最近、ノースウェスタン工科大学は、学校が海外からの被害を受けたと述べた「公式声明」を発表した。ネットワーク攻撃。陝西省西安市公安局北京分局はただちに「警察情報公報」を発行し、西北理工大学の情報ネットワーク内で海外発のトロイの木馬プログラムのサンプルが多数発見されたことを確認した。 「警察はこれについて正式に捜査を開始した。
中国国家コンピューターウイルス緊急対応センターと360カンパニーは、直ちに技術チームを立ち上げて調査作業を実施し、全過程を通じてこの事件の技術分析に参加した。技術チームは、複数の情報システムやインターネット端末からトロイの木馬プログラムのサンプルを取得し、既存の国内データリソースと分析手法を総合的に利用し、ヨーロッパと南アジアの一部の国のパートナーから全面的な支援を受けて、関連攻撃の全体的な状況を包括的に復元しました。概要、技術的特徴、攻撃兵器、攻撃経路および攻撃源から、関連する攻撃活動は米国家安全保障局(NSA)の「テイラード・アクセス・オペレーション局」(以下、TAO)から発生したものであると当初判断された。 )。
この一連の調査報告書は、米国家安全保障局(NSA)の「信号特定侵入作戦局」(TAO)がノースウェスタン工科大学に対して仕掛けた数千件のサイバー攻撃のうち、いくつかの特定の攻撃活動の重要な詳細を明らかにするものであり、 TAO によるサイバー攻撃の防止と発見には、参考となる例が記載されています。
1. 攻撃事件の概要
分析の結果、米国国家安全保障局(NSA)の「特定侵入作戦局」(TAO)が、中国国内のネットワークターゲットと制御された関連ネットワーク機器(ネットワークサーバー、インターネット端末、ネットワークスイッチ、電話交換機、ルーター、ファイアウォールなど)、高価なデータを盗んだ疑いがあります。同時に、米国NSAはネットワーク攻撃兵器プラットフォーム「ゼロデイ脆弱性」(ゼロデイ)と管理下にあるネットワーク機器を利用して、中国の携帯電話ユーザーの音声を長期間無差別に監視し、コンテンツを違法に盗み出した。携帯電話ユーザーのテキスト メッセージをワイヤレスで見つけます。複雑な技術分析と追跡可能性を経て、技術チームは現在、NSA の攻撃活動に使用されたネットワーク リソース、特殊な武器と機器、および特定の手法を明らかにし、攻撃プロセスと盗まれた文書を復元し、米国 NSA の「特定侵入作戦局」を習得しました ( TAO) の中国情報ネットワーク上のサイバー攻撃とデータ盗難の証拠チェーン。
2. 攻撃組織の基本状況
技術分析とオンライン追跡可能性調査の結果、このサイバー攻撃は米国家安全保障局(NSA)情報諜報局(コード名S)のデータ偵察局(コード名S3)のTAO(コード名S32)部門によって実行されたことが判明した。この部門は 1998 年に設立され、その権限の展開は主に米国とヨーロッパの国家安全保障局 (NSA) の暗号センターに依存しています。
これまでに発表された 6 つの暗号センターは次のとおりです。
1 メリーランド州フォート・ミードにある国家安全保障局本部。
2 オアフ島の国家安全保障局ハワイ未確認動物センター (NSAH)。
3 フォート・ゴードンにある国家安全保障局ジョージア未確認動物センター (NSAG)。
4 サンアントニオの国家安全保障局テキサス未確認動物センター (NSAT)。
5 国家安全保障局コロラロ未確認動物センター (NSAC)、マークリー空軍基地、デンバー。
6 ドイツのダルムシュタットの米軍基地にある国家安全保障局の欧州未確認動物センター(NSAE)。
TAO は現在、他国に対する大規模なサイバー攻撃と機密窃盗を専門とする米国政府の戦術実行部隊であり、2,000 人以上の軍人および民間人員で構成され、以下の 10 部隊を擁しています。
1位:リモートオペレーションセンター(ROC、コードネームS321)
主に、標的のシステムやネットワークに侵入して制御するための兵器プラットフォームとツールの操作を担当します。
第 2 部門: アドバンスト/アクセス ネットワーク技術部門 (ANT、コード名 S322)
関連するハードウェア技術の研究と、TAO ネットワーク攻撃作戦のためのハードウェア関連技術および武器および機器のサポートの提供を担当します。
第三部門:データネットワーク技術部(DNT、コードネームS323)
TAO オペレーターがネットワーク攻撃タスクを実行するためのサポートを提供する複雑なコンピューター ソフトウェア ツールの開発を担当します。
部門 4: 電気通信ネットワーク技術部門 (TNT、コード名 S324)
