優(yōu)勢。
揭示的“真正犯罪”:美國特定入侵行動的辦公室
6月22日,西北理工大學發(fā)表聲明說,來自國外的黑客和罪犯向?qū)W校的教師和學生發(fā)送了包含特洛伊木馬計劃的網(wǎng)絡(luò)釣魚電子郵件,試圖竊取相關(guān)的老師和學生的電子郵件數(shù)據(jù)以及公民的個人信息,并為學校的正常工作和生活命令構(gòu)成主要風險,并隱藏了危險。 6月23日,西安公共安全局的貝林分公司發(fā)布了一份警方報告,稱已提起調(diào)查和進一步的技術(shù)分析,對提取的特洛伊木馬和網(wǎng)絡(luò)釣魚電子郵件樣本進行進一步的技術(shù)分析。最初確定這一事件是由海外黑客組織和罪犯發(fā)起的網(wǎng)絡(luò)攻擊。
為了回應(yīng)“西北理工大學的海外網(wǎng)絡(luò)攻擊”,中國的國家計算機病毒應(yīng)急響應(yīng)中心和360公司共同組成了一個技術(shù)團隊(以下稱為“技術(shù)團隊”),以對此案進行全面的技術(shù)分析。技術(shù)團隊依次從多個信息系統(tǒng)和西北理工大學的互聯(lián)網(wǎng)終端中提取了許多特洛伊木馬樣本,全面使用了現(xiàn)有的國內(nèi)數(shù)據(jù)資源和分析方法,并獲得了一些歐洲和南亞國家的合作伙伴的大力支持,并全面地恢復(fù)了整體概述,技術(shù)特征,攻擊武器,攻擊武器,攻擊路徑和攻擊源相關(guān)攻擊。技術(shù)團隊最初確定對西北理工大學的網(wǎng)絡(luò)攻擊是NSA信息和信息部(代碼S)數(shù)據(jù)偵察局(代碼S3)下的TAO(代碼S32)系。
攻擊操作代碼名稱“ block xxxx”
Tao成立于1998年。目前,這是一個戰(zhàn)術(shù)實施部門,專門從事美國政府在其他國家的大規(guī)模網(wǎng)絡(luò)攻擊和秘密。它由2,000多名士兵和平民組成,有10個部門。
全球時報記者了解到,該案在NSA的內(nèi)部攻擊操作中被編碼為“ shotxxxx”。直接參與命令和操作的主要包括TAO領(lǐng)導(dǎo)者,遠程操作中心(主要負責操作武器平臺和輸入和控制目標系統(tǒng)或網(wǎng)絡(luò)的工具)以及任務(wù)基礎(chǔ)架構(gòu)技術(shù)部(負責開發(fā)和建立網(wǎng)絡(luò)基礎(chǔ)架構(gòu)和安全監(jiān)控平臺,用于構(gòu)建攻擊行動環(huán)境和匿名網(wǎng)絡(luò))。
國家安全局(NSA)總部,醫(yī)學博士米德堡
此外,四個部門參加了該行動,即:高級/訪問網(wǎng)絡(luò)技術(shù)部門,數(shù)據(jù)網(wǎng)絡(luò)技術(shù)部門和電信網(wǎng)絡(luò)技術(shù)部負責提供技術(shù)支持,并且要求和定位部門負責確定攻擊操作策略和情報評估。
當時,陶負責人是羅伯特·喬伊斯(Robert Joyce)。這個人于1967年9月13日出生,并在漢尼拔高中學習。他于1989年畢業(yè)于克拉克森大學,獲得學士學位,并于1993年畢業(yè)于約翰·霍普金斯大學,獲得碩士學位。 He joined the National Security Agency in 1989. He served as deputy director of TAO and served as director of TAO from 2013 to 2017. He started working as an acting US Homeland Security Consultant in October 2017. From April to May 2018, he served