西北工業(yè)大學遭美國NSA網(wǎng)絡攻擊事件調(diào)查報告（之一）

2022年6月22日,，西北工業(yè)大學發(fā)布《公開聲明》稱，該校遭受境外網(wǎng)絡攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報》，證實在西北工業(yè)大學的信息網(wǎng)絡中發(fā)現(xiàn)了多款源于境外的木馬樣本,，西安警方已對此正式立案調(diào)查。

國家計算機病毒應急處理中心和360公司聯(lián)合組成技術團隊（以下簡稱“技術團隊”），全程參與了此案的技術分析工作,。技術團隊先后從西北工業(yè)大學的多個信息系統(tǒng)和上網(wǎng)終端中提取到了多款木馬樣本，綜合使用國內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段,，并得到了歐洲,、南亞部分國家合作伙伴的通力支持，全面還原了相關攻擊事件的總體概貌,、技術特征,、攻擊武器、攻擊路徑和攻擊源頭,，初步判明相關攻擊活動源自美國國家安全局（NSA）“特定入侵行動辦公室”（Office of Tailored Access Operation,，后文簡稱TAO）。

一,、攻擊事件概貌

本次調(diào)查發(fā)現(xiàn),，在近年里，美國NSA下屬TAO對中國國內(nèi)的網(wǎng)絡目標實施了上萬次的惡意網(wǎng)絡攻擊,，控制了數(shù)以萬計的網(wǎng)絡設備（網(wǎng)絡服務器,、上網(wǎng)終端、網(wǎng)絡交換機,、電話交換機,、路由器、防火墻等）,，竊取了超過140GB的高價值數(shù)據(jù),。TAO利用其網(wǎng)絡攻擊武器平臺、“零日漏洞”（0day）及其控制的網(wǎng)絡設備等,，持續(xù)擴大網(wǎng)絡攻擊和范圍,。經(jīng)技術分析與溯源，技術團隊現(xiàn)已澄清TAO攻擊活動中使用的網(wǎng)絡攻擊基礎設施,、專用武器裝備及技戰(zhàn)術,，還原了攻擊過程和被竊取的文件，掌握了美國NSA及其下屬TAO對中國信息網(wǎng)絡實施網(wǎng)絡攻擊和數(shù)據(jù)竊密的相關證據(jù),，涉及在美國國內(nèi)對中國直接發(fā)起網(wǎng)絡攻擊的人員13名,，以及NSA通過掩護公司為構建網(wǎng)絡攻擊環(huán)境而與美國電信運營商簽訂的合同60余份，電子文件170余份,。

二,、攻擊事件分析

在針對西北工業(yè)大學的網(wǎng)絡攻擊中，TAO使用了40余種不同的NSA專屬網(wǎng)絡攻擊武器,，持續(xù)對西北工業(yè)大學開展攻擊竊密,，竊取該校關鍵網(wǎng)絡設備配置,、網(wǎng)管數(shù)據(jù)、運維數(shù)據(jù)等核心技術數(shù)據(jù),。通過取證分析,，技術團隊累計發(fā)現(xiàn)攻擊者在西北工業(yè)大學內(nèi)部滲透的攻擊鏈路多達1100余條、操作的指令序列90余個,，并從被入侵的網(wǎng)絡設備中定位了多份遭竊取的網(wǎng)絡設備配置文件,、遭嗅探的網(wǎng)絡通信數(shù)據(jù)及口令、其它類型的日志和密鑰文件以及其他與攻擊活動相關的主要細節(jié),。具體分析情況如下：

（一）相關網(wǎng)絡攻擊基礎設施

為掩護其攻擊行動,，TAO在開始行動前會進行較長時間的準備工作，主要進行匿名化攻擊基礎設施的建設,。TAO利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具,，選擇了中國周邊國家的教育機構、商業(yè)公司等網(wǎng)絡應用流量較多的服務器為攻擊目標,；攻擊成功后,，安裝NOPEN木馬程序（詳見有關研究報告），控制了大批跳板機,。

TAO在針對西北工業(yè)大學的網(wǎng)絡攻擊行動中先后使用了54臺跳板機和代理服務器,，主要分布在日本、韓國,、瑞典,、波蘭、烏克蘭等17個國家,，其中70%位于中國周邊國家,，如日本、韓國等,。

