网络攻击西北工业大学的源头系美国NSA,动用40余种专用网络攻击武器

西北工业大学曾在6月22日发布声明,称遭受境外网络攻击,学校师生收到包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。随后,西安警方对该事件立案侦查。

9月5日,国家计算机病毒应急处理中心(CVERC)发布了关于西北工业大学遭受境外网络攻击的调查报告,初步判明相关攻击活动源自美国国家安全局(NSA)的“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO)。调查发现,美国国家安全局下属的“特定入侵行动办公室”多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备,疑似窃取了高价值数据。

该系列研究报告将公布美国国家安全局(NSA)“信号特定入侵行动办公室”(TAO)对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效防范和发现TAO的后续网络攻击行为提供可以借鉴的案例。

image-20220906110230977

一、攻击事件概貌

国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局下属的“特定入侵行动办公室”

本次调查发现,在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。经技术分析与溯源,技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。

二、攻击组织资本情况

经技术分析和网上溯源调查发现,此次网络攻击行动是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心,目前已被公布的六个密码中心分别是:

image-20220906115215946

TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,下设10个单位:

image-20220906115306609

此案在美国国家安全局(NSA)内部攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的,主要包括TAO负责人,S321和S325单位。TAO组织架构及参与“阻击XXXX”行动的TAO子部门如下:

image-20220906115413120

三、TAO网络攻击实际情况

美国国家安全局TAO部门的S325单位,通过层层掩护,构建了由49台跳板机和5台代理服务器组成的匿名网络,购买专用网络资源,架设攻击平台。S321单位运用40余种不同的NSA专属网络攻击武器,持续对我国开展攻击窃密,窃取了关键网络设备配置、网管数据、运维数据等核心技术数据,窃密活动持续时间长,覆盖范围广。技术分析中还发现,TAO已于此次攻击活动开始前,在美国多家大型知名互联网企业的配合下,掌握了中国大量通信网络设备的管理权限,为NSA持续侵入中国国内的重要信息网络大开方便之门。

经溯源分析,技术团队现已全部还原了NSA的攻击窃密过程,澄清其在西北工业大学内部渗透的攻击链路1100余条、操作的指令序列90余个,多份遭窃取的网络设备配置文件,嗅探的网络通信数据及口令、其它类型的日志和密钥文件,基本还原了每一次攻击的主要细节。掌握并固定了多条相关证据链,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。

四、NSA攻击网络的构建

经技术团队溯源分析发现,美国国家安全局TAO部门对西北工业大学的网络攻击行动先后使用了49台跳板机,这些跳板机均经过精心挑选,所有IP均归属于非“五眼联盟”国家,而且大部分选择了中国周边国家(如日本、韩国等)的IP,约占70%。

TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具(已提取样本),工具名称分别为EXTREMEPARR(NSA命名)和EBBISLAND(NSA命名),选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN(NSA命名,已提取样本)后门,控制了大批跳板机。

image-20220906120119324

根据溯源分析,本次窃密行动共选用了其中的49台跳板机,这些跳板机仅使用了中转指令,将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO攻击实施者从其接入环境(美国国内电信运营商)控制跳板机的四个IP:209.59.36.*69.165.54.*207.195.240.*209.118.143.*

TAO基础设施技术处(MIT)人员通过将匿名购买的域名和SSL证书部署在位于美国本土的中间人攻击平台“酸狐狸”(FOXACID,NSA命名)上,对中国境内的大量网络目标开展攻击。特别值得关注的是,NSA利用上述域名和证书部署的平台,对西北工业大学等中国信息网络展开了多轮持续性的攻击、窃密行动。美国国家安全局NSA为了保护其身份安全,使用了美国Register公司的匿名保护服务,相关域名和证书无明确指向,无关联人员。TAO为了掩盖其攻击来源,并保护工具的安全,对需要长期驻留互联网的攻击平台,通过掩护公司向服务商购买服务。针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP,并租用一批服务器。这两家公司分别为杰克·史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。

五、TAO的武器装备分析

技术分析发现,TAO先后使用了41种NSA的专用网络攻击武器装备,通过分布于日本、韩国、瑞典、波兰、乌克兰等17个国家的49台跳板机和5台代理服务器,对西北工业大学发起了攻击窃密行动上千次,窃取了一批网络数据。美国国家安全局TAO的网络攻击武器装备针对性强,得到了美国互联网巨头的鼎力支持。同一款装备会根据目标环境进行灵活配置,在这中使用的41款装备中,仅后门工具“狡诈异端犯”(NSA命名)在对西北工业大学的网络攻击中就有14款不同版本。NSA所使用工具类别主要分为四大类,分别是:

Ⅰ - 漏洞攻击突破类武器

TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有3种:

① “剃须刀”:此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击,攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。

② “孤岛”:此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击,直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力,需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。

③ “酸狐狸”武器平台:此武器平台部署在哥伦比亚,可结合“二次约会”中间人攻击武器使用,可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击,获取目标系统的控制权(详见:国家计算机病毒应急处理中心《美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告》)。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。

Ⅱ - 持久化控制类武器

TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有5种:

① “二次约会”:此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

② “NOPEN”:此武器是一种支持多种操作系统和不同体系架构的远控木马,可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力(详见:国家计算机病毒应急处理中心《“NOPEN”远控木马分析报告》)。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

③ “怒火喷射”:此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马,可根据目标系统环境定制化生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。

④ “狡诈异端犯”:此武器是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留,以便在合适时机建立加密管道上传NOPEN木马,保障对西北工业大学信息网络的长期控制。

⑤ “坚忍外科医生”:此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。技术分析发现,TAO在对西北工业大学的网络攻击中,累计使用了该武器的12个不同版本。

Ⅲ - 嗅探窃密类武器

TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种:

① “饮茶”:此武器可长期驻留在32位或64位的Solaris系统中,通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等,压缩加密存储后供NOPEN木马下载。

② “敌后行动”系列武器:此系列武器是专门针对电信运营商特定业务系统使用的工具,根据被控业务设备的不同类型,“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。

Ⅳ - 隐蔽消痕类武器

TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。现已发现的此类武器共有1种:

① “吐司面包”:此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件,隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。

六、小结

一直以来,美国国家安全局(NSA)针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害,值得我们深思与警惕。

此次西北工业大学联合中国国家计算机病毒应急处理中心与360公司,全面还原了数年间美国NSA利用网络武器发起的一系列攻击行为,打破了一直以来美国对我国的单向透明优势。面对国家级背景的强大对手,首先要知道风险在哪,是什么样的风险,什么时候的风险,从此次美国NSA攻击事件也可证明,看不见就要挨打。这是一次三方集中精力联手攻克“看见”难题的成功实践,帮助国家真正感知风险、看见威胁、抵御攻击,一举将境外黑客攻击暴露在阳光下。

西北工业大学公开发布遭受境外网络攻击的声明,体现了其对国家负责、对学校负责、对社会负责的精神,本着实事求是、绝不姑息的决心,坚决一查到底。其积极采取防御措施的行动更是值得遍布全球的NSA网络攻击活动受害者学习,这将成为世界各国有效防范抵御美国NSA后续网络攻击行为的有力借鉴。


来源:国家计算机病毒应急处理中心360数字安全