国产 日韩 欧美 精品 大秀,强奷乱码中文字幕熟女网,日韩国产中文字幕,亚洲中文无码人成91

  • <source id="jrxyw"><input id="jrxyw"><output id="jrxyw"></output></input></source>
      1. <video id="jrxyw"><track id="jrxyw"><object id="jrxyw"></object></track></video>
        1. <video id="jrxyw"><menu id="jrxyw"><noframes id="jrxyw"></noframes></menu></video><source id="jrxyw"></source>
            您的位置: 馬鞍山新聞網(wǎng) > 頭條 > 正文

            美國國安局網(wǎng)絡(luò)攻擊中國上萬次,竊取超140GB數(shù)據(jù)

            2022-09-05 15:28:19 來源:國家計(jì)算機(jī)病毒應(yīng)急處理中心

            西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報(bào)告(之一)

            2022年6月22日,西北工業(yè)大學(xué)發(fā)布《公開聲明》稱,該校遭受境外網(wǎng)絡(luò)攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報(bào)》,證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬樣本,西安警方已對(duì)此正式立案調(diào)查。

            國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成技術(shù)團(tuán)隊(duì)(以下簡稱“技術(shù)團(tuán)隊(duì)”),全程參與了此案的技術(shù)分析工作。技術(shù)團(tuán)隊(duì)先后從西北工業(yè)大學(xué)的多個(gè)信息系統(tǒng)和上網(wǎng)終端中提取到了多款木馬樣本,綜合使用國內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段,并得到了歐洲、南亞部分國家合作伙伴的通力支持,全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關(guān)攻擊活動(dòng)源自美國國家安全局(NSA)“特定入侵行動(dòng)辦公室”(Office of Tailored Access Operation,后文簡稱TAO)。

            一、攻擊事件概貌

            本次調(diào)查發(fā)現(xiàn),在近年里,美國NSA下屬TAO對(duì)中國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬次的惡意網(wǎng)絡(luò)攻擊,控制了數(shù)以萬計(jì)的網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等),竊取了超過140GB的高價(jià)值數(shù)據(jù)。TAO利用其網(wǎng)絡(luò)攻擊武器平臺(tái)、“零日漏洞”(0day)及其控制的網(wǎng)絡(luò)設(shè)備等,持續(xù)擴(kuò)大網(wǎng)絡(luò)攻擊和范圍。經(jīng)技術(shù)分析與溯源,技術(shù)團(tuán)隊(duì)現(xiàn)已澄清TAO攻擊活動(dòng)中使用的網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施、專用武器裝備及技戰(zhàn)術(shù),還原了攻擊過程和被竊取的文件,掌握了美國NSA及其下屬TAO對(duì)中國信息網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的相關(guān)證據(jù),涉及在美國國內(nèi)對(duì)中國直接發(fā)起網(wǎng)絡(luò)攻擊的人員13名,以及NSA通過掩護(hù)公司為構(gòu)建網(wǎng)絡(luò)攻擊環(huán)境而與美國電信運(yùn)營商簽訂的合同60余份,電子文件170余份。

            二、攻擊事件分析

            在針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中,TAO使用了40余種不同的NSA專屬網(wǎng)絡(luò)攻擊武器,持續(xù)對(duì)西北工業(yè)大學(xué)開展攻擊竊密,竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。通過取證分析,技術(shù)團(tuán)隊(duì)累計(jì)發(fā)現(xiàn)攻擊者在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路多達(dá)1100余條、操作的指令序列90余個(gè),并從被入侵的網(wǎng)絡(luò)設(shè)備中定位了多份遭竊取的網(wǎng)絡(luò)設(shè)備配置文件、遭嗅探的網(wǎng)絡(luò)通信數(shù)據(jù)及口令、其它類型的日志和密鑰文件以及其他與攻擊活動(dòng)相關(guān)的主要細(xì)節(jié)。具體分析情況如下:

            (一)相關(guān)網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施

            為掩護(hù)其攻擊行動(dòng),TAO在開始行動(dòng)前會(huì)進(jìn)行較長時(shí)間的準(zhǔn)備工作,主要進(jìn)行匿名化攻擊基礎(chǔ)設(shè)施的建設(shè)。TAO利用其掌握的針對(duì)SunOS操作系統(tǒng)的兩個(gè)“零日漏洞”利用工具,選擇了中國周邊國家的教育機(jī)構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo);攻擊成功后,安裝NOPEN木馬程序(詳見有關(guān)研究報(bào)告),控制了大批跳板機(jī)。

