外汇ea大师网

美国网攻西工大的别的一图谋暴光，13名抨击打击者真实身份已查明

发布于：2022-09-28 09:09    阅读次数：

【外汇EA高手通知】-中国网络病毒应急处置中心网站9月27日公布西北工业大学遭国外NSA网络攻击事件调查研究报告（之二）。

2022年6月22日，西北工业大学公布《公开声明》称，该学校遭到海外黑客攻击。陕西西安市公安局碑林大队随后公布《警情通报》，确认在西工大的网络信息中看到了几款来源于境外木马病毒和恶意软件样版，西安警方已对于此事宣布立案查处。

中国网络病毒应急处置中心和360企业全程参加了该案的技术指标分析工作中。研发团队依次从西北工业大学的好几个信息管理系统和网上终端设备中获取到恶意代码样版，综合性应用中国目前数据资料与分析方式，并获得欧洲地区、东南亚地区一些我国合作方的通力电梯适用，全方位再现了有关进攻事情的整体概况、技术特点、进攻武器装备、进攻途径和进攻根源，基本断定有关进攻主题活动来源于美国国家安全局（NSA）的“特殊侵入行为公司办公室”（即：Office of Tailored Access Operation，下文通称“TAO”）。

本系列产品调查报告将发布TAO对西北工业大学发起上一千次黑客攻击过程中，一些特殊进攻活动关键关键点，为世界世界各国合理发现并预防TAO的后面网络攻击行为给予可以参考的例子。

一、TAO进攻渗入西北工业大学的操作流程

TAO对别国发起黑客攻击战术操作性强，采用全自动流水线进攻步骤，单点突破、逐渐渗入、长期性泄密。

（一）单点突破、联级渗入，操纵西北工业大学互联网

经过长时间的精心安排，TAO应用“酸小狐狸”平台对西北工业大学内部结构服务器和网络服务器执行中介人挟持进攻，布署“怒气喷涌”远程操作武器装备，操纵几台重要网络服务器。运用木马病毒联级操纵渗入的形式，向西北工业大学内部网络深层渗入，依次操纵运维管理网、办公平台的关键计算机设备、网络服务器及终端设备，并获得了一部分西北工业大学内部结构无线路由器、网络交换机等关键节点机器的管控权，盗取身份认证数据信息，并进一步执行渗入扩展，最后达成对西北工业大学内部网络的隐敝操纵。

（二）隐敝停留、“合理合法”监管，盗取关键运维数据

TAO将作战行动保护武器装备“精确外科医师”与远程操作木马病毒NOPEN搭配使用，完成过程、文件或操作行为的全方位“隐藏”，长期性隐敝操纵西北工业大学的运维服务网络服务器，与此同时采用更换3个原安装文件和3类事件日志的形式，消痕隐藏，避开追溯。TAO依次从本网络服务器中盗取了好几份计算机设备环境变量。运用盗取过的环境变量，TAO远程控制“合理合法”监管了一批计算机设备和网络用户，为下一步对这种总体目标执行扩展渗入给出的数据适用。

（三）收集身份认证数据信息、搭建安全通道，渗入基础设施建设

TAO根据盗取西北工业大学运维和专业技术人员远程控制业务流程管理的账户动态口令、操作记录及其事件日志等关键隐秘数据，理解了一批网络边界机器设备账户动态口令、业务流程机器设备访问限制、无线路由器等设备选型信息内容、FTP服务器档案文件信息内容。依据TAO进攻链接、渗入方法、木马病毒样版等特性，关系发觉TAO违法进攻渗入我国境内基础设施营运商，打造了对基础设施建设营运商关键移动数据网络远程登录的“合理合法”安全通道，完成了对中国基础设施的渗入操纵。