這些跳板機的功能僅限于指令中轉,，即：將上一級的跳板指令轉發(fā)到目標系統(tǒng)，從而掩蓋美國國家安全局發(fā)起網(wǎng)絡攻擊的真實IP,。目前已經(jīng)至少掌握TAO從其接入環(huán)境（美國國內(nèi)電信運營商）控制跳板機的四個IP地址,，分別為209.59.36.*、69.165.54.*,、207.195.240.*和209.118.143.*,。同時，為了進一步掩蓋跳板機和代理服務器與NSA之間的關聯(lián)關系,，NSA使用了美國Register公司的匿名保護服務,，對相關域名、證書以及注冊人等可溯源信息進行匿名化處理，無法通過公開渠道進行查詢,。

技術團隊通過威脅情報數(shù)據(jù)關聯(lián)分析,，發(fā)現(xiàn)針對西北工業(yè)大學攻擊平臺所使用的網(wǎng)絡資源共涉及5臺代理服務器,，NSA通過秘密成立的兩家掩護公司向美國泰瑞馬克（Terremark）公司購買了埃及,、荷蘭和哥倫比亞等地的IP地址，并租用一批服務器,。這兩家公司分別為杰克?史密斯咨詢公司（Jackson Smith Consultants）,、穆勒多元系統(tǒng)公司（Mueller Diversified Systems）。同時,，技術團隊還發(fā)現(xiàn),，TAO基礎設施技術處（MIT）工作人員使用“阿曼達?拉米雷斯（Amanda Ramirez）”的名字匿名購買域名和一份通用的SSL證書（ID：e42d3bea0a16111e67ef79f9cc2*****）。隨后,，上述域名和證書被部署在位于美國本土的中間人攻擊平臺“酸狐貍”（Foxacid）上,，對中國的大量網(wǎng)絡目標開展攻擊。特別是,，TAO對西北工業(yè)大學等中國信息網(wǎng)絡目標展開了多輪持續(xù)性的攻擊,、竊密行動。

（二）相關網(wǎng)絡攻擊武器

TAO在對西北工業(yè)大學的網(wǎng)絡攻擊行動中,，先后使用了41種NSA的專用網(wǎng)絡攻擊武器裝備,。并且在攻擊過程中，TAO會根據(jù)目標環(huán)境對同一款網(wǎng)絡武器進行靈活配置,。例如,，對西北工業(yè)大學實施網(wǎng)絡攻擊中使用的網(wǎng)絡武器中，僅后門工具“狡詐異端犯”（NSA命名）就有14個不同版本,。技術團隊將此次攻擊活動中TAO所使用工具類別分為四大類,，具體包括：

1、漏洞攻擊突破類武器

TAO依托此類武器對西北工業(yè)大學的邊界網(wǎng)絡設備,、網(wǎng)關服務器,、辦公內(nèi)網(wǎng)主機等實施攻擊突破，同時也用來攻擊控制境外跳板機以構建匿名化網(wǎng)絡作為行動掩護,。此類武器共有3種：

①“剃須刀”

此武器可針對開放了指定RPC服務的X86和SPARC架構的Solarise系統(tǒng)實施遠程漏洞攻擊,，攻擊時可自動探知目標系統(tǒng)服務開放情況并智能化選擇合適版本的漏洞利用代碼，直接獲取對目標主機的完整控制權,。此武器用于對日本,、韓國等國家跳板機的攻擊，所控制跳板機被用于對西北工業(yè)大學的網(wǎng)絡攻擊,。

②“孤島”

此武器同樣可針對開放了指定RPC服務的Solaris系統(tǒng)實施遠程溢出攻擊,，直接獲取對目標主機的完整控制權。與“剃須刀”的不同之處在于此工具不具備自主探測目標服務開放情況的能力,，需由使用者手動配置目標及相關參數(shù),。NSA使用此武器攻擊控制了西北工業(yè)大學的邊界服務器,。

③“酸狐貍”武器平臺

此武器平臺部署在哥倫比亞，可結合“二次約會”中間人攻擊武器使用,，可智能化配置漏洞載荷針對IE,、FireFox、Safari,、Android Webkit等多平臺上的主流瀏覽器開展遠程溢出攻擊,，獲取目標系統(tǒng)的控制權（詳見：國家計算機病毒應急處理中心《美國國家安全局（NSA）“酸狐貍”漏洞攻擊武器平臺技術分析報告》）。TAO主要使用該武器平臺對西北工業(yè)大學辦公內(nèi)網(wǎng)主機進行入侵,。

2,、持久化控制類武器

TAO依托此類武器對西北工業(yè)大學網(wǎng)絡進行隱蔽持久控制，TAO行動隊可通過加密通道發(fā)送控制指令操作此類武器實施對西北工業(yè)大學網(wǎng)絡的滲透,、控制,、竊密等行為。此類武器共有6種：