            TAO在針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中先后使用了54臺(tái)跳板機(jī)和代理服務(wù)器,主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個(gè)國家,其中70%位于中國周邊國家,如日本、韓國等。

            這些跳板機(jī)的功能僅限于指令中轉(zhuǎn),即:將上一級(jí)的跳板指令轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng),從而掩蓋美國國家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實(shí)IP。目前已經(jīng)至少掌握TAO從其接入環(huán)境(美國國內(nèi)電信運(yùn)營商)控制跳板機(jī)的四個(gè)IP地址,分別為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時(shí),為了進(jìn)一步掩蓋跳板機(jī)和代理服務(wù)器與NSA之間的關(guān)聯(lián)關(guān)系,NSA使用了美國Register公司的匿名保護(hù)服務(wù),對(duì)相關(guān)域名、證書以及注冊(cè)人等可溯源信息進(jìn)行匿名化處理,無法通過公開渠道進(jìn)行查詢。

            技術(shù)團(tuán)隊(duì)通過威脅情報(bào)數(shù)據(jù)關(guān)聯(lián)分析,發(fā)現(xiàn)針對(duì)西北工業(yè)大學(xué)攻擊平臺(tái)所使用的網(wǎng)絡(luò)資源共涉及5臺(tái)代理服務(wù)器,NSA通過秘密成立的兩家掩護(hù)公司向美國泰瑞馬克(Terremark)公司購買了埃及、荷蘭和哥倫比亞等地的IP地址,并租用一批服務(wù)器。這兩家公司分別為杰克?史密斯咨詢公司(Jackson Smith Consultants)、穆勒多元系統(tǒng)公司(Mueller Diversified Systems)。同時(shí),技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn),TAO基礎(chǔ)設(shè)施技術(shù)處(MIT)工作人員使用“阿曼達(dá)?拉米雷斯(Amanda Ramirez)”的名字匿名購買域名和一份通用的SSL證書(ID:e42d3bea0a16111e67ef79f9cc2*****)。隨后,上述域名和證書被部署在位于美國本土的中間人攻擊平臺(tái)“酸狐貍”(Foxacid)上,對(duì)中國的大量網(wǎng)絡(luò)目標(biāo)開展攻擊。特別是,TAO對(duì)西北工業(yè)大學(xué)等中國信息網(wǎng)絡(luò)目標(biāo)展開了多輪持續(xù)性的攻擊、竊密行動(dòng)。

            (二)相關(guān)網(wǎng)絡(luò)攻擊武器

            TAO在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中,先后使用了41種NSA的專用網(wǎng)絡(luò)攻擊武器裝備。并且在攻擊過程中,TAO會(huì)根據(jù)目標(biāo)環(huán)境對(duì)同一款網(wǎng)絡(luò)武器進(jìn)行靈活配置。例如,對(duì)西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊中使用的網(wǎng)絡(luò)武器中,僅后門工具“狡詐異端犯”(NSA命名)就有14個(gè)不同版本。技術(shù)團(tuán)隊(duì)將此次攻擊活動(dòng)中TAO所使用工具類別分為四大類,具體包括:

            1、漏洞攻擊突破類武器

            TAO依托此類武器對(duì)西北工業(yè)大學(xué)的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器、辦公內(nèi)網(wǎng)主機(jī)等實(shí)施攻擊突破,同時(shí)也用來攻擊控制境外跳板機(jī)以構(gòu)建匿名化網(wǎng)絡(luò)作為行動(dòng)掩護(hù)。此類武器共有3種:

            ①“剃須刀”

            此武器可針對(duì)開放了指定RPC服務(wù)的X86和SPARC架構(gòu)的Solarise系統(tǒng)實(shí)施遠(yuǎn)程漏洞攻擊,攻擊時(shí)可自動(dòng)探知目標(biāo)系統(tǒng)服務(wù)開放情況并智能化選擇合適版本的漏洞利用代碼,直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。此武器用于對(duì)日本、韓國等國家跳板機(jī)的攻擊,所控制跳板機(jī)被用于對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊。

