当前热文:美国网攻西工大背后又一细节:查询一批中国境内敏感身份人员
2022-09-27 15:49:33来源:财联社
财联社9月27日讯,据国家计算机病毒应急处理中心今日发布的《西北工业大学遭美国NSA网络攻击事件调查报告(之二)》显示,2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本,西安警方已对此正式立案调查。
中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、东南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自于美国国家安全局(NSA)的“特定入侵行动办公室”(即:Office of Tailored Access Operation,后文简称“TAO”)。
本系列研究报告将公布TAO对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。
(资料图片)
一、TAO攻击渗透西北工业大学的流程
TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
单点突破、级联渗透,
控制西北工业大学网络
经过长期的精心准备,TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。利用木马级联控制渗透的方式,向西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权,窃取身份验证数据,并进一步实施渗透拓展,最终达成了对西北工业大学内部网络的隐蔽控制。
隐蔽驻留、“合法”监控,
窃取核心运维数据
TAO将作战行动掩护武器“坚忍外科医生”与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。
搜集身份验证数据、构建通道,
渗透基础设施
TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。
控制重要业务系统,
实施用户数据窃取
TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
二、窃取西北工业大学和中国运营商敏感信息
(一)窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据
TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”,长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。
遭到嗅探的网络设备类型包括固定互联网的接入网设备(路由器、认证服务器等)、核心网设备(核心路由器、交换机、防火墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),内容包括账号、口令、设备配置、网络配置等信息。
1、窃取西工大核心网络设备账号口令及配置信息
北京时间20××年12月11日6时52分,TAO以位于日本京都大学的代理服务器(IP:130.54.××.××)为攻击跳板,非法入侵了西北工业大学运维网络的“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件,然后清痕退出。窃取数据包括路由器、核心网设备(核心路由器、交换机、防火墙)管理账号、口令、设备配置、网络配置等信息。
2、多次窃取接入网认证设备账号口令及配置信息
(1)北京时间20××年5月30日0时28分,TAO以位于日本的代理服务器(IP:210.135.××.××)为攻击跳板,非法入侵了西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,这2台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括接入网认证设备的账号、口令及配置信息。
(2)北京时间20××年7月4日1时12分,TAO利用位于德国莱比锡技术经济和文化学院的代理服务器(IP:141.57.××.××)作为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马工具,级联控制其内网监控管理服务器等其他3台服务器,这4台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密文件后清痕退出。
(3)北京时间20××年10月11日10时35分,TAO利用位于韩国首尔国立江原大学的代理服务器(IP:210.115.××.××)作为攻击跳板,非法入侵西北工业大学运维网络监控管理服务器,上传并安装NOPEN木马工具,然后级联控制其内网备份服务器、认证服务器等其他4台服务器,这5台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。
(4)北京时间20××年10月19日2时46分,TAO以位于韩国大田的高等科学技术研究学院的代理服务器(IP:143.248.××.××)为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,级联控制其内网监管服务器等其他2台服务器,这3台服务器事先均已被安装“饮茶”嗅探工具,TAO通过远程操控木马检索并下载窃密文件,然后清痕退出。
(二)窃取西北工业大学网络设备运维配置文件和日志文件
美国国家安全局“特定入侵行动办公室”(TAO)长期攻击入侵西北工业大学网络运维管理服务器,秘密窃取网络设备运维配置文件和日志文件。
1、窃取西北工业大学网络运行日志文件
北京时间20××年3月2日3时41分,TAO通过位于日本的代理服务器(IP:210.135.××.××)非法入侵控制西北工业大学1台网络运维管理服务器。3时49分,TAO从该运维管理服务器横向移动到另一台运维监控服务器,以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。
2、窃取西北工业大学服务器定期任务配置脚本
北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。
3、窃取西北工业大学公司服务器系统信息文件
