西北工業(yè)大學6月份曾發(fā)布聲明，稱有來自境外的黑客組織和不法分子向學校師生發(fā)送包含木馬程序的釣魚郵件，企圖竊取相關師生郵件數(shù)據(jù)和公民個人信息。9月5日，《環(huán)球時報》從相關部門獲悉，“西北工業(yè)大學遭受境外網絡攻擊”的“真兇”是美國國家安全局（NSA）特定入侵行動辦公室（TAO）。在各部門的通力協(xié)作下，此次行動全面還原了數(shù)年間美國NSA利用網絡武器發(fā)起的一系列攻擊行為，打破了一直以來美國對我國的“單向透明”優(yōu)勢。

美國國家安全局（NSA）總部，馬里蘭州米德堡

“真兇”曝光：美國特定入侵行動辦公室

6月22日，西北工業(yè)大學發(fā)布聲明，稱有來自境外的黑客組織和不法分子向學校師生發(fā)送包含木馬程序的釣魚郵件，企圖竊取相關師生郵件數(shù)據(jù)和公民個人信息，給學校正常工作和生活秩序造成重大風險隱患。6月23日，西安市公安局碑林分局發(fā)布警情通報，稱已立案偵查，并對提取到的木馬和釣魚郵件樣本進一步開展技術分析。初步判定，此事件為境外黑客組織和不法分子發(fā)起的網絡攻擊行為。

針對“西北工業(yè)大學遭受境外網絡攻擊”，中國國家計算機病毒應急處理中心和360公司聯(lián)合組成技術團隊（以下簡稱“技術團隊”），對此案進行全面技術分析工作。技術團隊先后從西北工業(yè)大學的多個信息系統(tǒng)和上網終端中提取到了多款木馬樣本，綜合使用國內現(xiàn)有數(shù)據(jù)資源和分析手段，并得到了歐洲、南亞部分國家合作伙伴的通力支持，全面還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭。技術團隊初步判明對西北工業(yè)大學實施網絡攻擊行動是NSA信息情報部（代號S）數(shù)據(jù)偵察局（代號S3）下屬TAO（代號S32）部門。

攻擊行動代號 “阻擊XXXX”

TAO成立于1998年，是目前美國政府專門從事對他國實施大規(guī)模網絡攻擊竊密活動的戰(zhàn)術實施單位，由2000多名軍人和文職人員組成，下設10個處室。

《環(huán)球時報》記者了解到，此案在NSA內部攻擊行動代號為“阻擊XXXX”（shotXXXX）。直接參與指揮與行動的主要包括TAO負責人，遠程操作中心（主要負責操作武器平臺和工具進入并控制目標系統(tǒng)或網絡）以及任務基礎設施技術處（負責開發(fā)與建立網絡基礎設施和安全監(jiān)控平臺，用于構建攻擊行動網絡環(huán)境與匿名網絡）。

除此之外，還有四個處室參與了此次行動，分別是：先進/接入網絡技術處、數(shù)據(jù)網絡技術處、電信網絡技術處負責提供負責提供技術支撐，需求與定位處則負責確定攻擊行動戰(zhàn)略和情報評估。

而當時TAO負責人是羅伯特·喬伊斯。此人1967年9月13日出生，曾就讀于漢尼拔高中，1989年畢業(yè)于克拉克森大學，獲學士學位，1993年畢業(yè)于約翰·霍普金斯大學，獲碩士學位。1989年進入美國國家安全局工作。曾經擔任過TAO副主任，2013年至2017年擔任TAO主任。2017年10月開始擔任代理美國國土安全顧問。2018年4月至5月，擔任美國白宮國務安全顧問，后回到NSA擔任美國國家安全局局長網絡安全戰(zhàn)略高級顧問，現(xiàn)擔任NSA網絡安全局主管。 

技術團隊全面還原攻擊竊密過程：TAO使用41種NSA專屬網絡攻擊武器

本次調查發(fā)現(xiàn)，在近年里，美國NSA下屬TAO對中國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了數(shù)以萬計的網絡設備（網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火墻等），竊取了超過140GB的高價值數(shù)據(jù)。

技術分析中還發(fā)現(xiàn)，TAO已于此次攻擊活動開始前，在美國多家大型知名互聯(lián)網企業(yè)的配合下，掌握了中國大量通信網絡設備的管理權限，為NSA持續(xù)侵入中國國內的重要信息網絡大開方便之門。

