美國NSA攻擊我國西北工業大學調查報告

近期，西北工業大學發布《公開聲明》稱，該校遭受境外網路攻擊。陝西省西安市公安局碑林分局隨即發布《警情通報》，證實在西北工業大學的資訊網中發現了多款源自境外的木馬程序樣本，西安警方已對此正式立案調查。

中國國家電腦病毒緊急處理中心及360公司第一時間成立技術團隊進行調查工作，全程參與此案技術分析。技術團隊先後從多個資訊系統和上網終端中捕獲了木馬程序樣本，綜合使用國內現有數據資源和分析手段，並得到歐洲、南亞部分國家合作夥伴的通力支持，全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關攻擊活動源自美國國家安全局（NSA）的「特定入侵行動辦公室」（Office of Tailored Access Operation，後文簡稱TAO）。

此系列研究報告將公佈美國國家安全局（NSA）「訊號特定入侵行動辦公室」（TAO）對西北工業大學發起的上千次網路攻擊活動中，某些特定攻擊活動的重要細節，為全球各國有效防範和發現TAO的後續網路攻擊行為提供可以藉鏡的案例。

一、攻擊事件概貌
分析發現，美國NSA的「特定入侵行動辦公室」（TAO）對中國國內的網路目標實施了上萬次的惡意網路攻擊，控制了相關網路設備（網路伺服器、上網終端機、網路交換器、電話交換器、路由器、防火牆等），疑似竊取了高價值資料。同時，美國NSA也利用其控制的網路攻擊武器平台、「零日漏洞」（0day）和網路設備，長期對中國的手機用戶進行無差別的語音監聽，非法竊取手機用戶的簡訊內容，並對其進行無線定位。經過複雜的技術分析與溯源，技術團隊現已澄清NSA攻擊活動中使用的網路資源、專用武器裝備及具體手法，還原了攻擊過程和被竊取的文件，掌握了美國NSA「特定入侵行動辦公室」（ TAO）對中國資訊網路實施網路攻擊和資料竊密的證據鏈。

二、攻擊組織基本狀況
經技術分析和網路溯源調查發現，此網路攻擊行動是美國國家安全局（NSA）資訊情報部（代號S）資料偵察局（代號S3）下屬TAO（代號S32）部門。該部門成立於1998年，其力量部署主要依托美國國家安全局（NSA）在美國和歐洲的各密碼中心。

目前已公佈的六個密碼中心分別是：

1國安局馬裡蘭州的米德堡總部；

2瓦湖島的國安局夏威夷密碼中心（NSAH）；

3戈登堡的國安局喬治亞密碼中心（NSAG）；

4聖安東尼奧的國安局德克薩斯密碼中心（NSAT）；

5丹佛馬克利空軍基地的國安局科羅拉羅密碼中心（NSAC）；

6德國達姆施塔特美軍基地的國安局歐洲密碼中心（NSAE）。

TAO是目前美國政府專門從事對他國實施大規模網路攻擊竊密活動的戰術實施單位，由2,000多位軍人和文職人員組成，下設10個單位：

第一個：遠端操作中心（ROC，代號S321）

主要負責操作武器平台和工具進入並控制目標系統或網路。

第二處：先進/接取網路技術處（ANT，代號S322）

負責研究相關硬體技術，為TAO網路攻擊行動提供硬體相關技術與武器裝備支援。

第三處：資料網路技術處（DNT，代號S323）

負責研發複雜的電腦軟體工具，為TAO操作人員執行網路攻擊任務提供支援。

第四處：電信網路技術處（TNT，代號S324）

負責研究電信相關技術，為TAO操作人員隱密滲透電信網路提供支援。

第五處：任務基礎設施技術處（MIT，代號S325）

負責開發與建立網路基礎設施和安全監控平台，用於建構攻擊行動網路環境與匿名網路。

第六處：接入行動處（AO，代號S326）

負責透過供應鏈，對擬送達目標的產品進行後門安裝。

第七處：需求與定位處（R&T，代號S327）

接收各相關單位的任務，確定偵察目標，分析評估情報價值。

第八處：接取技術行動處（ATO，編號S328）

負責研發接觸式竊密裝置，並與美國中央情報局和聯邦調查局人員合作，透過人力接觸方式將竊密軟體或裝置安裝在目標的電腦和電信系統中。

S32P：專案計畫整合處（PPI，代號S32P）

負責總體規劃與專案管理。

NWT：網路戰小組（NWT）

負責與133個網路作戰小隊聯絡。

 

