Недавно Северо-Западный политехнический университет опубликовал «Публичное заявление», в котором говорится, что школа пострадала от зарубежныхСетевые атаки. Бэйлиньское отделение Бюро общественной безопасности города Сиань провинции Шэньси немедленно выпустило «Полицейский информационный бюллетень», подтверждающий, что в информационной сети Северо-Западного политехнического университета было обнаружено несколько образцов программ «Троянский конь», происходящих из-за границы. «Полиция официально начала расследование по этому поводу.
Национальный центр реагирования на компьютерные вирусы Китая и компания 360 немедленно создали техническую группу для проведения расследований и участвовали в техническом анализе дела на протяжении всего процесса. Техническая группа собрала образцы программ-троянов из множества информационных систем и интернет-терминалов, всесторонне использовала существующие внутренние ресурсы данных и методы анализа и получила полную поддержку от партнеров в некоторых странах Европы и Южной Азии для комплексного восстановления общей ситуации с соответствующими атаками. Обзор, технические характеристики, средства нападения, пути атак и источники атак, первоначально было установлено, что соответствующие действия по атаке исходили от «Управления операций по индивидуальному доступу» (далее именуемого ТАО) Агентства национальной безопасности США (АНБ). ).
Эта серия исследовательских отчетов раскроет важные детали некоторых конкретных атак среди тысяч кибератак, инициированных «Оперативным управлением по сигнальным вторжениям» (TAO) Агентства национальной безопасности США (АНБ) против Северо-Западного политехнического университета. быть эффективными для стран по всему миру.Предотвращение и обнаружение последующих кибератак ТАО дает примеры, которые можно использовать для справки.
1. Обзор событий атак
Анализ показал, что «Специальное управление по борьбе с вторжениями» (TAO) АНБ США осуществило десятки тысяч вредоносных сетевых атак на объекты внутренней сети Китая и контролировало соответствующее сетевое оборудование (сетевые серверы, интернет-терминалы, сетевые коммутаторы, телефонные коммутаторы, маршрутизаторы, брандмауэр и т. д.), подозреваемых в краже ценных данных. В то же время АНБ США также использовало платформу сетевого оружия для атак, «уязвимости нулевого дня» (0day) и сетевое оборудование, которое оно контролировало, для проведения неизбирательного голосового мониторинга китайских пользователей мобильных телефонов в течение длительного времени, незаконного кражи контента текстовые сообщения пользователей мобильных телефонов и находите их по беспроводной сети. После сложного технического анализа и отслеживания техническая группа теперь выяснила сетевые ресурсы, специальное оружие и оборудование, а также конкретные методы, использованные в атаках АНБ, восстановила процесс атаки и украденные документы, а также освоила «Офис специальных операций по вторжению» АНБ США ( Цепочка доказательств кибератак и кражи данных в информационных сетях Китая, разработанная ТАО.
2. Основная ситуация организации атаки
Технический анализ и онлайн-расследования показали, что эта кибератака была осуществлена отделом TAO (кодовое имя S32) Бюро разведки данных (кодовое имя S3) Отдела информационной разведки (кодовое имя S) Агентства национальной безопасности США (АНБ). Департамент был создан в 1998 году, и его полномочия в основном опираются на криптографические центры Агентства национальной безопасности (АНБ) в США и Европе.
На данный момент объявлено о шести криптографических центрах:
1 Штаб-квартира Агентства национальной безопасности в Форт-Мид, штат Мэриленд;
2 Гавайский криптозоологический центр Агентства национальной безопасности (NSAH) на острове Оаху;
3Криптозоологический центр Агентства национальной безопасности Джорджии (NSAG) в Форт-Гордоне;
4 Техасский криптозоологический центр Агентства национальной безопасности (NSAT) в Сан-Антонио;
5Криптозоологический центр Колораро Агентства национальной безопасности (NSAC), база ВВС Маркли, Денвер;
6Европейский криптозоологический центр Агентства национальной безопасности (NSAE) на военной базе США в Дармштадте, Германия.
В настоящее время ТАО является тактическим подразделением правительства США, специализирующимся на крупномасштабных кибератаках и краже секретов против других стран. Оно состоит из более чем 2000 военнослужащих и гражданского персонала и имеет 10 подразделений:
Первое место: Центр удаленных операций (ROC, кодовое название S321)
В основном отвечает за эксплуатацию оружейных платформ и инструментов для проникновения в целевые системы или сети и управления ими.