（四）操纵关键业务管理系统，执行用户信息盗取

TAO根据把握的中国基础设施营运商的思科PIX网络防火墙、天融信防火墙等设施的账户动态口令，以“合理合法”真实身份进到运营商网络，接着执行内网渗透扩展，各自操纵有关营运商的服务水平视频监控系统和短信网关网络服务器，运用“魔法学院”等针对营运商机器的武器装备专用工具，查看了一批我国境内比较敏感真实身份工作人员，并把客户信息装包数据加密后复多级别梯子传回至美国国家安全局总公司。

二、盗取西北工业大学和中国运营商隐私信息

（一）盗取西北工业大学远程控制业务流程管理账户动态口令、操作记录等关键隐秘数据

TAO以在西北工业大学运维服务服务器安装嗅探工具“喝茶”，长期性隐敝网络嗅探盗取西北工业大学运维服务工作人员远程维护信息管理，包括网络边界机器设备账户动态口令、业务流程机器设备访问限制、无线路由器等设备选型等信息。

遭受网络嗅探的计算机设备种类包含固定不动大数据的传输网机器设备（无线路由器、认证服务器等）、5g核心网机器设备（核心路由器、网络交换机、网络防火墙等），也包含通信基础设施运营企业的主要机器设备（数据服务平台等），基本内容账户、动态口令、设备选型、网络配置等相关信息。

1、盗取西工大关键计算机设备账户动态口令及配置信息

中国北京时间20××年12月11日6时52分，TAO以坐落于日本京都大学的服务器代理（IP：130.54.××.××）为进攻梯子，非法侵入了西北工业大学运维管理互联网的“telnet”管理服务器，提交并安装NOPEN木马病毒，随后联级操纵其内网监控管理服务器，以上2台网络服务器事前都已被组装“喝茶”嗅探工具。TAO远程操控木马病毒查找并免费下载被缩小数据加密的监视记录文件，随后清痕撤出。盗取数据包括无线路由器、5g核心网机器设备（核心路由器、网络交换机、网络防火墙）管理方法账户、动态口令、设备选型、网络配置等相关信息。

2、数次盗取传输网验证机器设备账户动态口令及配置信息

（1）中国北京时间20××年5月30日0时28分，TAO以坐落于日本服务器代理（IP：210.135.××.××）为进攻梯子，非法侵入了西北工业大学运维管理互联网“telnet”管理服务器，提交并安装NOPEN木马病毒，随后联级操纵其内网监控管理服务器，这2台网络服务器事前都已被组装“喝茶”嗅探工具，TAO远程操控木马病毒查找并免费下载泄密记录文件后清痕撤出。盗取数据包括传输网验证机器设备的账户、动态口令及配置信息。

（2）中国北京时间20××年7月4日1时12分，TAO运用坐落于德国莱比锡工程经济及文化学校的服务器代理（IP：141.57.××.××）做为进攻梯子，非法侵入西北工业大学运维管理互联网“telnet”管理服务器，提交并安装NOPEN木马病毒专用工具，联级操纵其内网监控管理服务器等其它3台网络服务器，这4台网络服务器事前都已被组装“喝茶”嗅探工具，TAO远程操控木马病毒查找并免费下载泄密文档后清痕撤出。

（3）中国北京时间20××年10月11日10时35分，TAO运用坐落于首尔国立大学江原大学的服务器代理（IP：210.115.××.××）做为进攻梯子，非法侵入西北工业大学运维管理网络视频监控管理服务器，提交并安装NOPEN木马病毒专用工具，随后联级操纵其中网备份服务器、认证服务器等其它4台网络服务器，这5台网络服务器事前都已被组装“喝茶”嗅探工具，TAO远程操控木马病毒各自查找并免费下载盗取记录文件后清痕撤出。

（4）中国北京时间20××年10月19日2时46分，TAO以坐落于韩国大田的高等科技进步研究学院的服务器代理（IP：143.248.××.××）为进攻梯子，非法侵入西北工业大学运维管理互联网“telnet”管理服务器，联级操纵其中网管控网络服务器等其它2台网络服务器，这3台网络服务器事前都已被组装“喝茶”嗅探工具，TAO根据远程操控木马病毒查找并免费下载泄密文档，随后清痕撤出。