電気通信関連技術の研究と、TAOオペレーターが秘密裏に通信ネットワークに侵入するためのサポートを提供する責任を負います。
部門 5: ミッション インフラストラクチャ技術部門 (MIT、コードネーム S325)
攻撃ネットワーク環境と匿名ネットワークを構築するためのネットワーク インフラストラクチャとセキュリティ監視プラットフォームの開発と確立を担当します。
オフィス 6: アクセス オペレーション オフィス (AO、コード名 S326)
サプライチェーンを通じてターゲットに届けられる製品のバックドアインストールを担当します。
第 7 部門: 需要および位置付け部門 (R&T、コード名 S327)
関連部隊から任務を受け取り、偵察目標を決定し、情報の価値を分析および評価します。
部門 8: アクセス テクノロジー オペレーション オフィス (ATO、No. S328)
接触ベースの盗聴デバイスの開発を担当し、CIA および FBI 職員と協力して、人間との接触を通じて標的のコンピュータや通信システムに盗聴ソフトウェアまたはデバイスをインストールします。
S32P: プロジェクト計画統合オフィス (PPI、コード名 S32P)
全体の企画・プロジェクト管理を担当していただきます。
NWT:サイバー戦争チーム (NWT)
133 のサイバー運用チームとの連絡を担当。
この事件は米国家安全保障局(NSA)内で「shotXXXX」というコードネームで呼ばれていた。作戦はTAOの責任者によって直接指揮され、MIT(S325)は偵察環境の構築と攻撃リソースのレンタルを担当し、R&T(S327)は攻撃戦略の決定と情報評価を担当し、ANT(S322)は、 DNT (S323)、TNT (S324) は技術サポートの提供を担当し、ROC (S321) は攻撃偵察活動の組織化を担当します。指揮や作戦に直接関与しているのは主にTAO、S321、S325部隊の責任者であることが分かる。
NSAスパイ時代のTAO長官はロバート・エドワード・ジョイスだった。この人物は 1967 年 9 月 13 日生まれ。ハンニバル高校に通い、1989 年にクラークソン大学で学士号を取得し、1993 年にジョンズ ホプキンス大学で修士号を取得して卒業しました。 1989年に米国家安全保障局に入局。かつては2013年から2017年までTAO副所長およびTAO所長を務めた。彼は2017年10月から米国土安全保障顧問代理を務めている。 2018年4月から5月までホワイトハウスの国家安全保障担当大統領補佐官を務め、その後NSAに戻り国家安全保障局長を務めた。サイバーセキュリティ戦略上級顧問であり、現在は NSA サイバーセキュリティ局の局長を務めています。
3. TAOネットワーク攻撃の実態
米国国家安全保障局 TAO 部門の S325 部隊は、何層にもわたる遮蔽を利用して、49 台のスプリングボード マシンと 5 台のプロキシ サーバーで構成される匿名ネットワークを構築し、専用のネットワーク リソースを購入し、攻撃プラットフォームをセットアップしました。 S321部隊は、40種類以上のNSA専用のネットワーク攻撃兵器を使用して我が国に対する攻撃を継続的に実行し機密を盗み、主要なネットワーク機器の構成、ネットワーク管理データ、運用保守データ、その他の中核となる技術データを盗み出しました。長く、広範囲をカバーしてきました。技術分析では、攻撃が始まる前に、TAOが米国の多くの大規模で有名なインターネット企業の協力を得て、中国の多数の通信ネットワーク機器の管理権限を掌握し、NSAに継続的な情報を提供していたことも判明した。中国国内の重要な情報ネットワークに侵入し、利便性の扉を開く。
追跡可能性分析の後、技術チームは NSA の攻撃と盗難のプロセスを完全に復元し、ノースウェスタン工科大学内の 1,100 以上の攻撃リンク、90 以上のコマンド シーケンス、および複数の盗まれたネットワーク デバイス設定ファイルに侵入したことを明らかにしました。ネットワーク通信データとパスワード、その他の種類のログとキー ファイル、基本的に各攻撃の主な詳細を復元します。米国で中国に直接サイバー攻撃を仕掛けた13人が関与した複数の関連証拠チェーンを習得し修正したほか、サイバー攻撃環境を構築するためにNSAがカバー会社を通じて米国の通信事業者と署名した60以上の契約書や電子文書も記録した。 . 170部以上。
4. NSA攻撃ネットワークの構築