Подразделение 2: Подразделение передовых сетевых технологий/доступа (ANT, под кодовым названием S322)
Отвечает за исследование соответствующих аппаратных технологий и предоставление аппаратных технологий, а также поддержки оружия и оборудования для операций сетевых атак TAO.
Третий отдел: Отдел сетевых технологий передачи данных (DNT, кодовое название S323).
Отвечает за разработку комплексных компьютерных программных средств для поддержки операторов ТАО при выполнении задач сетевых атак.
Подразделение 4: Подразделение телекоммуникационных сетевых технологий (TNT, кодовое название S324)
Отвечает за исследование телекоммуникационных технологий и оказание поддержки операторам TAO в скрытном проникновении в телекоммуникационные сети.
Подразделение 5: Подразделение технологий инфраструктуры миссии (MIT, кодовое название S325)
Отвечает за разработку и создание сетевой инфраструктуры и платформ мониторинга безопасности для создания сетевых сред атак и анонимных сетей.
Офис шестой: Офис управления доступом (AO, кодовое название S326)
Отвечает за скрытую установку продуктов, предназначенных для доставки к цели через цепочку поставок.
Седьмой отдел: Отдел спроса и позиционирования (R&T, кодовое название S327)
Получайте задания от соответствующих подразделений, определяйте цели разведки, анализируйте и оценивайте ценность разведданных.
Подразделение 8: Офис управления технологиями доступа (ATO, № S328)
Отвечает за разработку устройств контактного подслушивания и сотрудничает с персоналом ЦРУ и ФБР для установки программного обеспечения или устройств подслушивания на целевые компьютеры и телекоммуникационные системы посредством человеческого контакта.
S32P: Офис интеграции планирования проектов (PPI, кодовое название S32P)
Отвечает за общее планирование и управление проектом.
СЗТ:кибервойнаКоманда (СЗТ)
Отвечает за связь со 133 группами киберопераций.
В Агентстве национальной безопасности США (АНБ) этот случай получил кодовое название «shotXXXX». Операцией непосредственно командует лицо, отвечающее за ТАО, а MIT (S325) отвечает за построение разведывательной среды и аренду ресурсов для атаки; R&T (S327) отвечает за определение стратегии атаки и оценку разведданных; ANT (S322) ДНТ (С323), ТНТ (С324) отвечает за обеспечение технической поддержки, РПЦ (С321) отвечает за организацию операций по разведке атак. Видно, что к числу лиц, непосредственно участвующих в командовании и операциях, в основном относятся лица, руководящие подразделениями ТАО, С321 и С325.
Главой ТАО в период шпионажа АНБ был Роберт Эдвард Джойс. Этот человек родился 13 сентября 1967 года. Он учился в средней школе Ганнибала, окончил Университет Кларксона со степенью бакалавра в 1989 году и окончил Университет Джонса Хопкинса со степенью магистра в 1993 году. В 1989 году поступил на службу в Агентство национальной безопасности США. Когда-то он занимал должности заместителя директора ТАО и директора ТАО с 2013 по 2017 год. С октября 2017 года он занимал должность исполняющего обязанности советника по внутренней безопасности США. С апреля по май 2018 года он занимал должность советника по национальной безопасности Белого дома, а позже вернулся в АНБ, чтобы занять должность директора Агентства национальной безопасности.информационная безопасностьСтарший советник по стратегии, в настоящее время занимает должность директора Бюро кибербезопасности АНБ.
3. Реальная ситуация с сетевыми атаками TAO
Подразделение S325 отдела TAO Агентства национальной безопасности США, используя слои прикрытия, построило анонимную сеть, состоящую из 49 машин-трамплинов и 5 прокси-серверов, приобрело выделенные сетевые ресурсы и создало платформу для атаки. Подразделение S321 использовало более 40 различных эксклюзивных средств сетевых атак АНБ для непрерывного осуществления атак и кражи секретов нашей страны, кражи ключевых конфигураций сетевого оборудования, данных управления сетью, данных об эксплуатации и техническом обслуживании, а также других основных технических данных. долгое время и охватывал широкий круг. Технический анализ также показал, что до начала атаки TAO в сотрудничестве со многими крупными и известными интернет-компаниями в США овладела полномочиями по управлению большим количеством китайского коммуникационного сетевого оборудования, обеспечивая АНБ постоянную поддержку. Вторжения в важные внутренние информационные сети Китая. Откройте удобные двери.