北京时间20××年6月6日1时27分,TAO通过位于韩国的代理服务器(IP:222.122.××.××)入侵控制了西北工业大学一台内网服务器。2时4分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了目录/var/下的系统文件,窃取了60个常用的系统信息文件,被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。
(三)渗透控制中国基础设施核心设备
美国国家安全局“特定入侵行动办公室”(TAO)利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。
1、窃取中国用户隐私数据
北京时间20××年3月7日22:53,美国国家安全局“特定入侵行动办公室”(TAO)通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。
同日15:02,TAO将查询到的用户数据保存在被攻击服务器 /var/tmp/.2e434fd8aeae73e1/erf/out/f/ 目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。
美国国家安全局“特定入侵行动办公室”(TAO)运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外1家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。
2、渗透控制全球电信基础设施
据分析,美国国家安全局“特定入侵行动办公室”(TAO)以上述手法,利用相同的武器工具组合,“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作,成功提取并固定了上述武器工具样本,并成功完成了技术分析,拟适时对外公布,协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。
三、TAO在攻击过程中暴露身份的相关情况
美国国家安全局“特定入侵行动办公室”(TAO)在网络攻击西北工业大学过程中,暴露出多项技术漏洞,多次出现操作失误,相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。兹摘要举例如下:
(一)攻击时间完全吻合美国工作作息时间规律
美国国家安全局“特定入侵行动办公室”(TAO)在使用tipoff激活指令和远程控制NOPEN木马时,必须通过手动操作,从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。
首先,根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。
其次,美国时间的全部周六、周日中,均未发生对西北工业大学的网络攻击行动。
第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。
第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。
(二)语言行为习惯与美国密切关联
技术团队在对网络攻击者长时间追踪和反渗透过程中(略)发现,攻击者具有以下语言特征:一是攻击者有使用美式英语的习惯;二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击者使用美式键盘进行输入。
(三)武器操作失误暴露工作路径
20××年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称(autoutils)。
出错信息如下:
Quantifier follows nothing in regex; marked by (四)大量武器与遭曝光的NSA武器基因高度同源
此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TAO武器完全一致;有23款工具虽然与“影子经纪人”曝光的工具不完全相同,但其基因相似度高达97%,属于同一类武器,只是相关配置不相同;另有2款工具无法与“影子经纪人”曝光工具进行对应,但这2款工具需要与TAO的其它网络攻击武器工具配合使用,因此这批武器工具明显具有同源性,都归属于TAO。
(五)部分网络攻击行为发生在“影子经纪人”曝光之前
技术团队综合分析发现,在对中国目标实施的上万次网络攻击,特别是对西北工业大学发起的上千次网络攻击中,部分攻击过程中使用的武器攻击,在“影子经纪人”曝光NSA武器装备前便完成了木马植入。按照NSA的行为习惯,上述武器工具大概率由TAO雇员自己使用。
四、TAO网络攻击西北工业大学武器平台IP列表
技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址,举例如下:
五、TAO网络攻击西北工业大学所用跳板IP列表
六、小结
综合此次美国国家安全局“特定入侵行动办公室”(TAO)针对西北工业大学的网络入侵行径,其行为对我国国防安全、关键基础设施安全、社会安全、公民个人信息安全造成严重危害,值得我们深思与警惕:
面对美国NSA对我国实施长期潜伏与持续渗透的攻击行为,我国政府、各大中小企业、大学、医疗机构、科研机构以及重要信息基础设施运维单位等都应做好防范准备:一方面各行业、企业应尽快开展APT攻击自查工作,另一方面要着力实现以“看见”为核心的全面系统化防治。
面对国家级背景的强大对手,首先要知道风险在哪,是什么样的风险,什么时候的风险。
因此,各大单位要逐步提升感知能力、看见能力、处置能力,在攻击做出破坏之前及时斩断“杀伤链”,变事后发现为事前捕获,真正实现感知风险、看见威胁、抵御攻击。
(原标题:西北工业大学遭美国NSA网络攻击事件调查报告(之二))
责任编辑:hnmd003
相关阅读
-
天天头条:“iPhone14Pro被吐槽信号差”上热搜,网友:信号不差还是苹果么
新浪科技讯9月27日下午消息,在iPhone14系列发售后,不少网友已经拿到新机。但不少拿到iPhone14Pro的网...
2022-09-27 -
全球快报:小米Civi 2发布:前置双摄配柔光灯 内置骁龙7售2399元起
凤凰网科技讯(作者 莫环顺)9月27日消息,小米举行线上新品发布会,发布新款手机小米Civi2,前置搭载3...
2022-09-27 -
世界微资讯!美国又失败了!受飓风影响:NASA撤回阿尔忒弥斯1号登月火箭
自从美国重启登月计划之后,进展可谓是一波三折,状况百出。受飓风“伊恩”的影响,将把阿尔忒弥斯1号登...
