二,、攻擊事件分析

在針對西北工業(yè)大學的網(wǎng)絡攻擊中,，TAO使用了40余種不同的NSA專屬網(wǎng)絡攻擊武器,，持續(xù)對西北工業(yè)大學開展攻擊竊密，竊取該校關鍵網(wǎng)絡設備配置,、網(wǎng)管數(shù)據(jù),、運維數(shù)據(jù)等核心技術數(shù)據(jù)。通過取證分析,，技術團隊累計發(fā)現(xiàn)攻擊者在西北工業(yè)大學內部滲透的攻擊鏈路多達1100余條,、操作的指令序列90余個，并從被入侵的網(wǎng)絡設備中定位了多份遭竊取的網(wǎng)絡設備配置文件,、遭嗅探的網(wǎng)絡通信數(shù)據(jù)及口令,、其它類型的日志和密鑰文件以及其他與攻擊活動相關的主要細節(jié)。具體分析情況如下：

（一）相關網(wǎng)絡攻擊基礎設施

為掩護其攻擊行動,，TAO在開始行動前會進行較長時間的準備工作,，主要進行匿名化攻擊基礎設施的建設。TAO利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具,，選擇了中國周邊國家的教育機構,、商業(yè)公司等網(wǎng)絡應用流量較多的服務器為攻擊目標；攻擊成功后,，安裝NOPEN木馬程序（詳見有關研究報告），控制了大批跳板機,。

TAO在針對西北工業(yè)大學的網(wǎng)絡攻擊行動中先后使用了54臺跳板機和代理服務器,，主要分布在日本,、韓國、瑞典,、波蘭,、烏克蘭等17個國家，其中70%位于中國周邊國家,，如日本,、韓國等。

這些跳板機的功能僅限于指令中轉,，即：將上一級的跳板指令轉發(fā)到目標系統(tǒng),，從而掩蓋美國國家安全局發(fā)起網(wǎng)絡攻擊的真實IP。目前已經(jīng)至少掌握TAO從其接入環(huán)境（美國國內電信運營商）控制跳板機的四個IP地址,，分別為209.59.36.*,、69.165.54.*、207.195.240.*和209.118.143.*,。同時,，為了進一步掩蓋跳板機和代理服務器與NSA之間的關聯(lián)關系，NSA使用了美國Register公司的匿名保護服務,，對相關域名,、證書以及注冊人等可溯源信息進行匿名化處理，無法通過公開渠道進行查詢,。