此案在美國國家安全局（NSA）內部攻擊行動代號為「阻擊XXXX」（shotXXXX）。該行動由TAO負責人直接指揮，由MIT（S325）負責建構偵察環境、租用攻擊資源；由R&T（S327）負責確定攻擊行動戰略和情報評估；由ANT（S322）、DNT（S323）、TNT（ S324）負責提供技術支援；由ROC（S321）負責組織進行攻擊偵察行動。由此可見，直接參與指揮與行動的，主要包括TAO負責人，S321和S325單位。

NSA竊密期間的TAO負責人是羅伯特·喬伊斯（Robert Edward Joyce）。此人於1967年9月13日出生，曾就讀於漢尼拔高中，1989年畢業於克拉克森大學，獲學士學位，1993年畢業於約翰·霍普金斯大學，獲碩士學位。 1989年進入美國國家安全局工作。曾經擔任TAO副主任，2013年至2017年擔任TAO主任。 2017年10月開始擔任美國國土安全顧問代理。 2018年4月至5月，擔任美國白宮國務安全顧問，後來回到NSA擔任美國國家安全局局長網路安全戰略高級顧問，現擔任NSA網路安全局主管。

三、TAO網路攻擊實際狀況
美國國家安全局TAO部門的S325單位，透過層層掩護，建構了由49台跳板機和5台代理伺服器組成的匿名網絡，購買專用網路資源，架設攻擊平台。 S321單位運用40餘種不同的NSA專屬網路攻擊武器，持續對我國開展攻擊竊密，竊取了關鍵網路設備配置、網管數據、維運數據等核心技術數據，竊密活動持續時間長，覆蓋範圍廣。技術分析中也發現，TAO已於此次攻擊活動開始前，在美國多家大型知名互聯網企業的配合下，掌握了中國大量通訊網路設備的管理權限，為NSA持續侵入中國國內的重要資訊網路大開方便之門。

經溯源分析，技術團隊現已全部還原了NSA的攻擊竊取過程，澄清其在西北工業大學內部滲透的攻擊鏈路1100餘條、操作的指令序列90餘個，多份被竊取的網路設備配置文件，嗅探的網路通訊資料及口令、其它類型的日誌和金鑰文件，基本上還原了每一次攻擊的主要細節。掌握並固定了多個相關證據鏈，涉及在美國國內對中國直接發動網路攻擊的人員13名，以及NSA透過掩護公司為建構網路攻擊環境而與美國電信業者簽訂的合約60餘份，電子文件170餘份。

四、NSA攻擊網路的構建
經技術團隊溯源分析發現，美國國家安全局TAO部門對西北工業大學的網路攻擊行動先後使用了49台跳板機，這些跳板機均經過精心挑選，所有IP均歸屬於非「五眼聯盟」國家，而且大部分選擇了中國週邊國家（如日本、韓國等）的IP，約佔70%。

TAO利用其掌握的針對SunOS作業系統的兩個「零日漏洞」利用工具（已提取樣本），工具名稱分別為EXTREMEPARR（NSA命名）和EBBISLAND（NSA命名），選擇了中國週邊國家的教育機構、商業公司等網路應用流量較多的伺服器為攻擊目標；攻擊成功後，安裝NOPEN（NSA命名，已提取樣本）後門，控制了大批跳板機。

根據溯源分析，本次竊密行動共選用了其中的49台跳板機，這些跳板機僅使用了中轉指令，將上一級的跳板指令轉發到目標系統，從而掩蓋美國國家安全局發動網路攻擊的真實IP。

目前已經至少掌握TAO攻擊實施者從其接取環境（美國國內電信業者）控制跳板機的四個IP：

209.59.36.*

69.165.54.*

207.195.240.*

209.118.143.*

TAO基礎設施技術處（MIT）人員透過將匿名購買的網域名稱和SSL憑證部署在位於美國本土的中間人攻擊平台「酸狐」（FOXACID，NSA命名）上，對中國境內的大量網路目標進行攻擊。特別值得關注的是，NSA利用上述網域和憑證部署的平台，對西北工業大學等中國資訊網路展開了多輪持續性的攻擊、竊密行動。

