二、攻擊事件分析

在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中,，TAO使用了40余種不同的NSA專屬網(wǎng)絡(luò)攻擊武器,，持續(xù)對西北工業(yè)大學(xué)開展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置,、網(wǎng)管數(shù)據(jù),、運維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。通過取證分析,，技術(shù)團隊累計發(fā)現(xiàn)攻擊者在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路多達1100余條,、操作的指令序列90余個，并從被入侵的網(wǎng)絡(luò)設(shè)備中定位了多份遭竊取的網(wǎng)絡(luò)設(shè)備配置文件,、遭嗅探的網(wǎng)絡(luò)通信數(shù)據(jù)及口令,、其它類型的日志和密鑰文件以及其他與攻擊活動相關(guān)的主要細節(jié)。具體分析情況如下：

（一）相關(guān)網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施

為掩護其攻擊行動,，TAO在開始行動前會進行較長時間的準備工作,，主要進行匿名化攻擊基礎(chǔ)設(shè)施的建設(shè)。TAO利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具,，選擇了中國周邊國家的教育機構(gòu),、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo)；攻擊成功后,，安裝NOPEN木馬程序（詳見有關(guān)研究報告）,，控制了大批跳板機。

TAO在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動中先后使用了54臺跳板機和代理服務(wù)器,，主要分布在日本,、韓國、瑞典,、波蘭,、烏克蘭等17個國家，其中70%位于中國周邊國家,，如日本,、韓國等。

這些跳板機的功能僅限于指令中轉(zhuǎn),，即：將上一級的跳板指令轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng),，從而掩蓋美國國家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實IP。目前已經(jīng)至少掌握TAO從其接入環(huán)境（美國國內(nèi)電信運營商）控制跳板機的四個IP地址,，分別為209.59.36.*,、69.165.54.*,、207.195.240.*和209.118.143.*。同時,，為了進一步掩蓋跳板機和代理服務(wù)器與NSA之間的關(guān)聯(lián)關(guān)系,，NSA使用了美國Register公司的匿名保護服務(wù)，對相關(guān)域名,、證書以及注冊人等可溯源信息進行匿名化處理,，無法通過公開渠道進行查詢。