2022-09-27
相关阅读
-
当前热文:美国网攻西工大背后又一细节:查询一批中国境内敏感身份人员
财联社9月27日讯,据国家计算机病毒应急处理中心今日发布的《西北工业大学遭美国NSA网络攻击事件调查报...
-
天天头条:“iPhone14Pro被吐槽信号差”上热搜,网友:信号不差还是苹果么
新浪科技讯9月27日下午消息,在iPhone14系列发售后,不少网友已经拿到新机。但不少拿到iPhone14Pro的网...
-
环球观焦点:王传福卸任比亚迪矿用车公司董事长 何龙接任
凤凰网科技讯9月27日消息,据天眼查App显示,9月26日,包头市比亚迪矿用车有限公司发生工商变更,王传福...
-
全球快报:小米Civi 2发布:前置双摄配柔光灯 内置骁龙7售2399元起
凤凰网科技讯(作者 莫环顺)9月27日消息,小米举行线上新品发布会,发布新款手机小米Civi2,前置搭载3...
-
世界最新:创始人沈晖年薪12亿真相揭秘,威马汽车3年巨亏174亿元,获李嘉诚家族投资
近日,威马控股有限公司(下称“威马汽车”)因公司连年亏损,创始人沈晖年薪高达12亿元的消息备受行业...
-
当前视讯!花5万元请人直播带货只卖出36元,传媒公司悄然跑路
据时间视频消息,近日,上海虹口法院对一起直播带货引发的营销服务
-
【世界时快讯】特斯拉德国工厂发生火灾,部分居民要求停产
特斯拉德国工厂发生火灾,部分居民要求停产虽然多个救火小队参与了灭火行动,大火依然从凌晨3点持续到了...
-
全球热推荐:保时捷IPO发行价有望达82.5欧元,估值或高达750亿欧元
保时捷IPO发行价有望达82 5欧元,估值或高达750亿欧元盖世汽车讯据外媒报道,保时捷股价有望达到此前宣...
-
全球要闻:又来一个新品牌,要造平民跑车
又来一个新品牌,要造平民跑车造车的门槛,真的是越来越低了。一场线上发布会加一篇新闻稿,宣告了中国...
-
黄金td是什么意思?黄金td在哪里开户?黄金td交易平台哪个好?
黄金td是什么意思?黄金延期交收业务简称AU(T+D),主要是用以保证金方式进行买卖,交易者可以选择合约交...
-
工薪阶层如何理财?工薪阶层理财的特点和原则
工薪阶层如何理财?工薪族理财之前,应该先把自己的钱做出规划,刨除自己的日常所需要的开支以外,看看自...
-
什么是基金单位净值?基金单位净值越大越好吗?基金单位净值计算公式
什么是基金单位净值?基金单位净值就是每一份基金的价格,基金当天净值上涨,投资者获得收益,基金当天净...
-
工行金卡怎么办?工行金卡有什么好处?工行金卡和白金卡区别
工行金卡怎么办?工商银行金卡可以分为理财金卡和信用卡金卡两种,如果在工商银行的存款余额超过20万人民...
-
纸黄金是什么?纸黄金怎么交易开户?纸黄金和积存金的区别
黄金这种贵金属,有着很高的收藏价值,也是不少人投资理财的对象。而黄金的种类其实有不少,除了实物黄...
-
什么是成长型基金?成长型基金投资目标是什么?成长型基金和价值型基金的区别
什么是成长型基金?成长型基金是指以成长股为投资对象的基金,成长股是指上市公司规模不大,但处于良性发...
-
深圳股市交易时间?深圳股市交易费一般是多少?深圳股市交易规则
深圳股市交易时间?深圳股市交易时间:周一至周五上午9:30-11:30,下午13:00-15:00,法定节假日不交易。...
-
抗疫国债是什么意思?抗疫国债怎么买?抗疫国债的使用与管理
抗疫国债是什么意思?2020年抗疫特别国债是为应对新冠肺炎疫情影响,由中央财政统一发行的特殊国债,不计...
-
金融风暴是什么意思?金融风暴是谁操纵的?金融风暴对老百姓有什么影响?
金融风暴是什么意思?金融风暴就是金融危机的意思。金融风暴,又称金融危机,是指一个国家或几个国家与地...
-
储值卡是什么?储值卡过期作废合法吗?储值卡和储蓄卡的区别
储值卡是什么?储值卡是银行发行的,具有预付钱包功能的借记卡。储值卡一般有固定的面额,并且不支持续存...