美國國家安全局NSA為了保護其身分安全，使用了美國Register公司的匿名保護服務，相關網域和憑證無明確指向，無關聯人士。

TAO為了掩蓋其攻擊來源，並保護工具的安全，對需要長期駐留互聯網的攻擊平台，透過掩護公司向服務商購買服務。

針對西北工業大學攻擊平台所使用的網路資源共涉及5台代理伺服器，NSA透過兩家掩護公司向美國泰瑞馬克（Terremark）公司購買了埃及、荷蘭和哥倫比亞等地的IP，並租用一批伺服器。

這兩家公司分別為傑克史密斯顧問公司（Jackson Smith Consultants）、穆勒多元系統公司（Mueller Diversified Systems）。

五、TAO的武器裝備分析
技術分析發現，TAO先後使用了41種NSA的專用網路攻擊武器裝備，透過分佈於日本、韓國、瑞典、波蘭、烏克蘭等17個國家的49台跳板機和5台代理伺服器，對西北工業大學發起了攻擊竊密行動上千次，竊取了一批網路資料。

美國國家安全局TAO的網路攻擊武器裝備針對性強，並得到了美國網路巨頭的鼎力支持。同一款裝備會根據目標環境進行靈活配置，在這中使用的41款裝備中，僅後門工具「狡詐異端犯」（NSA命名）在對西北工業大學的網路攻擊中就有14款不同版本。 NSA所使用工具類別主要分為四大類，分別為：

（一）漏洞攻擊突破類武器
TAO依托此類武器對西北工業大學的邊界網路設備、閘道伺服器、辦公室內部網路主機等實施攻擊突破，同時也用來攻擊控制境外跳板機以建構匿名網路。此類武器共有3種：

1.“剃須刀”

此武器可針對開放了指定RPC服務的X86和SPARC架構的Solaris系統實施遠程溢出攻擊，攻擊時可自動探知目標系統服務開放情況並智慧化選擇合適版本的漏洞利用程式碼，直接取得對目標主機的完整控制權。

此武器用於對日本、韓國等國家跳板機的攻擊，所控制跳板機被用於對西北工業大學的網路攻擊。

2.“孤島”

此武器同樣可針對開放了製定RPC服務的Solaris系統實施遠端溢位攻擊，直接取得對目標主機的完整控制權。

與「刮鬍刀」工具不同之處在於此工具不具備自主偵測目標服務開放狀況的能力，需由使用者手動選擇欲打擊的目標服務。

NSA使用此武器攻擊控制了西北工業大學的邊界伺服器。 3.「酸狐狸」武器平台

此武器平台部署在哥倫比亞，可結合「二次約會」中間人攻擊武器使用，可智慧化配置漏洞載重針對IE、FireFox、Safari、Android Webkit等多平台上的主流瀏覽器進行遠程溢位攻擊，取得目標系統的控制權。

TAO主要使用此武器平台對西北工業大學辦公室內網主機進行突破攻擊。

（二）持久化控制類武器
TAO依托此類武器對西北工業大學網路進行隱藏持久控制，TAO工作人員可透過加密通道發送控制指令操作此類武器實施對西北工業大學網路的滲透、控制、竊密等行為。此類武器共有5種：

1.「二次約會」：此武器長期駐留在網關伺服器、邊界路由器等網路邊界設備及伺服器上，可針對大量資料流量進行精準過濾與自動化劫持，實現中間人攻擊功能。 TAO在西北工業大學邊界設備上安置該武器，劫持流經該設備的流量引導至「酸狐」平台實施漏洞攻擊。

2.「NOPEN」木馬：此武器是一種支援多種作業系統和不同體系架構的控守型木馬，可透過加密隧道接收指令執行檔案管理、進程管理、系統命令執行等多種操作，並且本身具備權限提升及持久化能力。 TAO主要使用該武器對西北工業大學網路內部的核心業務伺服器和關鍵網路設備實施持久化控制。