技術チームのトレーサビリティ分析により、米国家安全保障局の TAO 部門がノースウェスタン工科大学へのサイバー攻撃に 49 台の踏み台マシンを使用したことが判明しました。これらの踏み台マシンは慎重に選択されており、すべての IP は非ファイブ・アイズ・アライアンス諸国に属しており、そのほとんどが中国周辺国(日本、韓国など)のIPを選択しており、約70%を占めています。
TAO は、EXTREMEPARR (NSA が命名) と EBBISLAND (NSA が命名) という、SunOS オペレーティング システム用の 2 つの「ゼロデイ脆弱性」悪用ツール (抽出されたサンプル) を使用して、中国周辺諸国の教育機関を選択しました。営利企業などのトラフィックが攻撃対象となり、攻撃成功後はNOPEN(NSAが命名、サンプル抽出)バックドアが設置され、多数の踏み台マシンが制御される。
追跡可能性分析によると、この秘密窃盗作戦のために合計 49 台の踏み台マシンが選択されました。これらの踏み台マシンは、転送命令のみを使用して上位レベルの踏み台命令をターゲット システムに転送することで、実行されたネットワーク攻撃の本質を隠蔽していました。米国国家安全保障局による知的財産。
現在、TAO 攻撃の実行者は、アクセス環境 (米国の国内通信事業者) から踏み台マシンの少なくとも 4 つの IP アドレスを制御していることが知られています。
209.59.36.*
69.165.54.*
207.195.240.*
209.118.143.*
TAOインフラ技術部門(MIT)職員が匿名で購入したドメイン名とSSL証明書を米国にある中間者攻撃プラットフォーム「FOXACID」(NSAが命名)に展開し、多数のネットワーク標的に攻撃を仕掛けた。中国で。特に注目に値するのは、NSA が上記のドメイン名と証明書展開プラットフォームを使用して、ノースウェスタン工科大学などの中国の情報ネットワークに対して複数回の連続攻撃と秘密窃盗作戦を開始したことです。
ID のセキュリティを保護するために、米国国家安全保障局 (NSA) は American Register 社の匿名保護サービスを使用していますが、関連するドメイン名と証明書には明確な指示がなく、関連する担当者もいません。
攻撃元を隠蔽し、ツールのセキュリティを保護するために、TAO はカバー会社を利用して、インターネット上での長期的な存在を必要とする攻撃プラットフォームのサービス プロバイダーからサービスを購入します。
ノースウェスタン工科大学の攻撃プラットフォームが使用するネットワーク リソースには、合計 5 台のプロキシ サーバーが関与しており、NSA はカバー会社 2 社を通じてアメリカのテレマーク社からエジプト、オランダ、コロンビアの IP を購入し、一連のサーバーをレンタルしていました。 。
2社とは、ジャクソン・スミス・コンサルタンツとミューラー・ダイバーシファイド・システムズである。
5. TAOの武器と装備の分析
技術分析の結果、TAOはNSAの41種類の特殊なネットワーク攻撃兵器と装置を使用し、日本、韓国、スウェーデン、ポーランド、ウクライナを含む17カ国に分散した49台の踏み台マシンと5台のプロキシサーバーを通じてノースウェスタン工科大学に攻撃を仕掛けたことが判明した。何千もの秘密窃盗攻撃が行われ、ネットワーク データのバッチが盗まれました。
米国家安全保障局 TAO のサイバー攻撃兵器と装備は高度に標的を絞っており、米国のインターネット大手から強力な支援を受けています。同じ機器でも対象環境に応じて柔軟に構成するが、今回使用した41台の機器のうち、ノースウェスタン工科大学へのネットワーク攻撃では、バックドアツール「Cunning Heretic」(NSAが命名)のみ14種類のバージョンが存在した。 NSA が使用するツールの種類は、主に次の 4 つのカテゴリに分類されます。
(1) 脆弱性攻撃と突破兵器
TAOは、このような兵器を利用して、ノースウェスタン工科大学の国境ネットワーク機器、ゲートウェイサーバー、社内イントラネットホストへの攻撃や突破を行ったり、海外の踏み台マシンを攻撃・制御して匿名ネットワークを構築したりするためにも使用されています。このタイプの武器には 3 つのタイプがあります。
1.「かみそり」
この兵器は、指定された RPC サービスをオープンしている X86 および SPARC アーキテクチャの Solaris システムに対してリモート オーバーフロー攻撃を実行できます。攻撃中に、ターゲット システム サービスのオープン ステータスを自動的に検出し、適切なバージョンのエクスプロイト コードをインテリジェントに選択して直接攻撃することができます。ターゲットホストへの完全なアクセスを取得します。
