今天，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司分別發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告。調(diào)查發(fā)現(xiàn)，美國(guó)國(guó)家安全局（NSA）下屬的特定入侵行動(dòng)辦公室（TAO）多年來(lái)對(duì)我國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊，控制了相關(guān)網(wǎng)絡(luò)設(shè)備，竊取了超過140GB的高價(jià)值數(shù)據(jù)。

原來(lái)不法分子是美國(guó)國(guó)安局

今年4月，西安市公安機(jī)關(guān)接到一起網(wǎng)絡(luò)攻擊的報(bào)警，西北工業(yè)大學(xué)的信息系統(tǒng)發(fā)現(xiàn)遭受網(wǎng)絡(luò)攻擊的痕跡。到了6月22日，西北工業(yè)大學(xué)在其官方微信上發(fā)布一則聲明，聲明表示學(xué)校電子郵件遭受境外網(wǎng)絡(luò)攻擊，對(duì)學(xué)校正常教學(xué)生活造成負(fù)面影響。

陜西省西安市公安局碑林分局隨即發(fā)布《警情通報(bào)》，證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬程序樣本。初步判定，此事件為境外黑客組織和不法分子發(fā)起的網(wǎng)絡(luò)攻擊行為，并正式立案調(diào)查。

中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司第一時(shí)間成立技術(shù)團(tuán)隊(duì)開展調(diào)查工作，全程參與此案技術(shù)分析。技術(shù)團(tuán)隊(duì)先后從多個(gè)信息系統(tǒng)和上網(wǎng)終端中捕獲到了木馬程序樣本，綜合使用國(guó)內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段，并得到歐洲、南亞部分國(guó)家合作伙伴的通力支持，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關(guān)攻擊活動(dòng)源自美國(guó)國(guó)家安全局（NSA）的“特定入侵行動(dòng)辦公室”（Office of Tailored Access Operation，后文簡(jiǎn)稱TAO）。

本次調(diào)查還發(fā)現(xiàn)，在近年里，美國(guó)國(guó)家安全局（NSA）下屬特定入侵行動(dòng)辦公室（TAO）對(duì)中國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊，控制了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備，包括：網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等，竊取了超過140GB的高價(jià)值數(shù)據(jù)。經(jīng)過復(fù)雜的技術(shù)分析與溯源，技術(shù)團(tuán)隊(duì)現(xiàn)已澄清NSA攻擊活動(dòng)中使用的網(wǎng)絡(luò)資源、專用武器裝備及具體手法，還原了攻擊過程和被竊取的文件，掌握了美國(guó)NSA“特定入侵行動(dòng)辦公室”（TAO）對(duì)中國(guó)信息網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的證據(jù)鏈。

美國(guó)國(guó)安局是怎樣進(jìn)行惡意攻擊的

經(jīng)技術(shù)分析和網(wǎng)上溯源調(diào)查發(fā)現(xiàn)，此次網(wǎng)絡(luò)攻擊行動(dòng)是美國(guó)國(guó)家安全局（NSA）信息情報(bào)部（代號(hào)S）數(shù)據(jù)偵察局（代號(hào)S3）下屬TAO（代號(hào)S32）部門。

圖：參與網(wǎng)絡(luò)攻擊的TAO部門的下屬單位

美國(guó)國(guó)家安全局TAO部門的S325單位，通過層層掩護(hù)，構(gòu)建了由49臺(tái)跳板機(jī)和5臺(tái)代理服務(wù)器組成的匿名網(wǎng)絡(luò)，購(gòu)買專用網(wǎng)絡(luò)資源，架設(shè)攻擊平臺(tái)。這些跳板機(jī)均經(jīng)過精心挑選，所有IP均歸屬于非「五眼聯(lián)盟」國(guó)家（五眼聯(lián)盟包括美國(guó)、英國(guó)、加拿大、澳大利亞和新西蘭），而且大部分選擇了中國(guó)周邊國(guó)家（如日本、韓國(guó)等）的IP，約占70%。根據(jù)溯源分析，本次竊密行動(dòng)共選用了其中的49臺(tái)跳板機(jī)，這些跳板機(jī)僅使用了中轉(zhuǎn)指令，將上一級(jí)的跳板指令轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng)，從而掩蓋美國(guó)國(guó)家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實(shí)IP。

圖：美國(guó)國(guó)家安全局（NSA）對(duì)西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊

此外，美國(guó)國(guó)家安全局NSA為了保護(hù)其身份安全，使用了美國(guó)Register公司的匿名保護(hù)服務(wù)，相關(guān)域名和證書無(wú)明確指向，無(wú)關(guān)聯(lián)人員。另一方面，根據(jù)技術(shù)分析的結(jié)果，TAO已于此次攻擊活動(dòng)開始前，在美國(guó)多家大型知名互聯(lián)網(wǎng)企業(yè)的配合下，掌握了中國(guó)大量通信網(wǎng)絡(luò)設(shè)備的管理權(quán)限，為NSA持續(xù)侵入中國(guó)國(guó)內(nèi)的重要信息網(wǎng)絡(luò)大開方便之門。

有了這個(gè)前提條件，S321單位運(yùn)用40余種不同的NSA專屬網(wǎng)絡(luò)攻擊武器，持續(xù)對(duì)我國(guó)開展攻擊竊密，竊取了關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)，竊密活動(dòng)持續(xù)時(shí)間長(zhǎng)，覆蓋范圍廣。