經溯源分析，技術團隊現(xiàn)已全部還原此次攻擊竊密過程：在針對西北工業(yè)大學的網絡攻擊中，TAO使用了41種NSA專屬網絡攻擊武器，持續(xù)對西北工業(yè)大學開展攻擊竊密，竊取該校關鍵網絡設備配置、網管數(shù)據(jù)、運維數(shù)據(jù)等核心技術數(shù)據(jù)。技術團隊澄清其在西北工業(yè)大學內部滲透的攻擊鏈路1100余條、操作的指令序列90余個，多份遭竊取的網絡設備配置文件，嗅探的網絡通信數(shù)據(jù)及口令、其它類型的日志和密鑰文件，基本還原了每一次攻擊的主要細節(jié)。掌握并固定了多條相關證據(jù)鏈，涉及在美國國內對中國直接發(fā)起網絡攻擊的人員13名，以及NSA通過掩護公司為構建網絡攻擊環(huán)境而與美國電信運營商簽訂的合同60余份，電子文件170余份。

證據(jù)確鑿：鎖定四個IP地址

為掩護其攻擊行動，TAO在開始行動前進行了較長時間的準備工作，主要進行匿名化攻擊基礎設施的建設。TAO利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具，選擇了中國周邊國家的教育機構、商業(yè)公司等網絡應用流量較多的服務器為攻擊目標；攻擊成功后，安裝NOPEN木馬程序（參與有關研究報告），控制了大批跳板機。

據(jù)介紹，TAO在針對西北工業(yè)大學的網絡攻擊行動中先后使用了54臺跳板機和代理服務器，主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家，其中70%位于中國周邊國家，如日本、韓國等。

這些跳板機的功能僅限于指令中轉，即：將上一級的跳板指令轉發(fā)到目標系統(tǒng)，從而掩蓋美國國家安全局發(fā)起網絡攻擊的真實IP。目前已經至少掌握TAO從其接入環(huán)境（美國國內電信運營商）控制跳板機的四個IP地址，分別為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時，為了進一步掩蓋跳板機和代理服務器與NSA之間的關聯(lián)關系，NSA使用了美國Register公司的匿名保護服務，對相關域名、證書以及注冊人等可溯源信息進行匿名化處理，無法通過公開渠道進行查詢。

技術團隊通過威脅情報數(shù)據(jù)關聯(lián)分析，發(fā)現(xiàn)針對西北工業(yè)大學攻擊平臺所使用的網絡資源共涉及5臺代理服務器，NSA通過秘密成立的兩家掩護公司向美國泰瑞馬克（Terremark）公司購買了埃及、荷蘭和哥倫比亞等地的IP地址，并租用一批服務器。這兩家公司分別為杰克·史密斯咨詢公司（Jackson Smith Consultants）、穆勒多元系統(tǒng)公司（Mueller Diversified Systems）。同時，技術團隊還發(fā)現(xiàn)，TAO基礎設施技術處（MIT）工作人員使用“阿曼達·拉米雷斯（Amanda Ramirez）”的名字匿名購買域名和一份通用的SSL證書（ID：e42d3bea0a16111e67ef79f9cc2*****）。隨后，上述域名和證書被部署在位于美國本土的中間人攻擊平臺“酸狐貍”（Foxacid）上，對中國的大量網絡目標開展攻擊，特別是，TAO對西北工業(yè)大學等中國信息網絡目標展開了多輪持續(xù)性的攻擊、竊密行動。

為了掩藏攻擊行蹤，TAO在對西北工業(yè)大學的網絡攻擊行動中，會根據(jù)目標環(huán)境對同一款網絡武器進行靈活配置。例如，對西北工業(yè)大學實施網絡攻擊中使用的網絡武器中，僅后門工具“狡詐異端犯”（NSA命名）就有14個不同版本。

意義重大：打破美國對我國的“單向透明”優(yōu)勢

根據(jù)介紹，一直以來，美國國家安全局（NSA）針對我國各行業(yè)龍頭企業(yè)、政府、大學、醫(yī)療機構、科研機構甚至關乎國計民生的重要信息基礎設施運維單位等機構長期進行秘密黑客攻擊活動。其行為或對我國的國防安全、關鍵基礎設施安全、金融安全、社會安全、生產安全以及公民個人信息造成嚴重危害。

此次西北工業(yè)大學聯(lián)合中國國家計算機病毒應急處理中心與360公司，全面還原了數(shù)年間美國NSA利用網絡武器發(fā)起的一系列攻擊行為，打破了一直以來美國對我國的“單向透明”優(yōu)勢。面對國家級背景的強大對手，首先要知道風險在哪，是什么樣的風險，什么時候的風險，從此次美國NSA攻擊事件也可證明，看不見就要挨打。這是一次三方集中精力聯(lián)手攻克“看見”難題的成功實踐，幫助國家真正感知風險、看見威脅、抵御攻擊，將境外黑客攻擊暴露在陽光下。

此外，西北工業(yè)大學聯(lián)合相關部門積極采取防御措施的行動更是值得遍布全球的NSA網絡攻擊活動受害者學習，這將成為世界各國有效防范抵御美國NSA后續(xù)網絡攻擊行為的有力借鑒，《環(huán)球時報》也將持續(xù)關注此事進展。

（來源：環(huán)球時報-環(huán)球網  袁宏）