После анализа прослеживаемости техническая группа полностью восстановила процесс атаки и кражи АНБ, уточнив, что оно проникло в более чем 1100 каналов атаки в Северо-Западном политехническом университете, в более чем 90 командных последовательностей операций и в несколько украденных файлов конфигурации сетевых устройств. данные и пароли сетевых коммуникаций, другие типы журналов и ключевые файлы, по сути, восстанавливающие основные детали каждой атаки. Освоил и зафиксировал множество соответствующих цепочек доказательств, в которых участвуют 13 человек, которые непосредственно организовали кибератаки на Китай в США, а также более 60 контрактов и электронных документов, подписанных АНБ с американскими операторами связи через компании-прикрытия для создания среды кибератак. .Более 170 экземпляров.
4. Построение атакующей сети АНБ
Анализ отслеживания, проведенный технической группой, показал, что отдел TAO Агентства национальной безопасности США использовал 49 трамплинных машин в своей кибератаке на Северо-Западный политехнический университет. Эти трамплинные машины были тщательно отобраны, и все IP-адреса принадлежали странам, не входящим в Альянс пяти глаз. И большинство из них выбрали IP-адреса из стран, окружающих Китай (таких как Япония, Южная Корея и т. д.), что составляет около 70%.
TAO использовала два инструмента эксплуатации «уязвимости нулевого дня» (извлеченные образцы) для операционной системы SunOS под названием EXTREMEPARR (название АНБ) и EBBISLAND (название АНБ), чтобы выбрать образовательные учреждения в странах, окружающих Китай. трафик, такой как коммерческие компании, является целью атаки; после успешной атаки устанавливается бэкдор NOPEN (названный АНБ, образец был извлечен) и контролируется большое количество трамплинных машин.
Согласно анализу прослеживаемости, для этой секретной операции по краже было выбрано в общей сложности 49 машин-трамплинов.Эти машины-трамплины использовали только инструкции передачи для пересылки инструкций трамплина верхнего уровня в целевую систему, тем самым скрывая истинную природу запущенной сетевой атаки. Агентством национальной безопасности США.IP.
На данный момент известно, что исполнители ТАО-атак контролируют как минимум четыре IP-адреса трамплинных машин из своей среды доступа (отечественные операторы связи в США):
209.59.36.*
69.165.54.*
207.195.240.*
209.118.143.*
Сотрудники отдела инфраструктурных технологий TAO (MIT) развернули анонимно приобретенные доменные имена и сертификаты SSL на платформе атаки «человек посередине» «FOXACID» (названной АНБ), расположенной в США, для запуска атак на большое количество сетевых целей. в Китае. Особого внимания заслуживает то, что АНБ использовало вышеупомянутую платформу развертывания доменных имен и сертификатов для запуска нескольких раундов непрерывных атак и секретных операций по краже против китайских информационных сетей, таких как Северо-Западный политехнический университет.
В целях защиты своей личности Агентство национальной безопасности (АНБ) США использует службу анонимной защиты компании American Register.Соответствующие доменные имена и сертификаты не имеют четкого направления и связанного с ними персонала.
Чтобы скрыть источник своих атак и защитить безопасность своих инструментов, TAO использует компании-прикрытия для приобретения услуг у поставщиков услуг для атакующих платформ, требующих длительного присутствия в Интернете.
Всего в сетевых ресурсах, используемых атакующей платформой Северо-Западного политехнического университета, было задействовано пять прокси-серверов.АНБ через две подставные компании приобрело IP-адреса в Египте, Нидерландах и Колумбии у американской компании Terremark, а также арендовало партию серверов. .
Это две компании — Jackson Smith Consultants и Mueller Diversified Systems.
5. Анализ вооружения и техники ТАО
Технический анализ показал, что ТАО использовало 41 тип специального сетевого оружия и оборудования АНБ для проведения атак на Северо-Западный политехнический университет с помощью 49 трамплинов и 5 прокси-серверов, расположенных в 17 странах, включая Японию, Южную Корею, Швецию, Польшу и Украину. тысячи тайных краж и украли пакет сетевых данных.