①“二次約會”

此武器長期駐留在網(wǎng)關服務器,、邊界路由器等網(wǎng)絡邊界設備及服務器上,，可針對海量數(shù)據(jù)流量進行精準過濾與自動化劫持，實現(xiàn)中間人攻擊功能,。TAO在西北工業(yè)大學邊界設備上安置該武器,，劫持流經(jīng)該設備的流量引導至“酸狐貍”平臺實施漏洞攻擊。

②“NOPEN”

此武器是一種支持多種操作系統(tǒng)和不同體系架構的遠控木馬,，可通過加密隧道接收指令執(zhí)行文件管理,、進程管理、系統(tǒng)命令執(zhí)行等多種操作,，并且本身具備權限提升和持久化能力（詳見：國家計算機病毒應急處理中心《“NOPEN”遠控木馬分析報告》）,。TAO主要使用該武器對西北工業(yè)大學網(wǎng)絡內(nèi)部的核心業(yè)務服務器和關鍵網(wǎng)絡設備實施持久化控制。

③“怒火噴射”

此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構的遠控木馬,，可根據(jù)目標系統(tǒng)環(huán)境定制化生成不同類型的木馬服務端,，服務端本身具備極強的抗分析、反調(diào)試能力,。TAO主要使用該武器配合“酸狐貍”平臺對西北工業(yè)大學辦公網(wǎng)內(nèi)部的個人主機實施持久化控制,。

④“狡詐異端犯”

此武器是一款輕量級的后門植入工具，運行后即自刪除,，具備權限提升能力,，持久駐留于目標設備上并可隨系統(tǒng)啟動。TAO主要使用該武器實現(xiàn)持久駐留,，以便在合適時機建立加密管道上傳NOPEN木馬,，保障對西北工業(yè)大學信息網(wǎng)絡的長期控制。

⑤“堅忍外科醫(yī)生”

此武器是一款針對Linux、Solaris,、JunOS,、FreeBSD等4種類型操作系統(tǒng)的后門，該武器可持久化運行于目標設備上,，根據(jù)指令對目標設備上的指定文件,、目錄、進程等進行隱藏,。TAO主要使用該武器隱藏NOPEN木馬的文件和進程,，避免其被監(jiān)控發(fā)現(xiàn),。技術分析發(fā)現(xiàn),，TAO在對西北工業(yè)大學的網(wǎng)絡攻擊中，累計使用了該武器的12個不同版本,。

3,、嗅探竊密類武器

TAO依托此類武器嗅探西北工業(yè)大學工作人員運維網(wǎng)絡時使用的賬號口令、命令行操作記錄,，竊取西北工業(yè)大學網(wǎng)絡內(nèi)部的敏感信息和運維數(shù)據(jù)等,。此類武器共有兩種：

①“飲茶”

此武器可長期駐留在32位或64位的Solaris系統(tǒng)中，通過嗅探進程間通信的方式獲取ssh,、telnet,、rlogin等多種遠程登錄方式下暴露的賬號口令。TAO主要使用該武器嗅探西北工業(yè)大學業(yè)務人員實施運維工作時產(chǎn)生的賬號口令,、命令行操作記錄,、日志文件等，壓縮加密存儲后供NOPEN木馬下載,。

②“敵后行動”系列武器

此系列武器是專門針對電信運營商特定業(yè)務系統(tǒng)使用的工具,，根據(jù)被控業(yè)務設備的不同類型，“敵后行動”會與不同的解析工具配合使用,。TAO在對西北工業(yè)大學的網(wǎng)絡攻擊中使用了“魔法學?！薄ⅰ靶〕笫澄铩焙汀霸{咒之火”等3類針對電信運營商的攻擊竊密工具,。

4,、隱蔽消痕類武器

TAO依托此類武器消除其在西北工業(yè)大學網(wǎng)絡內(nèi)部的行為痕跡，隱藏,、掩飾其惡意操作和竊密行為,，同時為上述三類武器提供保護。現(xiàn)已發(fā)現(xiàn)1種此類武器：

“吐司面包”,，此武器可用于查看,、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡,。TAO主要使用該武器清除,、替換被控西北工業(yè)大學上網(wǎng)設備上的各類日志文件，隱藏其惡意行為,。TAO對西北工業(yè)大學的網(wǎng)絡攻擊中共使用了3款不同版本的“吐司面包”,。