（二）盗取西北工业大学互联网设备运维环境变量和日志文件

美国国家安全局“特殊侵入行为公司办公室”（TAO）长期性进攻侵入西北工业大学网络运维管理网络服务器，秘密窃取互联网设备运维环境变量和日志文件。

1、盗取西北工业大学互联网操作日志文档

中国北京时间20××年3月2日3时41分，TAO根据坐落于日本服务器代理（IP：210.135.××.××）非法侵入操纵西北工业大学1台网络运维管理网络服务器。3时49分，TAO从本运维服务网络服务器横向移动到另一台运维监控网络服务器，以特殊字符串数组为关键词检索日志文档然后进行盗取了一批运行系统日志文件或系统软件日常自检报告备份数据。

2、盗取西北工业大学网络服务器按时每日任务配备脚本制作

中国北京时间20××年10月11日10时41分，TAO根据坐落于韩国服务器代理（IP：210.115.××.××）侵入控制住了西北工业大学一台内网服务器。10时48分，TAO通过2次横向移动，侵入了另一台内网服务器，浏览了特殊目录下的按时每日任务配备脚本制作，共搜索到14个用以按时出任务的环境变量。接着，一次性盗取了那14个文档，这种文档适合于实行按时清除、备份数据、查验开关电源等行为。

3、盗取西北工业大学企业网站服务器信息文件

中国北京时间20××年6月6日1时27分，TAO根据坐落于韩国服务器代理（IP：222.122.××.××）侵入控制住了西北工业大学一台内网服务器。2时4分，TAO通过2次横向移动，侵入了另一台内网服务器，浏览了文件目录/var/中的安装文件，盗取了60个常见的系统软件信息文件，被盗取的系统数据文件内容包括系统软件发售版本号、用户密码hach、操作权限、当地解析域名配备等。

（三）渗入操纵中国基础设施关键机器设备

美国国家安全局“特殊侵入行为公司办公室”（TAO）运用盗取过的计算机设备账户动态口令，以“合理合法”真实身份入华某基础设施建设运营商服务互联网，操纵有关服务水平视频监控系统，盗取客户隐私数据。

1、盗取我国客户隐私数据

中国北京时间20××年3月7日22时53分，美国国家安全局“特殊侵入行为公司办公室”（TAO）根据坐落于墨西哥的进攻代理商148.208.××.××，进攻操纵我国某基础设施建设营运商的业务服务器211.136.××.××，根据2次内部网横向移动（10.223.140.××、10.223.14.××）后，进攻控制住了客户数据库服务，违法查看多位真实身份比较敏感人员的客户信息。

同日15时02分，TAO将查到的消费者数据保存被攻击网站/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下，被装包传回至进攻梯子，接着泄密环节中上传渗入专用工具、用户信息等进攻印痕被常用工具迅速消除。

美国国家安全局“特殊侵入行为公司办公室”（TAO）应用一样手法，各自于北京时长20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分，进攻操纵此外1家中国基础设施业务服务器，违法多批号查看、导出来、盗取多位真实身份比较敏感人员的客户信息。

2、渗入操纵全球电信基础设施建设

据剖析，美国国家安全局“特殊侵入行为公司办公室”（TAO）以以上技巧，运用同样的武器装备专用工具组成，“合理合法”控制住了全世界不得少于80个国家和地区电信网基础设施建设互联网。研发团队与欧洲和东南亚地区合作伙伴通力合作，取得成功获取并确定了以上武器装备专用工具样版，最终成功实现了技术指标分析，拟适度向社会公布，帮助全世界一同抵挡和预防美国国家安全局NSA网络的渗透攻击。

三、TAO在进攻环节中曝露真实身份相关情况

美国国家安全局“特殊侵入行为公司办公室”（TAO）在黑客攻击西北工业大学环节中，显现出多种技术性系统漏洞，频繁出现错误操作，有效证据进一步证实对西北工业大学执行黑客攻击泄密行为的幕后人即是美国国家安全局NSA。兹引言举例说明如下所示：