as state security consultant at the White House, and later returned to the NSA to serve as senior advisor to cybersecurity strategy of the Director of the National Security Agency, and is currently the director of the NSA Cyber??security 機構(gòu)。
技術(shù)團隊全面恢復(fù)攻擊竊取過程:TAO使用41個NSA特異性網(wǎng)絡(luò)攻擊武器
調(diào)查發(fā)現(xiàn),近年來,美國國家安全局(TAO)對中國國內(nèi)網(wǎng)絡(luò)目標進行了數(shù)以萬計的網(wǎng)絡(luò)攻擊,控制著成千上萬的網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)服務(wù)器,網(wǎng)絡(luò)終端,網(wǎng)絡(luò)交換機,電話交換機,電話交換機,路由器,路由器,防火墻等),并偷走了超過140GB的高額審查數(shù)據(jù)。
技術(shù)分析還發(fā)現(xiàn),在這次襲擊開始之前,陶在美國的許多大型且知名的互聯(lián)網(wǎng)公司的合作中掌握了中國大量通信網(wǎng)絡(luò)設(shè)備的管理權(quán),為促進NSA持續(xù)不斷侵犯了中國重要信息網(wǎng)絡(luò)的大門。
經(jīng)過可追溯性分析后,技術(shù)團隊現(xiàn)在恢復(fù)了攻擊和竊取過程:在針對西北理工大學的網(wǎng)絡(luò)攻擊中,陶使用了41個NSA特定的網(wǎng)絡(luò)攻擊武器,并繼續(xù)發(fā)起攻擊并竊取對西北技術(shù)核心大學的秘密,并竊取了諸如學校密鑰網(wǎng)絡(luò)技術(shù)數(shù)據(jù)等網(wǎng)絡(luò)設(shè)備設(shè)備配置數(shù)據(jù),并維護數(shù)據(jù),并維護數(shù)據(jù),并維護數(shù)據(jù),并維護數(shù)據(jù)。技術(shù)團隊澄清說,它已經(jīng)滲透了1,100多個攻擊鏈接,90多個操作命令序列,多個被盜的網(wǎng)絡(luò)設(shè)備配置文件,網(wǎng)絡(luò)通信數(shù)據(jù)和密碼以及其他類型的日志和密鑰文件,基本上還原了每次攻擊的主要細節(jié)。它已經(jīng)掌握并固定了多個相關(guān)證據(jù)鏈接,涉及13人直接發(fā)起了對中國的網(wǎng)絡(luò)攻擊的人,以及與美國電信運營商簽署的60多份合同,以及NSA的170多個電子文件,通過涵蓋公司建立網(wǎng)絡(luò)攻擊環(huán)境。
結(jié)論性證據(jù):鎖定四個IP地址
為了掩蓋其攻擊行動,陶在開始手術(shù)之前進行了長時間的準備工作,主要是進行匿名攻擊基礎(chǔ)設(shè)施的構(gòu)建。陶使用了它針對Sunos操作系統(tǒng)的兩個“零日漏洞”開發(fā)工具,并選擇了具有高網(wǎng)絡(luò)應(yīng)用程序流量的服務(wù)器,例如教育機構(gòu)和鄰國中國的商業(yè)公司,作為襲擊的目標;攻擊成功后,它安裝了Nopen Trojan計劃(參與了相關(guān)研究報告),以控制大量的跳板機。
據(jù)報道網(wǎng)校頭條,陶在對西北理工大學的網(wǎng)絡(luò)攻擊中使用了54臺跳板機和代理服務(wù)器,主要分布在日本,韓國,瑞典,波蘭,波蘭,烏克蘭,其中70%位于中國,例如日本,韓國等鄰國,