三、攻擊溯源

技術團隊結合上述技術分析結果和溯源調(diào)查情況,，初步判斷對西北工業(yè)大學實施網(wǎng)絡攻擊行動的是美國國家安全局（NSA）信息情報部（代號S）數(shù)據(jù)偵察局（代號S3）下屬TAO（代號S32）部門,。該部門成立于1998年，其力量部署主要依托美國國家安全局（NSA）在美國和歐洲的各密碼中心,。目前已被公布的六個密碼中心分別是：

1,、美國馬里蘭州米德堡的NSA總部；

2,、美國夏威夷瓦胡島的NSA夏威夷密碼中心（NSAH）,；

3、美國佐治亞州戈登堡的NSA佐治亞密碼中心（NSAG）,；

4,、美國德克薩斯州圣安東尼奧的NSA德克薩斯密碼中心（NSAT）；

5,、美國科羅拉羅州丹佛馬克利空軍基地的NSA科羅拉羅密碼中心（NSAC）,；

6、德國達姆施塔特美軍基地的NSA歐洲密碼中心（NSAE）,。

TAO是目前美國政府專門從事對他國實施大規(guī)模網(wǎng)絡攻擊竊密活動的戰(zhàn)術實施單位,，由2000多名軍人和文職人員組成，其內(nèi)設機構包括：

第一處：遠程操作中心（ROC,，代號S321）,，主要負責操作武器平臺和工具進入并控制目標系統(tǒng)或網(wǎng)絡。

第二處：先進/接入網(wǎng)絡技術處（ANT,，代號S322）,，負責研究相關硬件技術，為TAO網(wǎng)絡攻擊行動提供硬件相關技術和武器裝備支持,。

第三處：數(shù)據(jù)網(wǎng)絡技術處（DNT,，代號S323），負責研發(fā)復雜的計算機軟件工具,，為TAO操作人員執(zhí)行網(wǎng)絡攻擊任務提供支撐,。

第四處：電信網(wǎng)絡技術處（TNT，代號S324）,，負責研究電信相關技術,，為TAO操作人員隱蔽滲透電信網(wǎng)絡提供支撐,。

第五處：任務基礎設施技術處（MIT，代號S325）,，負責開發(fā)與建立網(wǎng)絡基礎設施和安全監(jiān)控平臺,，用于構建攻擊行動網(wǎng)絡環(huán)境與匿名網(wǎng)絡。

第六處：接入行動處（ATO,，代號S326）,，負責通過供應鏈，對擬送達目標的產(chǎn)品進行后門安裝,。

第七處：需求與定位處（R&T,，代號S327），接收各相關單位的任務,，確定偵察目標,，分析評估情報價值。

S32P：項目計劃整合處（PPI,，代號S32P）,，負責總體規(guī)劃與項目管理,。

NWT：網(wǎng)絡戰(zhàn)小組（NWT）,，負責與網(wǎng)絡作戰(zhàn)小隊聯(lián)絡。

美國國家安全局（NSA）針對西北工業(yè)大學的攻擊行動代號為“阻擊XXXX”（shotXXXX）,。該行動由TAO負責人直接指揮,，由MIT（S325）負責構建偵察環(huán)境、租用攻擊資源,；由R&T（S327）負責確定攻擊行動戰(zhàn)略和情報評估,；由ANT（S322）、DNT（S323）,、TNT（S324）負責提供技術支撐,；由ROC（S321）負責組織開展攻擊偵察行動。由此可見,，直接參與指揮與行動的主要包括TAO負責人,，S321和S325單位。

NSA對西北工業(yè)大學攻擊竊密期間的TAO負責人是羅伯特?喬伊斯（Robert Edward Joyce）,。此人于1967年9月13日出生,，曾就讀于漢尼拔高中，1989年畢業(yè)于克拉克森大學,，獲學士學位,，1993年畢業(yè)于約翰斯?霍普金斯大學，獲碩士學位,。1989年進入美國國家安全局工作,。曾經(jīng)擔任過TAO副主任,，2013年至2017年擔任TAO主任。2017年10月開始擔任代理美國國土安全顧問,。2018年4月至5月,，擔任美國白宮國務安全顧問，后回到NSA擔任美國國家安全局局長網(wǎng)絡安全戰(zhàn)略高級顧問,，現(xiàn)擔任NSA網(wǎng)絡安全主管,。

四、總結

本次報告基于國家計算機病毒應急處理中心與360公司聯(lián)合技術團隊的分析成果,，揭露了美國NSA長期以來針對包括西北工業(yè)大學在內(nèi)的中國信息網(wǎng)絡用戶和重要單位開展網(wǎng)絡間諜活動的真相,。后續(xù)技術團隊還將陸續(xù)公布相關事件調(diào)查的更多技術細節(jié)。