安全資訊

2022年6月22日，西北工業(yè)大學(xué)發(fā)布《公開(kāi)聲明》稱(chēng)，該校遭受境外網(wǎng)絡(luò )攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報》，證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò )中發(fā)現了多款源于境外的木馬樣本，西安警方已對此正式立案調查。

國家計算機病毒應急處理中心和360公司聯(lián)合組成技術(shù)團隊（以下簡(jiǎn)稱(chēng)“技術(shù)團隊”），全程參與了此案的技術(shù)分析工作。技術(shù)團隊先后從西北工業(yè)大學(xué)的多個(gè)信息系統和上網(wǎng)終端中提取到了多款木馬樣本，綜合使用國內現有數據資源和分析手段，并得到了歐洲、南亞部分國家合作伙伴的通力支持，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關(guān)攻擊活動(dòng)源自美國國家安全局（NSA）“特定入侵行動(dòng)辦公室”（Office of Tailored Access Operation，后文簡(jiǎn)稱(chēng)TAO）。

一、攻擊事件概貌

本次調查發(fā)現，在近年里，美國NSA下屬TAO對中國國內的網(wǎng)絡(luò )目標實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò )攻擊，控制了數以萬(wàn)計的網(wǎng)絡(luò )設備（網(wǎng)絡(luò )服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò )交換機、電話(huà)交換機、路由器、防火墻等），竊取了超過(guò)140GB的高價(jià)值數據。TAO利用其網(wǎng)絡(luò )攻擊武器平臺、“零日漏洞”（0day）及其控制的網(wǎng)絡(luò )設備等，持續擴大網(wǎng)絡(luò )攻擊和范圍。經(jīng)技術(shù)分析與溯源，技術(shù)團隊現已澄清TAO攻擊活動(dòng)中使用的網(wǎng)絡(luò )攻擊基礎設施、專(zhuān)用武器裝備及技戰術(shù)，還原了攻擊過(guò)程和被竊取的文件，掌握了美國NSA及其下屬TAO對中國信息網(wǎng)絡(luò )實(shí)施網(wǎng)絡(luò )攻擊和數據竊密的相關(guān)證據，涉及在美國國內對中國直接發(fā)起網(wǎng)絡(luò )攻擊的人員13名，以及NSA通過(guò)掩護公司為構建網(wǎng)絡(luò )攻擊環(huán)境而與美國電信運營(yíng)商簽訂的合同60余份，電子文件170余份。

二、攻擊事件分析

在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò )攻擊中，TAO使用了40余種不同的NSA專(zhuān)屬網(wǎng)絡(luò )攻擊武器，持續對西北工業(yè)大學(xué)開(kāi)展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò )設備配置、網(wǎng)管數據、運維數據等核心技術(shù)數據。通過(guò)取證分析，技術(shù)團隊累計發(fā)現攻擊者在西北工業(yè)大學(xué)內部滲透的攻擊鏈路多達1100余條、操作的指令序列90余個(gè)，并從被入侵的網(wǎng)絡(luò )設備中定位了多份遭竊取的網(wǎng)絡(luò )設備配置文件、遭嗅探的網(wǎng)絡(luò )通信數據及口令、其它類(lèi)型的日志和密鑰文件以及其他與攻擊活動(dòng)相關(guān)的主要細節。具體分析情況如下：

（一）相關(guān)網(wǎng)絡(luò )攻擊基礎設施

為掩護其攻擊行動(dòng)，TAO在開(kāi)始行動(dòng)前會(huì )進(jìn)行較長(cháng)時(shí)間的準備工作，主要進(jìn)行匿名化攻擊基礎設施的建設。TAO利用其掌握的針對SunOS操作系統的兩個(gè)“零日漏洞”利用工具，選擇了中國周邊國家的教育機構、商業(yè)公司等網(wǎng)絡(luò )應用流量較多的服務(wù)器為攻擊目標；攻擊成功后，安裝NOPEN木馬程序（詳見(jiàn)有關(guān)研究報告），控制了大批跳板機。