這些跳板機的功能僅限于指令繼電器,也就是說,將先前的彈簧板說明轉(zhuǎn)發(fā)到目標系統(tǒng),從而涵蓋了NSA的網(wǎng)絡(luò)攻擊的真實IP。目前,至少來自TAO控制跳板的四個IP地址(美國的國內(nèi)電信運營商),即209.59.36。*,69.165.54。*,207.195.240。*和209.118.143。*。同時,為了進一步掩蓋Springboard機器與代理服務(wù)器和NSA之間的關(guān)系,NSA使用了美國注冊公司的匿名保護服務(wù)來匿名將可追溯的信息(例如相關(guān)域名,證書和注冊人)匿名,并且無法通過公共渠道查詢。
通過對威脅情報數(shù)據(jù)的相關(guān)分析西北工業(yè)大學網(wǎng)絡(luò)教育學院,技術(shù)團隊發(fā)現(xiàn)西北理工大學攻擊平臺使用的網(wǎng)絡(luò)資源涉及5個代理服務(wù)器。 NSA從美國Terremark購買了IP地址,并通過兩家秘密封面公司租用了一批服務(wù)器。兩家公司是杰克遜·史密斯顧問和穆勒多元化系統(tǒng)。同時,技術(shù)團隊還發(fā)現(xiàn)TAO基礎(chǔ)設(shè)施技術(shù)辦公室(MIT)員工使用“ Amanda Ramirez”這個名字購買了域名和公共S??SL證書(ID:ID:
E42D3BEA0A16111E67EF79F9CC2 *****)。隨后,上述域名和證書被部署在位于美國的中型攻擊平臺“ Foxacid”上,以攻擊大量中國的網(wǎng)絡(luò)目標。特別是,陶發(fā)起了多輪連續(xù)攻擊和針對西北理工大學等中國信息網(wǎng)絡(luò)目標的秘密盜竊行動。
數(shù)據(jù)圖
為了隱藏攻擊的下落,道在其西北理工大學的網(wǎng)絡(luò)攻擊期間,TAO將根據(jù)目標環(huán)境靈活配置相同的網(wǎng)絡(luò)武器。例如,在西北理工大學的網(wǎng)絡(luò)攻擊中使用的網(wǎng)絡(luò)武器中,有14種不同版本的后門工具“ Crazy Heretic”(NSA命名)。
重要:打破美國向我們國家的“單向透明度”優(yōu)勢
據(jù)報道,國家安全局(NSA)長期以來一直在對我國各個行業(yè),政府,大學,醫(yī)療機構(gòu),科學研究機構(gòu),科學研究機構(gòu),甚至重要的信息基礎(chǔ)設(shè)施運營和維護部門以及與國民經(jīng)濟和人民謀生有關(guān)的各個行業(yè)進行秘密黑客活動。它的行為可能會對我國的國防安全,關(guān)鍵基礎(chǔ)設(shè)施安全,金融安全,社會保障,生產(chǎn)安全和公民的個人信息造成嚴重傷害。
這次,西北理工大學與中國的國家計算機病毒應(yīng)急響應(yīng)中心(360)一起,全面恢復(fù)了美國國家安全局在過去幾年中使用網(wǎng)絡(luò)武器發(fā)起的一系列攻擊,從而破壞了美國對國家的“單向透明度”優(yōu)勢。面對具有國家背景的強大對手西北工業(yè)大學網(wǎng)絡(luò)教育學院,您必須首先知道風險在哪里,風險是什么以及何時何時何地。美國國家安全局攻擊也可以證明,如果您看不到他們,您將被毆打。這是三方將精力集中在共同解決“看到”,幫助該國真正感知風險,看到威脅,抵抗攻擊并暴露海外黑客襲擊太陽的問題上的問題的成功實踐。
此外,西北理工大學和相關(guān)部門積極采取防御措施值得從世界各地的NSA網(wǎng)絡(luò)攻擊受害者那里學習。這將成為世界各國有效預(yù)防和抵制隨后對美國國家安全局的網(wǎng)絡(luò)攻擊的有力參考。 《全球時報》還將繼續(xù)關(guān)注此問題的進展。
相關(guān)文章
為您推薦
加載中...