この武器は日本や韓国などの国の踏み台を攻撃するために使用され、制御された踏み台はノースウェスタン工科大学を攻撃するために使用されます。
2.「孤島」
この兵器は、カスタマイズされた RPC サービスを開いた Solaris システムに対してリモート オーバーフロー攻撃を実行し、ターゲット ホストを直接完全に制御することもできます。
「razor」ツールとの違いは、このツールにはターゲット サービスのオープン性を独自に検出する機能がなく、ユーザーが攻撃対象のサービスを手動で選択する必要があることです。
NSA はこの兵器を使用して、ノースウェスタン工科大学の国境サーバーを攻撃し、制御しました。 3.「サワーフォックス」武器プラットフォーム
この兵器プラットフォームはコロンビアに配備されており、「セカンド デート」中間者攻撃兵器と組み合わせて使用でき、脆弱性ペイロードをインテリジェントに構成して、IE、FireFox、Safari の主流ブラウザに対してリモート オーバーフロー攻撃を実行できます。 、Android Webkit およびその他のプラットフォームを使用してターゲット システムを取得します。
TAO は主にこの兵器プラットフォームを使用して、ノースウェスタン工科大学のオフィス イントラネット ホストに対して画期的な攻撃を実行します。
(2) 永続的制御兵器
TAO は、ノースウェスタン工科大学のネットワークに対する秘密かつ永続的な制御を実行するためにこのような兵器に依存しており、TAO スタッフは暗号化されたチャネルを通じて制御命令を送信し、そのような兵器を操作してノースウェスタン工科大学のネットワークに侵入し、制御し、機密を盗むことができます。このタイプの武器には 5 つのタイプがあります。
1. 「第 2 期」: この兵器は、ゲートウェイ サーバーやボーダー ルーターなどのネットワーク エッジ デバイスやサーバーに長期間常駐し、大量のデータ トラフィックを正確にフィルタリングして自動的に乗っ取り、中間者攻撃を実行します。 TAOはノースウェスタン工科大学の境界設備に兵器を設置し、設備内を流れるトラフィックをハイジャックして「Acid Fox」プラットフォームに誘導して脆弱性攻撃を実施した。
2. 「NOPEN」トロイの木馬:この兵器は、複数のオペレーティング システムと異なるアーキテクチャをサポートする制御型トロイの木馬であり、暗号化されたトンネルを通じて命令を受け取り、ファイル管理、プロセス管理、システム コマンドの実行などのさまざまな操作を実行できます。それ自体 権限を昇格して永続化する機能。 TAO は主にこの武器を使用して、ノースウェスタン工科大学ネットワーク内のコア ビジネス サーバーと主要なネットワーク機器に対する永続的な制御を実装します。
3. 「レイジ スプレー」: この武器は、複数のオペレーティング システムと異なるアーキテクチャをサポートする Windows ベースの制御型トロイの木馬です。ターゲット システム環境に基づいてさまざまな種類のトロイの木馬サーバーを生成するようにカスタマイズできます。サーバー自体は非常に強力な防御機能を備えています。 - 分析およびアンチデバッグ機能。 : TAO は主にこの兵器を「Sour Fox」プラットフォームと組み合わせて使用し、ノースウェスタン工科大学オフィス ネットワーク内の個人ホストに対する永続的な制御を実装します。
4. 「狡猾な異端者」: この武器は軽量のバックドア埋め込みツールです。実行後に自動的に削除されます。特権を昇格する機能があります。ターゲット デバイス上に永続的に常駐し、システムで起動できます。 TAO は主に永続的な永続性を実現するためにこの武器を使用し、適切なタイミングで暗号化されたパイプラインを確立して NOPEN トロイの木馬をアップロードし、ノースウェスタン工科大学の情報ネットワークの長期的な制御を確保します。
5. 「Stoic Surgeon」: この兵器は、Linux、Solaris、JunOS、FreeBSD を含む 4 種類のオペレーティング システム用のバックドアであり、ターゲット デバイス上で永続的に実行され、指示に従ってターゲット デバイス上の指定されたファイルをターゲットにすることができます。 、ディレクトリ、プロセスなどが非表示になります。 TAO は主に、監視による発見を避けるために、NOPEN トロイの木馬のファイルとプロセスを隠すためにこの武器を使用します。 TAOはノースウェスタン工科大学へのサイバー攻撃でこの兵器の12の異なるバージョンを使用した。