            ②“孤島”

            此武器同樣可針對(duì)開放了指定RPC服務(wù)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊,直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。與“剃須刀”的不同之處在于此工具不具備自主探測目標(biāo)服務(wù)開放情況的能力,需由使用者手動(dòng)配置目標(biāo)及相關(guān)參數(shù)。NSA使用此武器攻擊控制了西北工業(yè)大學(xué)的邊界服務(wù)器。

            ③“酸狐貍”武器平臺(tái)

            此武器平臺(tái)部署在哥倫比亞,可結(jié)合“二次約會(huì)”中間人攻擊武器使用,可智能化配置漏洞載荷針對(duì)IE、FireFox、Safari、Android Webkit等多平臺(tái)上的主流瀏覽器開展遠(yuǎn)程溢出攻擊,獲取目標(biāo)系統(tǒng)的控制權(quán)(詳見:國家計(jì)算機(jī)病毒應(yīng)急處理中心《美國國家安全局(NSA)“酸狐貍”漏洞攻擊武器平臺(tái)技術(shù)分析報(bào)告》)。TAO主要使用該武器平臺(tái)對(duì)西北工業(yè)大學(xué)辦公內(nèi)網(wǎng)主機(jī)進(jìn)行入侵。

            2、持久化控制類武器

            TAO依托此類武器對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)進(jìn)行隱蔽持久控制,TAO行動(dòng)隊(duì)可通過加密通道發(fā)送控制指令操作此類武器實(shí)施對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)的滲透、控制、竊密等行為。此類武器共有6種:

            ①“二次約會(huì)”

            此武器長期駐留在網(wǎng)關(guān)服務(wù)器、邊界路由器等網(wǎng)絡(luò)邊界設(shè)備及服務(wù)器上,可針對(duì)海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過濾與自動(dòng)化劫持,實(shí)現(xiàn)中間人攻擊功能。TAO在西北工業(yè)大學(xué)邊界設(shè)備上安置該武器,劫持流經(jīng)該設(shè)備的流量引導(dǎo)至“酸狐貍”平臺(tái)實(shí)施漏洞攻擊。

            ②“NOPEN”

            此武器是一種支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬,可通過加密隧道接收指令執(zhí)行文件管理、進(jìn)程管理、系統(tǒng)命令執(zhí)行等多種操作,并且本身具備權(quán)限提升和持久化能力(詳見:國家計(jì)算機(jī)病毒應(yīng)急處理中心《“NOPEN”遠(yuǎn)控木馬分析報(bào)告》)。TAO主要使用該武器對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制。

            ③“怒火噴射”

            此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬,可根據(jù)目標(biāo)系統(tǒng)環(huán)境定制化生成不同類型的木馬服務(wù)端,服務(wù)端本身具備極強(qiáng)的抗分析、反調(diào)試能力。TAO主要使用該武器配合“酸狐貍”平臺(tái)對(duì)西北工業(yè)大學(xué)辦公網(wǎng)內(nèi)部的個(gè)人主機(jī)實(shí)施持久化控制。

            ④“狡詐異端犯”

            此武器是一款輕量級(jí)的后門植入工具,運(yùn)行后即自刪除,具備權(quán)限提升能力,持久駐留于目標(biāo)設(shè)備上并可隨系統(tǒng)啟動(dòng)。TAO主要使用該武器實(shí)現(xiàn)持久駐留,以便在合適時(shí)機(jī)建立加密管道上傳NOPEN木馬,保障對(duì)西北工業(yè)大學(xué)信息網(wǎng)絡(luò)的長期控制。

            ⑤“堅(jiān)忍外科醫(yī)生”

            此武器是一款針對(duì)Linux、Solaris、JunOS、FreeBSD等4種類型操作系統(tǒng)的后門,該武器可持久化運(yùn)行于目標(biāo)設(shè)備上,根據(jù)指令對(duì)目標(biāo)設(shè)備上的指定文件、目錄、進(jìn)程等進(jìn)行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進(jìn)程,避免其被監(jiān)控發(fā)現(xiàn)。技術(shù)分析發(fā)現(xiàn),TAO在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中,累計(jì)使用了該武器的12個(gè)不同版本。