Оружие и оборудование для кибератак Агентства национальной безопасности США TAO являются узконаправленными и получили решительную поддержку со стороны интернет-гигантов США. Одно и то же оборудование будет гибко настраиваться в соответствии с целевой средой.Из 41 использованного здесь оборудования только бэкдор-инструмент «Cunning Heretic» (по названию АНБ) имел 14 различных версий при сетевой атаке на Северо-Западный политехнический университет. Типы инструментов, используемых АНБ, в основном делятся на четыре категории, а именно:
(1) Атака уязвимостей и оружие прорыва
TAO использует такое оружие для проведения атак и прорывов на пограничное сетевое оборудование, серверы шлюзов и узлы интранет-сети офиса Северо-Западного политехнического университета, а также для атак и управления зарубежными машинами-трамплинами для построения анонимной сети. Существует 3 вида оружия этого типа:
1. «бритва»
Это оружие может выполнять удаленные атаки с переполнением на системы Solaris с архитектурой X86 и SPARC, которые открыли определенные службы RPC. Во время атаки оно может автоматически определять статус открытия целевых системных служб и интеллектуально выбирать соответствующую версию кода эксплойта для непосредственного использования. получить полный доступ к целевому хосту.
Это оружие используется для атак на трамплины в таких странах, как Япония и Южная Корея, а управляемые трамплины используются для атак на Северо-Западный политехнический университет.
2. «Изолированный остров»
Это оружие также может осуществлять удаленные атаки переполнения на системы Solaris, которые открыли настроенные службы RPC, напрямую получая полный контроль над целевым хостом.
Отличие от инструмента «бритва» состоит в том, что этот инструмент не имеет возможности самостоятельно определять открытость целевых сервисов, и пользователю необходимо вручную выбирать целевой сервис для атаки.
АНБ использовало это оружие для атаки и контроля над пограничным сервером Северо-Западного политехнического университета. 3. Оружейная платформа «Кислый лис».
Эта оружейная платформа развернута в Колумбии и может использоваться в сочетании с оружием атаки «человек посередине» «второго свидания». Она может интеллектуально настраивать полезные данные уязвимостей для проведения удаленных атак с переполнением против основных браузеров в IE, FireFox, Safari. , Android Webkit и другие платформы для получения целевой системы управления.
TAO в основном использует эту оружейную платформу для проведения прорывных атак на хост внутренней сети офиса Северо-Западного политехнического университета.
(2) Оружие постоянного контроля
TAO полагается на такое оружие для осуществления скрытого и длительного контроля над сетью Северо-Западного политехнического университета. Сотрудники TAO могут отправлять управляющие инструкции по зашифрованным каналам, чтобы использовать такое оружие для проникновения, контроля и кражи секретов в сети Северо-Западного политехнического университета. Существует 5 видов оружия этого типа:
1. «Второе свидание»: это оружие долгое время находится на периферийных устройствах и серверах сети, таких как серверы шлюзов и пограничные маршрутизаторы. Оно может точно фильтровать и автоматически перехватывать массивный трафик данных для осуществления атак типа «человек посередине». ТАО разместило оружие на пограничном оборудовании Северо-Западного политехнического университета, перехватило трафик, проходящий через оборудование, и направило его на платформу «Acid Fox» для проведения атак на уязвимости.
2. Троян "NOPEN": это оружие представляет собой троян управляющего типа, который поддерживает несколько операционных систем и различных архитектур. Он может получать инструкции через зашифрованные туннели для выполнения различных операций, таких как управление файлами, управление процессами и выполнение системных команд. сам Способность повышать привилегии и сохраняться. TAO в основном использует это оружие для осуществления постоянного контроля над основными бизнес-серверами и ключевым сетевым оборудованием в сети Северо-Западного политехнического университета.
3. "Rage Spray": это оружие представляет собой управляющий троян на базе Windows, который поддерживает несколько операционных систем и различных архитектур. Его можно настроить для создания различных типов троянских серверов в зависимости от целевой системной среды. Сам сервер имеет чрезвычайно сильную защиту. -возможности анализа и антиотладки. : TAO в основном использует это оружие совместно с платформой «Sour Fox» для реализации постоянного контроля над персональными хостами внутри офисной сети Северо-Западного политехнического университета.
4. «Хитрый еретик»: Это оружие представляет собой легкий инструмент для внедрения через черный ход. Оно удаляется после запуска. Оно имеет функцию повышения привилегий. Оно постоянно находится на целевом устройстве и может быть запущено вместе с системой. TAO в основном использует это оружие для достижения постоянной устойчивости, чтобы в нужный момент установить зашифрованный конвейер для загрузки трояна NOPEN и обеспечить долгосрочный контроль над информационной сетью Северо-Западного политехнического университета.