TAO在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò )攻擊行動(dòng)中先后使用了54臺跳板機和代理服務(wù)器，主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個(gè)國家，其中70%位于中國周邊國家，如日本、韓國等。

這些跳板機的功能僅限于指令中轉，即：將上一級的跳板指令轉發(fā)到目標系統，從而掩蓋美國國家安全局發(fā)起網(wǎng)絡(luò )攻擊的真實(shí)IP。目前已經(jīng)至少掌握TAO從其接入環(huán)境（美國國內電信運營(yíng)商）控制跳板機的四個(gè)IP地址，分別為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時(shí)，為了進(jìn)一步掩蓋跳板機和代理服務(wù)器與NSA之間的關(guān)聯(lián)關(guān)系，NSA使用了美國Register公司的匿名保護服務(wù)，對相關(guān)域名、證書(shū)以及注冊人等可溯源信息進(jìn)行匿名化處理，無(wú)法通過(guò)公開(kāi)渠道進(jìn)行查詢(xún)。

技術(shù)團隊通過(guò)威脅情報數據關(guān)聯(lián)分析，發(fā)現針對西北工業(yè)大學(xué)攻擊平臺所使用的網(wǎng)絡(luò )資源共涉及5臺代理服務(wù)器，NSA通過(guò)秘密成立的兩家掩護公司向美國泰瑞馬克（Terremark）公司購買(mǎi)了埃及、荷蘭和哥倫比亞等地的IP地址，并租用一批服務(wù)器。這兩家公司分別為杰克?史密斯咨詢(xún)公司（Jackson Smith Consultants）、穆勒多元系統公司（Mueller Diversified Systems）。同時(shí)，技術(shù)團隊還發(fā)現，TAO基礎設施技術(shù)處（MIT）工作人員使用“阿曼達?拉米雷斯（Amanda Ramirez）”的名字匿名購買(mǎi)域名和一份通用的SSL證書(shū)（ID：e42d3bea0a16111e67ef79f9cc2*****）。隨后，上述域名和證書(shū)被部署在位于美國本土的中間人攻擊平臺“酸狐貍”（Foxacid）上，對中國的大量網(wǎng)絡(luò )目標開(kāi)展攻擊。特別是，TAO對西北工業(yè)大學(xué)等中國信息網(wǎng)絡(luò )目標展開(kāi)了多輪持續性的攻擊、竊密行動(dòng)。

（二）相關(guān)網(wǎng)絡(luò )攻擊武器

TAO在對西北工業(yè)大學(xué)的網(wǎng)絡(luò )攻擊行動(dòng)中，先后使用了41種NSA的專(zhuān)用網(wǎng)絡(luò )攻擊武器裝備。并且在攻擊過(guò)程中，TAO會(huì )根據目標環(huán)境對同一款網(wǎng)絡(luò )武器進(jìn)行靈活配置。例如，對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò )攻擊中使用的網(wǎng)絡(luò )武器中，僅后門(mén)工具“狡詐異端犯”（NSA命名）就有14個(gè)不同版本。技術(shù)團隊將此次攻擊活動(dòng)中TAO所使用工具類(lèi)別分為四大類(lèi)，具體包括：

1、漏洞攻擊突破類(lèi)武器

TAO依托此類(lèi)武器對西北工業(yè)大學(xué)的邊界網(wǎng)絡(luò )設備、網(wǎng)關(guān)服務(wù)器、辦公內網(wǎng)主機等實(shí)施攻擊突破，同時(shí)也用來(lái)攻擊控制境外跳板機以構建匿名化網(wǎng)絡(luò )作為行動(dòng)掩護。此類(lèi)武器共有3種：

①“剃須刀”