            3、嗅探竊密類武器

            TAO依托此類武器嗅探西北工業(yè)大學(xué)工作人員運(yùn)維網(wǎng)絡(luò)時(shí)使用的賬號(hào)口令、命令行操作記錄,竊取西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的敏感信息和運(yùn)維數(shù)據(jù)等。此類武器共有兩種:

            ①“飲茶”

            此武器可長期駐留在32位或64位的Solaris系統(tǒng)中,通過嗅探進(jìn)程間通信的方式獲取ssh、telnet、rlogin等多種遠(yuǎn)程登錄方式下暴露的賬號(hào)口令。TAO主要使用該武器嗅探西北工業(yè)大學(xué)業(yè)務(wù)人員實(shí)施運(yùn)維工作時(shí)產(chǎn)生的賬號(hào)口令、命令行操作記錄、日志文件等,壓縮加密存儲(chǔ)后供NOPEN木馬下載。

            ②“敵后行動(dòng)”系列武器

            此系列武器是專門針對(duì)電信運(yùn)營商特定業(yè)務(wù)系統(tǒng)使用的工具,根據(jù)被控業(yè)務(wù)設(shè)備的不同類型,“敵后行動(dòng)”會(huì)與不同的解析工具配合使用。TAO在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中使用了“魔法學(xué)?!薄ⅰ靶〕笫澄铩焙汀霸{咒之火”等3類針對(duì)電信運(yùn)營商的攻擊竊密工具。

            4、隱蔽消痕類武器

            TAO依托此類武器消除其在西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的行為痕跡,隱藏、掩飾其惡意操作和竊密行為,同時(shí)為上述三類武器提供保護(hù)?,F(xiàn)已發(fā)現(xiàn)1種此類武器:

            “吐司面包” ,此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡。TAO主要使用該武器清除、替換被控西北工業(yè)大學(xué)上網(wǎng)設(shè)備上的各類日志文件,隱藏其惡意行為。TAO對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中共使用了3款不同版本的“吐司面包”。

            三、攻擊溯源

            技術(shù)團(tuán)隊(duì)結(jié)合上述技術(shù)分析結(jié)果和溯源調(diào)查情況,初步判斷對(duì)西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊行動(dòng)的是美國國家安全局(NSA)信息情報(bào)部(代號(hào)S)數(shù)據(jù)偵察局(代號(hào)S3)下屬TAO(代號(hào)S32)部門。該部門成立于1998年,其力量部署主要依托美國國家安全局(NSA)在美國和歐洲的各密碼中心。目前已被公布的六個(gè)密碼中心分別是:

            1、美國馬里蘭州米德堡的NSA總部;

            2、美國夏威夷瓦胡島的NSA夏威夷密碼中心(NSAH);

            3、美國佐治亞州戈登堡的NSA佐治亞密碼中心(NSAG);

            4、美國德克薩斯州圣安東尼奧的NSA德克薩斯密碼中心(NSAT);

            5、美國科羅拉羅州丹佛馬克利空軍基地的NSA科羅拉羅密碼中心(NSAC);

            6、德國達(dá)姆施塔特美軍基地的NSA歐洲密碼中心(NSAE)。

            TAO是目前美國政府專門從事對(duì)他國實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊竊密活動(dòng)的戰(zhàn)術(shù)實(shí)施單位,由2000多名軍人和文職人員組成,其內(nèi)設(shè)機(jī)構(gòu)包括:

            第一處:遠(yuǎn)程操作中心(ROC,代號(hào)S321),主要負(fù)責(zé)操作武器平臺(tái)和工具進(jìn)入并控制目標(biāo)系統(tǒng)或網(wǎng)絡(luò)。

            第二處:先進(jìn)/接入網(wǎng)絡(luò)技術(shù)處(ANT,代號(hào)S322),負(fù)責(zé)研究相關(guān)硬件技術(shù),為TAO網(wǎng)絡(luò)攻擊行動(dòng)提供硬件相關(guān)技術(shù)和武器裝備支持。

