西工大遭美網襲最新調查報告，重要細節公佈

今年6月22日，西北工業大學釋出《公開宣告》稱，該校遭受境外網路攻擊，隨後西安警方對此正式立案調查，中國國家計算機病毒應急處理中心和360公司聯合組成技術團隊全程參與了此案的技術分析工作，並於9月5日釋出了第一份“西北工業大學遭受美國NSA網路攻擊調查報告”，調查報告指出此次網路攻擊源頭系美國國家安全域性（NSA）下屬的特定入侵行動辦公室（TAO）。今天（27日），技術團隊再次釋出相關網路攻擊的調查報告，報告披露，特定入侵行動辦公室（TAO）在對西北工業大學發起網路攻擊過程中構建了對中國基礎設施運營商核心資料網路遠端訪問的（所謂）“合法”通道，實現了對中國基礎設施的滲透控制。

此次調查報告顯示，美國國家安全域性（NSA）下屬的特定入侵行動辦公室（TAO）對他國發起的網路攻擊技戰術針對性強，採取半自動化攻擊流程，單點突破、逐步滲透、長期竊密。

360公司網路安全專家 邊亮：它可以透過漏洞的方式去批次的對網路當中的裝置或者說一段IP進行這種批次的投漏洞、投病毒，從而獲取相關的許可權，這個是可以做到自動化的。它後續需要進行潛伏、進行長期控制，並且需要有針對性的去竊取相關的這種檔案，這個過程中是背後需要有人來操作、來指定到底去竊取什麼去做什麼，以及最後在撤退的時候需要銷燬，那麼這個過程其實都是由人在背後去控制的，那麼這個過程其實是屬於半自動化。

技術團隊發現，美國國家安全域性（NSA）下屬的特定入侵行動辦公室（TAO）經過長期的精心準備，使用“酸狐狸”平臺對西北工業大學內部主機和伺服器實施中間人劫持攻擊，部署“怒火噴射”遠端控制武器，控制多臺關鍵伺服器。

國家計算機病毒應急處理中心高階工程師 杜振華：進入到這些伺服器之後，它會對網路流量進行劫持，那麼採用這種中間人攻擊的方式，把其他的武器投送到西北工業大學內網的主機或者伺服器上，投送成功之後，尤其是投送持久控制類武器之後，可以說獲得了西北工業大學內網的訪問權。那麼在這個基礎上，那麼會對內網進行這種探測，去尋找高價值的伺服器、高價值的主機，然後再向這些伺服器和主機進行橫向移動，成功的進入之後，可以去部署這種嗅探竊密類的武器。

報告顯示，特定入侵行動辦公室（TAO）透過竊取西北工業大學運維和技術人員遠端業務管理的賬號口令、操作記錄以及系統日誌等關鍵敏感資料，掌握了一批網路邊界裝置賬號口令、業務裝置訪問許可權、路由器等裝置配置資訊、FTP伺服器文件資料資訊。

360公司網路安全專家 邊亮：它控制了西北工大（相關裝置）之後，相當於利用西北工大再去對其他單位進行攻擊，這個過程中是一個打引號的合法，相當於我們資料庫當中有類似於這種人臉識別這麼一個防護機制一樣，如果說一個比如美國人來的話，我們直接給他攔住了，不讓他進去，但是他刷了比如像西工大的臉，我們認為他是一個正常的使用者，那麼在網路資料當中就對他進行了一個放行操作。但實際上西工大的相關伺服器是被美國（TAO）所控制的，那麼（TAO）去進一步進其他單位產生攻擊。

技術團隊根據特定入侵行動辦公室（TAO）攻擊鏈路、滲透方式、木馬樣本等特徵，關聯發現其非法攻擊滲透中國境內的基礎設施運營商，構建了對基礎設施運營商核心資料網路遠端訪問的（所謂）“合法”通道，實現了對中國基礎設施的滲透控制。

報告顯示，特定入侵行動辦公室（TAO）透過掌握的中國基礎設施運營商的思科PIX防火牆、天融信防火牆等裝置的賬號口令，以（所謂）“合法”身份進入運營商網路，隨後實施內網滲透拓展，分別控制相關運營商的服務質量監控系統和簡訊閘道器伺服器，利用“魔法學校”等專門針對運營商裝置的武器工具，查詢了一批中國境內敏感身份人員，並將使用者資訊打包加密後經多級跳板回傳至美國國家安全域性總部。

（原標題：西工大遭美網襲最新調查報告，公佈重要細節→）

流程編輯：TF021