此武器可針對開(kāi)放了指定RPC服務(wù)的X86和SPARC架構的Solarise系統實(shí)施遠程漏洞攻擊，攻擊時(shí)可自動(dòng)探知目標系統服務(wù)開(kāi)放情況并智能化選擇合適版本的漏洞利用代碼，直接獲取對目標主機的完整控制權。此武器用于對日本、韓國等國家跳板機的攻擊，所控制跳板機被用于對西北工業(yè)大學(xué)的網(wǎng)絡(luò )攻擊。

②“孤島”

此武器同樣可針對開(kāi)放了指定RPC服務(wù)的Solaris系統實(shí)施遠程溢出攻擊，直接獲取對目標主機的完整控制權。與“剃須刀”的不同之處在于此工具不具備自主探測目標服務(wù)開(kāi)放情況的能力，需由使用者手動(dòng)配置目標及相關(guān)參數。NSA使用此武器攻擊控制了西北工業(yè)大學(xué)的邊界服務(wù)器。

③“酸狐貍”武器平臺

此武器平臺部署在哥倫比亞，可結合“二次約會(huì )”中間人攻擊武器使用，可智能化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平臺上的主流瀏覽器開(kāi)展遠程溢出攻擊，獲取目標系統的控制權（詳見(jiàn)：國家計算機病毒應急處理中心《美國國家安全局（NSA）“酸狐貍”漏洞攻擊武器平臺技術(shù)分析報告》）。TAO主要使用該武器平臺對西北工業(yè)大學(xué)辦公內網(wǎng)主機進(jìn)行入侵。

2、持久化控制類(lèi)武器

TAO依托此類(lèi)武器對西北工業(yè)大學(xué)網(wǎng)絡(luò )進(jìn)行隱蔽持久控制，TAO行動(dòng)隊可通過(guò)加密通道發(fā)送控制指令操作此類(lèi)武器實(shí)施對西北工業(yè)大學(xué)網(wǎng)絡(luò )的滲透、控制、竊密等行為。此類(lèi)武器共有6種：

①“二次約會(huì )”

此武器長(cháng)期駐留在網(wǎng)關(guān)服務(wù)器、邊界路由器等網(wǎng)絡(luò )邊界設備及服務(wù)器上，可針對海量數據流量進(jìn)行精準過(guò)濾與自動(dòng)化劫持，實(shí)現中間人攻擊功能。TAO在西北工業(yè)大學(xué)邊界設備上安置該武器，劫持流經(jīng)該設備的流量引導至“酸狐貍”平臺實(shí)施漏洞攻擊。

②“NOPEN”

此武器是一種支持多種操作系統和不同體系架構的遠控木馬，可通過(guò)加密隧道接收指令執行文件管理、進(jìn)程管理、系統命令執行等多種操作，并且本身具備權限提升和持久化能力（詳見(jiàn)：國家計算機病毒應急處理中心《“NOPEN”遠控木馬分析報告》）。TAO主要使用該武器對西北工業(yè)大學(xué)網(wǎng)絡(luò )內部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò )設備實(shí)施持久化控制。

③“怒火噴射”

此武器是一款基于Windows系統的支持多種操作系統和不同體系架構的遠控木馬，可根據目標系統環(huán)境定制化生成不同類(lèi)型的木馬服務(wù)端，服務(wù)端本身具備極強的抗分析、反調試能力。TAO主要使用該武器配合“酸狐貍”平臺對西北工業(yè)大學(xué)辦公網(wǎng)內部的個(gè)人主機實(shí)施持久化控制。

④“狡詐異端犯”

此武器是一款輕量級的后門(mén)植入工具，運行后即自刪除，具備權限提升能力，持久駐留于目標設備上并可隨系統啟動(dòng)。TAO主要使用該武器實(shí)現持久駐留，以便在合適時(shí)機建立加密管道上傳NOPEN木馬，保障對西北工業(yè)大學(xué)信息網(wǎng)絡(luò )的長(cháng)期控制。

⑤“堅忍外科醫生”