            第三處:數(shù)據(jù)網(wǎng)絡(luò)技術(shù)處(DNT,代號(hào)S323),負(fù)責(zé)研發(fā)復(fù)雜的計(jì)算機(jī)軟件工具,為TAO操作人員執(zhí)行網(wǎng)絡(luò)攻擊任務(wù)提供支撐。

            第四處:電信網(wǎng)絡(luò)技術(shù)處(TNT,代號(hào)S324),負(fù)責(zé)研究電信相關(guān)技術(shù),為TAO操作人員隱蔽滲透電信網(wǎng)絡(luò)提供支撐。

            第五處:任務(wù)基礎(chǔ)設(shè)施技術(shù)處(MIT,代號(hào)S325),負(fù)責(zé)開發(fā)與建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全監(jiān)控平臺(tái),用于構(gòu)建攻擊行動(dòng)網(wǎng)絡(luò)環(huán)境與匿名網(wǎng)絡(luò)。

            第六處:接入行動(dòng)處(ATO,代號(hào)S326),負(fù)責(zé)通過供應(yīng)鏈,對(duì)擬送達(dá)目標(biāo)的產(chǎn)品進(jìn)行后門安裝。

            第七處:需求與定位處(R&T,代號(hào)S327),接收各相關(guān)單位的任務(wù),確定偵察目標(biāo),分析評(píng)估情報(bào)價(jià)值。

            S32P:項(xiàng)目計(jì)劃整合處(PPI,代號(hào)S32P),負(fù)責(zé)總體規(guī)劃與項(xiàng)目管理。

            NWT:網(wǎng)絡(luò)戰(zhàn)小組(NWT),負(fù)責(zé)與網(wǎng)絡(luò)作戰(zhàn)小隊(duì)聯(lián)絡(luò)。

            美國國家安全局(NSA)針對(duì)西北工業(yè)大學(xué)的攻擊行動(dòng)代號(hào)為“阻擊XXXX”(shotXXXX)。該行動(dòng)由TAO負(fù)責(zé)人直接指揮,由MIT(S325)負(fù)責(zé)構(gòu)建偵察環(huán)境、租用攻擊資源;由R&T(S327)負(fù)責(zé)確定攻擊行動(dòng)戰(zhàn)略和情報(bào)評(píng)估;由ANT(S322)、DNT(S323)、TNT(S324)負(fù)責(zé)提供技術(shù)支撐;由ROC(S321)負(fù)責(zé)組織開展攻擊偵察行動(dòng)。由此可見,直接參與指揮與行動(dòng)的主要包括TAO負(fù)責(zé)人,S321和S325單位。

            NSA對(duì)西北工業(yè)大學(xué)攻擊竊密期間的TAO負(fù)責(zé)人是羅伯特?喬伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,曾就讀于漢尼拔高中,1989年畢業(yè)于克拉克森大學(xué),獲學(xué)士學(xué)位,1993年畢業(yè)于約翰斯?霍普金斯大學(xué),獲碩士學(xué)位。1989年進(jìn)入美國國家安全局工作。曾經(jīng)擔(dān)任過TAO副主任,2013年至2017年擔(dān)任TAO主任。2017年10月開始擔(dān)任代理美國國土安全顧問。2018年4月至5月,擔(dān)任美國白宮國務(wù)安全顧問,后回到NSA擔(dān)任美國國家安全局局長網(wǎng)絡(luò)安全戰(zhàn)略高級(jí)顧問,現(xiàn)擔(dān)任NSA網(wǎng)絡(luò)安全主管。

            四、總結(jié)

            本次報(bào)告基于國家計(jì)算機(jī)病毒應(yīng)急處理中心與360公司聯(lián)合技術(shù)團(tuán)隊(duì)的分析成果,揭露了美國NSA長期以來針對(duì)包括西北工業(yè)大學(xué)在內(nèi)的中國信息網(wǎng)絡(luò)用戶和重要單位開展網(wǎng)絡(luò)間諜活動(dòng)的真相。后續(xù)技術(shù)團(tuán)隊(duì)還將陸續(xù)公布相關(guān)事件調(diào)查的更多技術(shù)細(xì)節(jié)。

            [編輯: 吳傲飛(見習(xí)) 審核:戎小平 審簽:谷雨 ]
            分享到:
            回到首頁