（一）进攻时长彻底符合美国打工作息时间表规律性

美国国家安全局“特殊侵入行为公司办公室”（TAO）在使用tipoff激话命令和远程操作NOPEN木马病毒时，需要通过手动控制，从两大类工具的使用进攻时间能判断出黑客攻击者具体上班时间。

最先，通过对有关网络攻击行为的数据分析，对西北工业大学的黑客攻击行为98%都集中在中国北京时间21时许零晨4时之间，该时间段对应的是美国时间9点至16时，归属于美国国内工作时间段。次之，纽约时间的所有周六、周日中，都未产生对西北工业大学的黑客攻击行为。第三，剖析国外独有的节假日日，发现美国的“阵亡将士留念日”放假了3天，国外“单独日”放假了1天，在这里四天中进攻方并没有执行一切进攻泄密行为。第四，长期对攻击性行为紧密追踪发觉，在往年圣诞期内，全部黑客攻击主题活动都处在默然情况。根据以上上班时间和节假日日分配作出判断，对于西北工业大学攻击泄密者都是根据美国国内工作中日时间安排开展活动的，明目张胆，口直心快。

（二）语言表达习惯养成和美国密切关联

研发团队在对互联网网络攻击长期跟踪和ro反渗透环节中（略）发觉，网络攻击主要有以下语言表达特点：一是网络攻击有应用英式英语的好习惯；二是与网络攻击相关的网上机器设备均安装英文电脑操作系统以及各类英语版应用软件；三是网络攻击应用美式键盘开展键入。

（三）武器装备错误操作曝露工作路径

20××年5月16日5时36分（中国北京时间），对西北工业大学执行黑客攻击工作人员运用坐落于韩国堡垒机（IP:222.122.××.××），并用NOPEN木马病毒再度进攻西北工业大学。对其西北工业大学内部网执行第三级渗入后尝试侵入操纵一台计算机设备时，在运作提交PY脚本制作专用工具时发生人为因素，未修改特定主要参数。脚本执行后回到出差错信息内容，内容中显现出网络攻击网上终端设备的工作目录和对应的文件夹名称，从这当中得知木马病毒操纵端系统环境为Linux系统，且相对应目标目录“/etc/autoutils”系TAO黑客攻击武器装备专用工具文件目录的常用名字（autoutils）。

出差错信息内容如下所示：

Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569

（四）很多武器装备与遭曝出的NSA武器装备遗传基因相对高度同宗

本次被捕捉的、对西北工业大学进攻泄密中所使用的41款不同类型的黑客攻击武器装备专用工具中，有16款专用工具与“影子经纪人”曝出的TAO武器装备完全一致；有23款专用工具虽然和“影子经纪人”曝出的专用工具有所不同，但是其基因相似度达到97%，归属于同一类武器装备，仅仅有关配备各不相同；还有另外2款专用工具不能与“影子经纪人”曝出工具进行相匹配，但是这2款专用工具需要和TAO的其他黑客攻击武器装备专用工具搭配使用，因而这一批武器装备专用工具显著具备开放阅读框，都属于TAO。

（五）一部分网络攻击行为出现于“影子经纪人”曝出以前

研发团队分析发觉，在对我国总体目标开展的上万次黑客攻击，尤其是对西北工业大学发起上一千次黑客攻击中，一部分进攻全过程中常用的武器装备进攻，在“影子经纪人”曝出NSA武器前便实现了木马病毒嵌入。根据NSA的习惯养成，以上武器装备专用工具很有可能由TAO员工自身应用。

研究人员通过不断行动，取得成功确定了TAO对西北工业大学执行黑客攻击目标连接点、多级别梯子、主控芯片服务平台、数据加密隧道施工、进攻武器装备和疯狂攻击原始的终端设备，看到了进攻执行者的身份案件线索，最终成功查清了13名网络攻击的身份。