電液動扇形閘門記者27日獲得的最新調查報告進一(yī)步揭露(lù)了美國對西北工業大學組織(zhī)網絡攻擊的目的:滲透控製中國基礎設施核心設備,竊取中國用戶隱私數據,入侵過程(chéng)中還查詢一批中國境內敏(mǐn)感身份人(rén)員(yuán),並將用戶信息打包加密後經多級跳板回傳(chuán)至美國國家安全局總部。
6月(yuè)份西北工業大學(xué)曾發布聲明稱,有來(lái)自境外的黑客組織對西北工業大學服(fú)務器實施攻擊。9月份(fèn),相關部門調(diào)查顯示針對西北工業大學的網絡攻擊來自美國(guó)國家安全局(NSA)特(tè)定(dìng)入侵行動辦(bàn)公室(TAO)。
中國(guó)國家計(jì)算機病(bìng)毒應急處理中心和360公司全程參與了此案的技術分(fèn)析。研究(jiū)團(tuán)隊經過持續攻堅,成(chéng)功鎖定了TAO對(duì)西北(běi)工業大學實施網絡(luò)攻(gōng)擊(jī)的目標節點、多級跳板、主控(kòng)平台、加密隧道、攻擊武器和(hé)發起攻擊的原始終端,發現(xiàn)了攻(gōng)擊實施者的身份(fèn)線索,並成功查(chá)明了13名攻(gōng)擊者的真實(shí)身份。
四通分料器最新的(de)調查報告進一步表明,TAO長期隱蔽控製西北工(gōng)業大學的(de)運維管理服務器(qì),同時采取替換(huàn)原係統文件和擦除係統日誌的方式消痕隱身,規(guī)避溯源。網絡安全技術人員根據TAO攻擊西北(běi)工業大學的隱蔽鏈路、滲(shèn)透工(gōng)具(jù)、木馬樣本等特征關(guān)聯發現,TAO對我國基礎設施運營商核(hé)心數據網絡實施了滲透控製。
此外(wài),TAO運用同(tóng)樣的手法,分別於北京(jīng)時間20××年1月10日23時22分、1月29日8時(shí)41分、3月28日22時00分、6月(yuè)6日23時58分,攻(gōng)擊控製另外一家中國基礎設施業務服務器,非法多批次查詢、導出、竊取多名身(shēn)份敏感人員的(de)用戶信息。
針對西北工業大學遭受TAO網絡(luò)攻擊的技術分析行動(dòng)中,中國打(dǎ)破了一直以來美國對我國的“單向透(tòu)明”優勢,掌握(wò)了(le)美國(guó)實施網絡攻擊的充(chōng)分證據。
值得一(yī)提(tí)的是,TAO在(zài)實施(shī)網(wǎng)絡攻擊中因(yīn)操作失誤暴露工作路徑。根據介紹, 20××年5月16日5時36分(fèn)(北京時間),對西北(běi)工(gōng)業大學實施網絡攻擊人員利用(yòng)位(wèi)於韓國的跳板機(jī)(IP:222.122.××.××),並使用NOPEN木馬再次攻擊西北工業大學。在對西北工業大學內網實施第三級滲透後試圖入侵控製一台網絡(luò)設備時,在運行上傳PY腳本工具時出現人為失誤,未修改指定參數。腳(jiǎo)本(běn)執行後返回出錯(cuò)信息,信息中暴露(lù)出攻擊者上網終端的工作目錄和相應(yīng)的文件名,從中(zhōng)可知木馬控製端的係統環境為Linux係統,且相應目錄(lù)名“/etc/autoutils”係TAO網絡攻擊武器工(gōng)具目錄(lù)的專用名稱(autoutils)。
此外,技術分析還發現,美國仰仗自己強大的技術優勢,針對西北工業大學的攻擊竊密者都是按照美國國內工作日的時間安排進行(háng)活動的,肆無忌(jì)憚,毫(háo)不掩飾。
根據對相關網絡攻擊行為的大數據分析,對西北工(gōng)業大學的網絡攻擊行動98%集中在北京時間21時至淩晨4時之間,該時段對應著美國東部時間9時至16時,屬於美(měi)國國內的工作時間(jiān)段。其次,美國時間的全部周六、周日時間內均未發生對西北工業大學的網絡攻擊行動。第三(sān),分析美國特有的(de)節假日,發現美國的“陣亡將士紀念日”放假3天,美國“獨立日”放假1天,在這四天中攻擊方沒有實施任何攻擊竊密行動。第四,長時間對(duì)攻擊行為密切跟蹤發現,在曆年聖誕節期間,所有網絡攻擊活動都處於靜默狀態。