5. «Стоический хирург»: это оружие представляет собой бэкдор для четырех типов операционных систем, включая Linux, Solaris, JunOS и FreeBSD. Это оружие может постоянно работать на целевом устройстве и нацеливаться на определенные файлы на целевом устройстве в соответствии с инструкциями. , каталоги, процессы и т.д. скрыты. TAO в основном использует это оружие, чтобы скрыть файлы и процессы трояна NOPEN, чтобы избежать обнаружения при мониторинге. ТАО использовало 12 различных версий этого оружия при кибератаке на Северо-Западный политехнический университет.
(3) Поиск оружия для тайной кражи
TAO использует такое оружие для перехвата паролей учетных записей и созданных записей операций, используемых сотрудниками Северо-Западного политехнического университета при эксплуатации и обслуживании сети, а также для кражи конфиденциальной информации, а также данных об эксплуатации и техническом обслуживании в сети Северо-Западного политехнического университета. Существует два вида оружия этого типа:
1. «Yincha»: это оружие может находиться в 32-битных или 64-битных системах Solaris в течение длительного времени и получает пароли учетных записей, предоставляемые различными методами удаленного входа, такими как ssh, telnet, rlogin и т. д., путем перехвата межпроцессного взаимодействия. коммуникации. TAO в основном использует это оружие для перехвата паролей учетных записей, записей операций, файлов журналов и т. д., создаваемых бизнес-персоналом Северо-Западного политехнического университета при выполнении ими работ по эксплуатации и техническому обслуживанию, а также сжимает и шифрует файлы для загрузки трояном NOPEN. 2. Серия вооружения «Операция в тылу врага». Данная серия вооружения представляет собой инструмент, специально разработанный для конкретных бизнес-систем операторов. В соответствии с различными типами контролируемого делового оборудования, «Операция в тылу врага» будет использоваться в сочетании с различными инструменты анализа. В атаке на трубопровод эксплуатации и технического обслуживания Северо-Западного политехнического университета КПК использовала три типа атак и инструментов секретной кражи, нацеленных на операторов, включая «Школу магии», «Еду клоуна» и «Проклятый огонь».
(4) Скрытое оружие, стирающее следы.
ТАО использует такое оружие для устранения следов своего поведения в сети Северо-Западного политехнического университета, сокрытия и сокрытия своих злонамеренных операций и тайных хищений, а также для обеспечения защиты трех вышеуказанных видов оружия.
Всего обнаружено 1 такое оружие:
1. «Тостовый хлеб»: это оружие можно использовать для просмотра и изменения файлов журналов, таких как utmp, wtmp,lastlog и т. д., для очистки следов операций. TAO в основном использует это оружие для очистки и замены различных файлов журналов интернет-оборудования Северо-Западного политехнического университета и сокрытия его вредоносного поведения. В кибератаке ТАО на Северо-Западный политехнический университет КПК использовала три разные версии «тостового хлеба».
краткое содержание
Агентство национальной безопасности США (АНБ) проводит долгосрочные секретные операции против ведущих предприятий моей страны в различных отраслях промышленности, правительств, университетов, медицинских учреждений, научно-исследовательских институтов и даже важных подразделений по эксплуатации и обслуживанию информационной инфраструктуры, связанных с национальной экономикой. и средства к существованию людей.хакерАтакующая деятельность. Его поведение может нанести серьезный ущерб национальной оборонной безопасности нашей страны, безопасности ключевой инфраструктуры, финансовой безопасности, социальной безопасности, безопасности производства и личной информации граждан, что заслуживает нашего глубокого размышления и бдительности.
На этот раз Северо-Западный политехнический университет, Национальный центр реагирования на компьютерные вирусы Китая и компания 360 полностью восстановили серию атак, предпринятых АНБ США с использованием кибероружия за последние несколько лет, разрушив одностороннее преимущество прозрачности Соединенных Штатов в отношении моя страна. Столкнувшись с могущественным противником национального происхождения, вы должны сначала знать, где находится риск, какой это риск и когда риск произойдет. избит. Это успешная практика, в которой три стороны сконцентрировали свои усилия на совместном преодолении проблемы «видения», помогая стране по-настоящему воспринимать риски, видеть угрозы, противостоять атакам и одним махом подвергать солнцу атаки зарубежных хакеров.
Северо-Западный политехнический университет публично опубликовал заявление о нападении со стороны зарубежных кибератак, что отражает его дух ответственности за страну, школу и общество. Мерам активной защиты стоит поучиться у жертв кибератак АНБ по всему миру.
Оригинал статьи, автор: SnowFlake, при перепечатке укажите источник: https://cncso.com/ru/nsas-attack-on-northwestern-polytechnical-university-report.html