此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種類(lèi)型操作系統的后門(mén)，該武器可持久化運行于目標設備上，根據指令對目標設備上的指定文件、目錄、進(jìn)程等進(jìn)行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進(jìn)程，避免其被監控發(fā)現。技術(shù)分析發(fā)現，TAO在對西北工業(yè)大學(xué)的網(wǎng)絡(luò )攻擊中，累計使用了該武器的12個(gè)不同版本。

3、嗅探竊密類(lèi)武器

TAO依托此類(lèi)武器嗅探西北工業(yè)大學(xué)工作人員運維網(wǎng)絡(luò )時(shí)使用的賬號口令、命令行操作記錄，竊取西北工業(yè)大學(xué)網(wǎng)絡(luò )內部的敏感信息和運維數據等。此類(lèi)武器共有兩種：

①“飲茶”

此武器可長(cháng)期駐留在32位或64位的Solaris系統中，通過(guò)嗅探進(jìn)程間通信的方式獲取ssh、telnet、rlogin等多種遠程登錄方式下暴露的賬號口令。TAO主要使用該武器嗅探西北工業(yè)大學(xué)業(yè)務(wù)人員實(shí)施運維工作時(shí)產(chǎn)生的賬號口令、命令行操作記錄、日志文件等，壓縮加密存儲后供NOPEN木馬下載。

②“敵后行動(dòng)”系列武器

此系列武器是專(zhuān)門(mén)針對電信運營(yíng)商特定業(yè)務(wù)系統使用的工具，根據被控業(yè)務(wù)設備的不同類(lèi)型，“敵后行動(dòng)”會(huì )與不同的解析工具配合使用。TAO在對西北工業(yè)大學(xué)的網(wǎng)絡(luò )攻擊中使用了“魔法學(xué)校”、“小丑食物”和“詛咒之火”等3類(lèi)針對電信運營(yíng)商的攻擊竊密工具。

4、隱蔽消痕類(lèi)武器

TAO依托此類(lèi)武器消除其在西北工業(yè)大學(xué)網(wǎng)絡(luò )內部的行為痕跡，隱藏、掩飾其惡意操作和竊密行為，同時(shí)為上述三類(lèi)武器提供保護?，F已發(fā)現1種此類(lèi)武器：

“吐司面包” ，此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡。TAO主要使用該武器清除、替換被控西北工業(yè)大學(xué)上網(wǎng)設備上的各類(lèi)日志文件，隱藏其惡意行為。TAO對西北工業(yè)大學(xué)的網(wǎng)絡(luò )攻擊中共使用了3款不同版本的“吐司面包”。

三、攻擊溯源

技術(shù)團隊結合上述技術(shù)分析結果和溯源調查情況，初步判斷對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò )攻擊行動(dòng)的是美國國家安全局（NSA）信息情報部（代號S）數據偵察局（代號S3）下屬TAO（代號S32）部門(mén)。該部門(mén)成立于1998年，其力量部署主要依托美國國家安全局（NSA）在美國和歐洲的各密碼中心。目前已被公布的六個(gè)密碼中心分別是：

1、美國馬里蘭州米德堡的NSA總部；

2、美國夏威夷瓦胡島的NSA夏威夷密碼中心（NSAH）；

3、美國佐治亞州戈登堡的NSA佐治亞密碼中心（NSAG）；

4、美國德克薩斯州圣安東尼奧的NSA德克薩斯密碼中心（NSAT）；

5、美國科羅拉羅州丹佛馬克利空軍基地的NSA科羅拉羅密碼中心（NSAC）；

6、德國達姆施塔特美軍基地的NSA歐洲密碼中心（NSAE）。

TAO是目前美國政府專(zhuān)門(mén)從事對他國實(shí)施大規模網(wǎng)絡(luò )攻擊竊密活動(dòng)的戰術(shù)實(shí)施單位，由2000多名軍人和文職人員組成，其內設機構包括：