3.「怒火噴射」：此武器是一款基於Windows系統的支援多種作業系統和不同體系架構的控守型木馬，可根據目標系統環境客製化產生不同類型的木馬服務端，服務端本身俱備極強的抗分析、反調試能力。 ：TAO主要使用此武器配合「酸狐狸」平台對西北工業大學辦公網內部的個人主機實施持久化控制。

4.「狡詐異端犯」：此武器是輕量級的後門植入工具，運行後即自刪除，具備提權功能，持久駐留於目標設備上並可隨系統啟動。 TAO主要使用該武器實現持久駐留，以便在適當時機建立加密管道上傳NOPEN木馬，保障對西北工業大學資訊網路的長期控制。

5.「堅忍外科醫生」:此武器是針對Linux、Solaris、JunOS、FreeBSD等4種類型作業系統的後門，該武器可持久化運行於目標設備上，根據指令對目標設備上的指定文件、目錄、行程等進行隱藏。 TAO主要使用該武器隱藏NOPEN木馬的文件和進程，避免其被監控發現。 TAO在西北工業大學的網路攻擊中共使用該武器的12個不同版本。

（三）嗅探竊密類武器
TAO依托此類武器嗅探西北工業大學工作人員維運網路時所使用的帳號口令、產生的作業記錄，竊取西北工業大學網路內部的敏感資訊和維運資料等。此類武器共有兩種：

1.「飲茶」:此武器可長期駐留在32位或64位的Solaris系統中，透過嗅探進程間通訊的方式取得ssh、telnet、rlogin等多種遠端登入方式下暴露的帳號口令。 TAO主要使用該武器嗅探西北工業大學業務人員實施維運工作時產生的帳號口令、操作記錄、日誌檔等，壓縮加密儲存後供NOPEN木馬下載。 2.「敵後行動」系列武器此系列武器是專門針對營運商特定業務系統使用的工具，根據被控業務設備的不同類型，「敵後行動」會與不同的解析工具配合使用。在西北工業大學運維管道的攻擊中共使用了「魔法學校」、「小丑食物」和「詛咒之火」等3類針對業者的攻擊竊密工具。

（四）隱蔽消痕類武器
TAO依托此類武器消除其在西北工業大學網路內部的行為痕跡，隱藏、掩飾其惡意操作和竊密行為，同時為上述三類武器提供保護。

現已發現的此類武器共有1種：

1.「吐司麵包」：此武器可用於檢視、修改utmp、wtmp、lastlog等日誌檔案以清除操作痕跡。 TAO主要使用該武器清除、替換被控西北工業大學上網設備上的各類日誌文件，隱藏其惡意行為。 TAO對西北工業大學的網路攻擊中共使用了3款不同版本的「吐司麵包」。

小結
一直以來，美國國家安全局（NSA）針對我國各行業龍頭企業、政府、大學、醫療機構、科研機構甚至關乎國計民生的重要資訊基礎設施維運單位等機構長期進行秘密駭客攻擊活動。其行為或對我國的國防安全、關鍵基礎設施安全、金融安全、社會安全、生產安全、公民個人資訊造成嚴重危害，值得我們深思與警覺。

這次西北工業大學聯合中國國家電腦病毒緊急處理中心與360公司，全面還原了數年間美國NSA利用網路武器發起的一系列攻擊行為，打破了一直以來美國對我國的單向透明優勢。面對國家級背景的強大對手，首先要知道風險在哪，是什麼樣的風險，什麼時候的風險，從此次美國NSA攻擊事件也可證明，看不見就要挨打。這是三方集中精力聯手攻克「看見」難題的成功實踐，幫助國家真正感知風險、看見威脅、抵禦攻擊，一舉將境外黑客攻擊暴露在陽光下。

西北工業大學公開發布遭受境外網路攻擊的聲明，體現了其對國家負責、對學校負責、對社會負責的精神，本著實事求是、絕不姑息的決心，堅決一查到底。其積極採取防禦措施的行動更是值得遍佈全球的NSA網路攻擊活動受害者學習，這將成為世界各國有效防範抵禦美國NSA後續網路攻擊行為的有力借鏡。