今年6月22日，西北工業(yè)大學發(fā)布《公開聲明》稱，該校遭受境外網(wǎng)絡攻擊，隨后西安警方對此正式立案調查，中國國家計算機病毒應急處理中心和360公司聯(lián)合組成技術團隊全程參與了此案的技術分析工作，并于9月5日發(fā)布了第一份“西北工業(yè)大學遭受美國NSA網(wǎng)絡攻擊調查報告”，調查報告指出此次網(wǎng)絡攻擊源頭系美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）。今天（27日），技術團隊再次發(fā)布相關網(wǎng)絡攻擊的調查報告，報告披露，特定入侵行動辦公室（TAO）在對西北工業(yè)大學發(fā)起網(wǎng)絡攻擊過程中構建了對我國基礎設施運營商核心數(shù)據(jù)網(wǎng)絡遠程訪問的（所謂）“合法”通道，實現(xiàn)了對我國基礎設施的滲透控制。

　　此次調查報告顯示，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）對他國發(fā)起的網(wǎng)絡攻擊技戰(zhàn)術針對性強，采取半自動化攻擊流程，單點突破、逐步滲透、長期竊密。

    360公司網(wǎng)絡安全專家 邊亮：它可以通過漏洞的方式去批量地對網(wǎng)絡當中的設備或者說一段IP進行這種批量的投漏洞、投病毒，從而獲取相關的權限，這個是可以做到自動化的。它后續(xù)需要進行潛伏，進行長期控制，并且需要有針對性地去竊取相關的這種文件。這個過程中是背后需要有人來操作，來指定到底去竊取什么去做什么，以及最后在撤退的時候需要銷毀，那么這個過程其實都是由人在背后去控制的，那么這個過程其實是屬于半自動化。

　　技術團隊發(fā)現(xiàn)，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）經(jīng)過長期的精心準備，使用“酸狐貍”平臺對西北工業(yè)大學內部主機和服務器實施中間人劫持攻擊，部署“怒火噴射”遠程控制武器，控制多臺關鍵服務器。

　　國家計算機病毒應急處理中心高級工程師 杜振華：進入到這些服務器之后，它會對網(wǎng)絡流量進行劫持，那么采用這種中間人攻擊的方式，把其他的武器投送到西北工業(yè)大學內網(wǎng)的主機或者服務器上，投送成功之后，尤其是投送持久控制類武器之后，可以說獲得了西北工業(yè)大學內網(wǎng)的訪問權。那么在這個基礎上，會對內網(wǎng)進行這種探測，去尋找高價值的服務器，高價值的主機，然后再向這些服務器和主機進行橫向移動，成功地進入之后，可以去部署這種嗅探竊密類的武器。

　　報告顯示，特定入侵行動辦公室（TAO）通過竊取西北工業(yè)大學運維和技術人員遠程業(yè)務管理的賬號口令、操作記錄以及系統(tǒng)日志等關鍵敏感數(shù)據(jù)，掌握了一批網(wǎng)絡邊界設備賬號口令、業(yè)務設備訪問權限、路由器等設備配置信息、FTP服務器文檔資料信息。

　　360公司網(wǎng)絡安全專家 邊亮：它控制了西北工大（相關設備）之后，相當于利用西北工大再去對其他單位進行攻擊，這個過程是一個打引號的合法。相當于我們數(shù)據(jù)庫當中有類似于這種人臉識別這么一個防護機制一樣。如果說一個比如美國人來的話，我們直接給他攔住了，不讓他進去，但是他刷了比如像西工大的臉，我們認為他是一個正常的用戶，那么在網(wǎng)絡數(shù)據(jù)當中就對他進行了一個放行這么一個操作。但實際上西工大的相關服務器是被美國（TAO）所控制的，那么（TAO）去進一步對其他單位產(chǎn)生攻擊。

　　技術團隊根據(jù)特定入侵行動辦公室（TAO）攻擊鏈路、滲透方式、木馬樣本等特征，關聯(lián)發(fā)現(xiàn)其非法攻擊滲透中國境內的基礎設施運營商，構建了對基礎設施運營商核心數(shù)據(jù)網(wǎng)絡遠程訪問的（所謂）“合法”通道，實現(xiàn)了對中國基礎設施的滲透控制。

　　報告顯示，特定入侵行動辦公室（TAO）通過掌握的中國基礎設施運營商的思科PIX防火墻、天融信防火墻等設備的賬號口令，以（所謂）“合法”身份進入運營商網(wǎng)絡，隨后實施內網(wǎng)滲透拓展，分別控制相關運營商的服務質量監(jiān)控系統(tǒng)和短信網(wǎng)關服務器，利用“魔法學?！钡葘ｉT針對運營商設備的武器工具，查詢了一批中國境內敏感身份人員，并將用戶信息打包加密后經(jīng)多級跳板回傳至美國國家安全局總部。

更多信息可以來這里獲取==>>電子技術應用-AET<<