第一處：遠程操作中心（ROC，代號S321），主要負責操作武器平臺和工具進(jìn)入并控制目標系統或網(wǎng)絡(luò )。

第二處：先進(jìn)/接入網(wǎng)絡(luò )技術(shù)處（ANT，代號S322），負責研究相關(guān)硬件技術(shù)，為TAO網(wǎng)絡(luò )攻擊行動(dòng)提供硬件相關(guān)技術(shù)和武器裝備支持。

第三處：數據網(wǎng)絡(luò )技術(shù)處（DNT，代號S323），負責研發(fā)復雜的計算機軟件工具，為TAO操作人員執行網(wǎng)絡(luò )攻擊任務(wù)提供支撐。

第四處：電信網(wǎng)絡(luò )技術(shù)處（TNT，代號S324），負責研究電信相關(guān)技術(shù)，為TAO操作人員隱蔽滲透電信網(wǎng)絡(luò )提供支撐。

第五處：任務(wù)基礎設施技術(shù)處（MIT，代號S325），負責開(kāi)發(fā)與建立網(wǎng)絡(luò )基礎設施和安全監控平臺，用于構建攻擊行動(dòng)網(wǎng)絡(luò )環(huán)境與匿名網(wǎng)絡(luò )。

第六處：接入行動(dòng)處（ATO，代號S326），負責通過(guò)供應鏈，對擬送達目標的產(chǎn)品進(jìn)行后門(mén)安裝。

第七處：需求與定位處（R&T，代號S327），接收各相關(guān)單位的任務(wù)，確定偵察目標，分析評估情報價(jià)值。

S32P：項目計劃整合處（PPI，代號S32P），負責總體規劃與項目管理。

NWT：網(wǎng)絡(luò )戰小組（NWT），負責與網(wǎng)絡(luò )作戰小隊聯(lián)絡(luò )。

美國國家安全局（NSA）針對西北工業(yè)大學(xué)的攻擊行動(dòng)代號為“阻擊XXXX”（shotXXXX）。該行動(dòng)由TAO負責人直接指揮，由MIT（S325）負責構建偵察環(huán)境、租用攻擊資源；由R&T（S327）負責確定攻擊行動(dòng)戰略和情報評估；由ANT（S322）、DNT（S323）、TNT（S324）負責提供技術(shù)支撐；由ROC（S321）負責組織開(kāi)展攻擊偵察行動(dòng)。由此可見(jiàn)，直接參與指揮與行動(dòng)的主要包括TAO負責人，S321和S325單位。

NSA對西北工業(yè)大學(xué)攻擊竊密期間的TAO負責人是羅伯特?喬伊斯（Robert Edward Joyce）。此人于1967年9月13日出生，曾就讀于漢尼拔高中，1989年畢業(yè)于克拉克森大學(xué)，獲學(xué)士學(xué)位，1993年畢業(yè)于約翰斯?霍普金斯大學(xué)，獲碩士學(xué)位。1989年進(jìn)入美國國家安全局工作。曾經(jīng)擔任過(guò)TAO副主任，2013年至2017年擔任TAO主任。2017年10月開(kāi)始擔任代理美國國土安全顧問(wèn)。2018年4月至5月，擔任美國白宮國務(wù)安全顧問(wèn)，后回到NSA擔任美國國家安全局局長(cháng)網(wǎng)絡(luò )安全戰略高級顧問(wèn)，現擔任NSA網(wǎng)絡(luò )安全主管。

四、總結

本次報告基于國家計算機病毒應急處理中心與360公司聯(lián)合技術(shù)團隊的分析成果，揭露了美國NSA長(cháng)期以來(lái)針對包括西北工業(yè)大學(xué)在內的中國信息網(wǎng)絡(luò )用戶(hù)和重要單位開(kāi)展網(wǎng)絡(luò )間諜活動(dòng)的真相。后續技術(shù)團隊還將陸續公布相關(guān)事件調查的更多技術(shù)細節。