(3) 秘密を盗む武器の盗聴
TAO は、このような兵器を利用して、ノースウェスタン工科大学の職員がネットワークの運用および保守時に使用するアカウントのパスワードと生成された操作記録を盗聴し、ノースウェスタン工科大学のネットワーク内の機密情報および運用および保守データを盗みます。このタイプの武器には 2 つのタイプがあります。
1. 「銀茶」: この武器は 32 ビットまたは 64 ビットの Solaris システムに長期間常駐することができ、プロセス間を盗聴することにより、ssh、telnet、rlogin などのさまざまなリモート ログイン方法で公開されているアカウント パスワードを取得します。コミュニケーション。 TAO は主に、ノースウェスタン工科大学の業務担当者が運用保守作業を行う際に生成するアカウントのパスワード、運用記録、ログ ファイルなどを盗聴し、NOPEN トロイの木馬によってダウンロードされるファイルを圧縮および暗号化するためにこの兵器を使用します。 2. 「Operation Behind Enemy Lines」シリーズの武器。このシリーズの武器は、オペレーターの特定のビジネス システム向けに特別に設計されたツールです。さまざまなタイプの制御ビジネス機器に応じて、「Operation Behind Enemy Lines」はさまざまな武器と組み合わせて使用されます。分析ツール。北西工科大学の運営・保守パイプラインに対する攻撃で、中国共産党は運営者をターゲットに「魔法学校」「ピエロフード」「カースファイア」という3種類の攻撃・秘密窃取ツールを使用した。
(4) 痕跡消去兵器の隠蔽
TAO は、ノースウェスタン工科大学ネットワーク内での行動の痕跡を排除し、悪意のある作戦や秘密窃盗を隠蔽し、隠蔽すると同時に、上記 3 種類の兵器を保護するために、このような兵器に依存しています。
合計 1 つのそのような武器が発見されました。
1. 「トーストブレッド」: この武器を使用すると、utmp、wtmp、lastlog などのログ ファイルを表示および変更して、操作の痕跡を消去できます。 TAO は主にこの武器を使用して、ノースウェスタン工科大学のインターネット設備上のさまざまなログ ファイルを消去および置き換え、悪意のある動作を隠蔽します。ノースウェスタン工科大学に対するTAOのサイバー攻撃では、中国共産党は3つの異なるバージョンの「トーストパン」を使用した。
まとめ
米国国家安全保障局(NSA)は、我が国のさまざまな業界、政府、大学、医療機関、科学研究機関、さらには国民経済に関わる重要な情報インフラの運用・保守部門の主要企業に対して、長期にわたる秘密工作を行っている。そして人々の暮らし。ハッカー攻撃活動。その行為は、我が国の国防安全、主要インフラの安全、財政安全、社会保障、生産の安全、国民の個人情報に重大な損害を与える可能性があり、深く考え、警戒する必要がある。
今回、北西工科大学、中国国家コンピューターウイルス緊急対応センター、および360カンパニーは、過去数年間にサイバー兵器を使用して米国NSAが仕掛けた一連の攻撃を包括的に修復し、米国の一方的な透明性の優位性を打ち破った。私の国。国家的背景を持つ強大な敵と対峙する場合、まずリスクがどこにあるのか、どのような種類のリスクなのか、いつリスクが発生するのかを知らなければなりません。今回の米国 NSA 攻撃は、それを見なければ危険にさらされてしまうことを証明しています。殴られた。これは、三者が協力して「見える」問題を克服するために努力を集中した成功例であり、国がリスクを真に認識し、脅威を認識し、攻撃に抵抗し、海外のハッカー攻撃を一気に白日の下にさらすのに役立っている。
ノースウェスタン工科大学は、海外からのサイバー攻撃を受けたことについて、国、学校、社会に対する責任を負う精神を反映し、事実から真実を追求し、決して許さず、最後まで毅然と捜査する決意を表明した。その積極的な防御策は世界中の NSA サイバー攻撃の被害者から学ぶ価値があり、これは世界各国がその後の米国 NSA によるサイバー攻撃を効果的に防止し抵抗するための強力な参考となるでしょう。
原文、著者:SnowFlake、転載する場合は出典を明記してください:https://cncso.com/jp/nsas-attach-on-northwestern-polytechnical-university-report.html