-
微信退群可选保留聊天记录!微信退群聊天记录还在吗?退群前如何保存聊天记录?
微信退群可选保留聊天记录!9月27日消息,微信已支持退出群聊后保留聊天记录功能,用户退群时取消勾选清...
-
现货黄金如何交易?黄金现货交易哪个好?黄金现货交易时间
现货黄金如何交易?首先要了解黄金市场,其次要懂得哪些因素对黄金造成影响,重要的数据、机构的持仓报告...
-
余额宝双休日有收益吗?余额宝利率是多少?余额宝和银行哪个利息高?
余额宝双休日有收益吗?余额宝双休日也有收益的,前提是在双休日前买入资金已经确认份额,否则是不计算利...
-
美团互助分摊是什么?美团互助分摊扣钱怎么回事?美团互助分摊怎么取消?
美团互助分摊是什么?美团互助分摊是指加入美团互助的成员当中,若某成员患上美团互助保障范围内的疾病,...
-
企业上创业板需要什么条件?开通创业板需要多少钱?创业板上市条件
企业上创业板需要什么条件?创业板实施注册制后,上市规定有所变动,在创业板上市的股票需要符合证监会规...
-
火锅店将吃剩锅底重新端给顾客!火锅店吃完的锅底怎么处理?没吃完的菜怎么处理?
火锅店将吃剩锅底重新端给顾客!近日,江苏昆山有网友曝料称,紫竹路醉码头火锅店将客人吃完的锅底重新给...
-
95588是什么电话?95588是人工还是系统?95588是免费的吗?
95588是什么电话?95588是工商银行的客服热线,服务广大对公和对私客户。市民无论何时何地,只需拨打9558...
-
银行卡维护中是什么意思?银行卡维护中可以取款吗?多久恢复正常?
银行卡维护中是什么意思?银行卡显示维护中可能是银行在对系统进行升级、维护等状态,通常银行维护之前会...
-
民生信用卡金卡额度多少钱?民生信用卡金卡有年费吗?民生信用卡金卡介绍
民生信用卡金卡额度多少钱?民生信用卡金卡额度为3000-50000元间,具体的授信额度以申请页面显示的额度为...
-
粮稳物丰硕果累累!畜牧业什么时候出现的?畜牧业发展的三个阶段
粮稳物丰硕果累累!金秋九月,五谷丰登、瓜果飘香。眼下,各地秋收工作正有序推进。农业农村部最新农情调...
-
银行本票是什么?银行本票是由谁签发的?银行本票和汇票的区别
银行本票是什么?银行本票是申请人将款项交存银行,由银行签发的承诺自己在见票时无条件支付确定的金额给...
精彩推荐
阅读排行
精彩推送
- 人民币升值对出口好还是进口好?...
- 股指期货交割日是什么意思?交割...
- 锦鲤卡有什么用?锦鲤卡有效期多...
- ipo是什么意思?启动ipo一般多久...
- 赋能数据流通交易 深数交企业数...
- 全真互联网2040年或将落地 塑造...
- 全球首例!大疆天空之城正式启用
- “木星冲日”今日上演 我国各地...
- 深圳拟培育引进电竞领军企业 给...
- 助企纾困补贴直达快享 龙华打造...
- 宝马预计2023年交付40万辆电动汽...
- 特斯拉柏林超级工厂突发火灾 暂...
- 小米12T/Pro手机或将于10月4日发...
- 贾跃亭率合伙人公司重组FF董事会...
- 中国广电192号段今日商用 31个...
- 勤哲Excel服务器无代码实现无损...
- 江苏文旅消费年度白皮书发布 “...
- 从优化组织架构入手 财富管理开...
- 邮储银行上线国庆节专属理财产品...
- 布局“专精特新”新蓝海 工银理...
- 总投资228亿元!扬州市江都区实...
- 环球视讯!支付宝退保会有影响吗...
- 天天即时看!中介发的退保操作方...
- 天天观热点:车险人保退保计算方...
- 每日快报!提前还贷退保险费的手...
- 速读:退保险证明需要自己写吗?...
- 微动态丨再添佳绩!晶科能源N型...
- 当前速看:Sollers有意收购马自...
- 世界观点:法拉第未来:今年无法...
- 射阳竞逐低碳发展新赛道 奏响绿...