TAO還利用其掌握的針對(duì)SunOS操作系統(tǒng)的兩個(gè)“零日漏洞”利用工具（已提取樣本），工具名稱分別為EXTREMEPARR（NSA命名）和EBBISLAND（NSA命名），選擇了中國(guó)周邊國(guó)家的教育機(jī)構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo)；攻擊成功后，安裝NOPEN（NSA命名，已提取樣本）后門，控制了大批跳板機(jī)?？傮w而言，美國(guó)國(guó)家安全局TAO的網(wǎng)絡(luò)攻擊武器裝備針對(duì)性強(qiáng)，得到了美國(guó)互聯(lián)網(wǎng)巨頭的鼎力支持。

同一款裝備會(huì)根據(jù)目標(biāo)環(huán)境進(jìn)行靈活配置，在這中使用的41款裝備中，僅后門工具“狡詐異端犯”（NSA命名）在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中就有14款不同版本。NSA所使用工具類別主要分為四大類，分別是：

（一）漏洞攻擊突破類武器TAO依托此類武器對(duì)西北工業(yè)大學(xué)的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器、辦公內(nèi)網(wǎng)主機(jī)等實(shí)施攻擊突破，同時(shí)也用來(lái)攻擊控制境外跳板機(jī)以構(gòu)建匿名網(wǎng)絡(luò)。

（二）持久化控制類武器TAO依托此類武器對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)進(jìn)行隱蔽持久控制，TAO工作人員可通過加密通道發(fā)送控制指令操作此類武器實(shí)施對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)的滲透、控制、竊密等行為。

（三）嗅探竊密類武器

TAO依托此類武器嗅探西北工業(yè)大學(xué)工作人員運(yùn)維網(wǎng)絡(luò)時(shí)使用的賬號(hào)口令、生成的操作記錄，竊取西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的敏感信息和運(yùn)維數(shù)據(jù)等。

（四）隱蔽消痕類武器

TAO依托此類武器消除其在西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的行為痕跡，隱藏、掩飾其惡意操作和竊密行為，同時(shí)為上述三類武器提供保護(hù)。

美國(guó)國(guó)安局為什么要攻擊西工大

「西北工業(yè)大學(xué)遭網(wǎng)絡(luò)攻擊的源頭系美國(guó)國(guó)家安全局」的調(diào)查結(jié)果公布后，有網(wǎng)友不解：

還有調(diào)侃這是對(duì)西北工業(yè)大學(xué)最好的招生宣傳：

還有人覺得，這是因?yàn)槲鞅惫I(yè)大學(xué)在國(guó)防領(lǐng)域有重要的地位。根據(jù)西北工業(yè)大學(xué)自己在官網(wǎng)上的介紹，西工大「為武器裝備研制、國(guó)防領(lǐng)域關(guān)鍵核心技術(shù)自主安全可控和西部建設(shè)提供了有力支撐，是連續(xù)兩次被中共中央、國(guó)務(wù)院、中央軍委聯(lián)合授予“重大貢獻(xiàn)獎(jiǎng)”的唯一高?！?。

具體來(lái)說，在航空領(lǐng)域，一半以上的重大型號(hào)總師、副總師出自西北工業(yè)大學(xué)；在航天領(lǐng)域，擔(dān)任國(guó)務(wù)院國(guó)資委管理的大型央企及所屬企事業(yè)單位黨政領(lǐng)導(dǎo)干部及副總師以上職務(wù)的，也有一大批西工大校友；在船舶工業(yè)、水中兵器行業(yè)的重要管理崗位與核心技術(shù)崗位上，也有相當(dāng)比例的西工大校友。不過，西工大成為美國(guó)國(guó)安局的攻擊目標(biāo)，固然與西工大在軍工領(lǐng)域有淵源存在關(guān)系，但從前面美國(guó)國(guó)家安全局TAO的網(wǎng)絡(luò)攻擊的技術(shù)分析來(lái)看，西工大并非美國(guó)國(guó)安局攻擊的唯一目標(biāo)。我國(guó)各行業(yè)龍頭企業(yè)、政府、大學(xué)、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)其實(shí)都是美國(guó)國(guó)安局攻擊對(duì)象，只是此次被攻擊的西工大比較「幸運(yùn)」，能及時(shí)發(fā)現(xiàn)攻擊活動(dòng)，加上國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司應(yīng)對(duì)及時(shí)、得當(dāng)，從而讓美國(guó)國(guó)安局的秘密活動(dòng)曝光。

雖然此次成功分析出了美國(guó)國(guó)安局利用網(wǎng)絡(luò)武器攻擊西工大的行為，打破了一直以來(lái)美國(guó)對(duì)我國(guó)的單向透明優(yōu)勢(shì)，但對(duì)我國(guó)的國(guó)防安全、關(guān)鍵基礎(chǔ)設(shè)施安全、金融安全、社會(huì)安全、生產(chǎn)安全以及公民個(gè)人信息安全來(lái)說，此事仍值得們深思與警惕。

P.S.美國(guó)要斷供中國(guó)的AI芯片前，美國(guó)商務(wù)部發(fā)言人說，「要防止技術(shù)落入壞人之手」，現(xiàn)在回看，也不知道誰(shuí)是壞人……