今年6月22日,，西北工業(yè)大學(xué)發(fā)布《公開聲明》稱,，該校遭受境外網(wǎng)絡(luò)攻擊,，隨后西安警方對此正式立案調(diào)查,，中國國家計算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成技術(shù)團(tuán)隊全程參與了此案的技術(shù)分析工作,，并于9月5日發(fā)布了第一份“西北工業(yè)大學(xué)遭受美國NSA網(wǎng)絡(luò)攻擊調(diào)查報告”,，調(diào)查報告指出此次網(wǎng)絡(luò)攻擊源頭系美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）,。今天（27日）,，技術(shù)團(tuán)隊再次發(fā)布相關(guān)網(wǎng)絡(luò)攻擊的調(diào)查報告,，報告披露,，特定入侵行動辦公室（TAO）在對西北工業(yè)大學(xué)發(fā)起網(wǎng)絡(luò)攻擊過程中構(gòu)建了對我國基礎(chǔ)設(shè)施運(yùn)營商核心數(shù)據(jù)網(wǎng)絡(luò)遠(yuǎn)程訪問的（所謂）“合法”通道,，實(shí)現(xiàn)了對我國基礎(chǔ)設(shè)施的滲透控制。

此次調(diào)查報告顯示,，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）對他國發(fā)起的網(wǎng)絡(luò)攻擊技戰(zhàn)術(shù)針對性強(qiáng),，采取半自動化攻擊流程，單點(diǎn)突破,、逐步滲透,、長期竊密。

360公司網(wǎng)絡(luò)安全專家邊亮：它可以通過漏洞的方式去批量地對網(wǎng)絡(luò)當(dāng)中的設(shè)備或者說一段IP進(jìn)行這種批量投漏洞,、投病毒,，從而獲取相關(guān)的權(quán)限，這個是可以做到自動化的,。它后續(xù)需要進(jìn)行潛伏,，進(jìn)行長期控制，并且需要有針對性地去竊取相關(guān)的這種文件,。這個過程中是背后需要有人來操作,，來指定到底去竊取什么去做什么，以及最后在撤退的時候需要銷毀,，那么這個過程其實(shí)都是由人在背后去控制的,，那么這個過程其實(shí)是屬于半自動化。

技術(shù)團(tuán)隊發(fā)現(xiàn),，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）經(jīng)過長期的精心準(zhǔn)備,，使用“酸狐貍”平臺對西北工業(yè)大學(xué)內(nèi)部主機(jī)和服務(wù)器實(shí)施中間人劫持攻擊，部署“怒火噴射”遠(yuǎn)程控制武器,，控制多臺關(guān)鍵服務(wù)器,。

國家計算機(jī)病毒應(yīng)急處理中心高級工程師杜振華：進(jìn)入到這些服務(wù)器之后,，它會對網(wǎng)絡(luò)流量進(jìn)行劫持,，那么采用這種中間人攻擊的方式，把其他的武器投送到西北工業(yè)大學(xué)內(nèi)網(wǎng)的主機(jī)或者服務(wù)器上,，投送成功之后,，尤其是投送持久控制類武器之后,，可以說獲得了西北工業(yè)大學(xué)內(nèi)網(wǎng)的訪問權(quán)。那么在這個基礎(chǔ)上,，會對內(nèi)網(wǎng)進(jìn)行這種探測,，去尋找高價值的服務(wù)器，高價值的主機(jī),，然后再向這些服務(wù)器和主機(jī)進(jìn)行橫向移動,，成功地進(jìn)入之后，可以去部署這種嗅探竊密類的武器,。

報告顯示,，特定入侵行動辦公室（TAO）通過竊取西北工業(yè)大學(xué)運(yùn)維和技術(shù)人員遠(yuǎn)程業(yè)務(wù)管理的賬號口令,、操作記錄以及系統(tǒng)日志等關(guān)鍵敏感數(shù)據(jù)，掌握了一批網(wǎng)絡(luò)邊界設(shè)備賬號口令,、業(yè)務(wù)設(shè)備訪問權(quán)限,、路由器等設(shè)備配置信息、FTP服務(wù)器文檔資料信息,。

360公司網(wǎng)絡(luò)安全專家邊亮：它控制了西北工大（相關(guān)設(shè)備）之后,，相當(dāng)于利用西北工大再去對其他單位進(jìn)行攻擊，這個過程是一個打引號的合法,。相當(dāng)于我們數(shù)據(jù)庫當(dāng)中有類似于這種人臉識別這么一個防護(hù)機(jī)制一樣,。如果說一個比如美國人來的話，我們直接給他攔住了,，不讓他進(jìn)去,，但是他刷了比如像西工大的臉，我們認(rèn)為他是一個正常的用戶,，那么在網(wǎng)絡(luò)數(shù)據(jù)當(dāng)中就對他進(jìn)行了一個放行這么一個操作。但實(shí)際上西工大的相關(guān)服務(wù)器是被美國（TAO）所控制的,，那么（TAO）去進(jìn)一步對其他單位產(chǎn)生攻擊,。

技術(shù)團(tuán)隊根據(jù)特定入侵行動辦公室（TAO）攻擊鏈路、滲透方式,、木馬樣本等特征,，關(guān)聯(lián)發(fā)現(xiàn)其非法攻擊滲透中國境內(nèi)的基礎(chǔ)設(shè)施運(yùn)營商，構(gòu)建了對基礎(chǔ)設(shè)施運(yùn)營商核心數(shù)據(jù)網(wǎng)絡(luò)遠(yuǎn)程訪問的（所謂）“合法”通道,，實(shí)現(xiàn)了對中國基礎(chǔ)設(shè)施的滲透控制,。

報告顯示，特定入侵行動辦公室（TAO）通過掌握的中國基礎(chǔ)設(shè)施運(yùn)營商的思科PIX防火墻,、天融信防火墻等設(shè)備的賬號口令,，以（所謂）“合法”身份進(jìn)入運(yùn)營商網(wǎng)絡(luò)，隨后實(shí)施內(nèi)網(wǎng)滲透拓展,，分別控制相關(guān)運(yùn)營商的服務(wù)質(zhì)量監(jiān)控系統(tǒng)和短信網(wǎng)關(guān)服務(wù)器,，利用“魔法學(xué)校”等專門針對運(yùn)營商設(shè)備的武器工具,，查詢了一批中國境內(nèi)敏感身份人員,，并將用戶信息打包加密后經(jīng)多級跳板回傳至美國國家安全局總部。