https://big5.sputniknews.cn/20220905/1043676203.html
中國西北工業大學遭境外網絡攻擊調查報告公佈:源頭系美國國家安全局
中國西北工業大學遭境外網絡攻擊調查報告公佈:源頭系美國國家安全局
俄羅斯衛星通訊社
俄羅斯衛星通訊社北京9月5日電... 2022年9月5日, 俄羅斯衛星通訊社
2022-09-05T13:51+0800
2022-09-05T13:51+0800
2022-09-05T13:51+0800
中國
美國
網絡攻擊
https://cdn.sputniknews.cn/img/102999/02/1029990268_20:0:982:541_1920x0_80_0_0_d9d3ca3e05325a6b984160e2ef83ceac.jpg
報告說,2022年6月22日,中國西北工業大學發佈《公開聲明》稱,該校遭受境外網絡攻擊。隨機西安警方對此立案調查。中國國家計算機病毒應急處理中心和360公司聯合組成技術團隊,全程參與此案的技術分析工作。報告稱,本次調查發現,在近年里,美國國家安全局(NSA)下屬“特定入侵行動辦公室”(TAO)對中國國內的網絡目標實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡設備(網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火牆等),竊取了超過140GB的高價值數據。報告說,經技術分析與溯源,技術團隊現已澄清TAO攻擊活動中使用的網絡攻擊基礎設施、專用武器裝備及技戰術,還原了攻擊過程和被竊取的文件,掌握了美國NSA及其下屬TAO對中國信息網絡實施網絡攻擊和數據竊密的相關證據,涉及在美國國內對中國直接發起網絡攻擊的人員13名,以及NSA通過掩護公司為構建網絡攻擊環境而與美國電信運營商簽訂的合同60余份,電子文件170余份。報告稱,在針對西北工業大學的網絡攻擊中,TAO使用了40余種不同的NSA專屬網絡攻擊武器,持續對西北工業大學開展攻擊竊密,竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。通過取證分析,技術團隊累計發現攻擊者在西北工業大學內部滲透的攻擊鏈路多達1100余條、操作的指令序列90余個,並從被入侵的網絡設備中定位了多份遭竊取的網絡設備配置文件、遭嗅探的網絡通信數據及口令、其它類型的日誌和密鑰文件以及其他與攻擊活動相關的主要細節。報告披露,TAO在網絡攻擊過程中先後使用了54台跳板機和代理服務器,主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家,其中70%位於中國周邊國家,如日本、韓國等。報告說,技術團隊通過威脅情報數據關聯分析,發現針對西北工業大學攻擊平台所使用的網絡資源共涉及5台代理服務器,NSA通過秘密成立的兩家掩護公司向美國泰瑞馬克(Terremark)公司購買了埃及、荷蘭和哥倫比亞等地的IP地址,並租用一批服務器。這兩家公司分別為傑克∙史密斯咨詢公司(Jackson Smith Consultants)、穆勒多元系統公司(Mueller Diversified Systems)。同時,技術團隊還發現,TAO基礎設施技術處(MIT)工作人員使用“阿曼達∙拉米雷斯(Amanda Ramirez)”的名字匿名購買域名和一份通用的SSL證書(ID:e42d3bea0a16111e67ef79f9cc2*****)。隨後,上述域名和證書被部署在位於美國本土的中間人攻擊平台“酸狐狸”(Foxacid)上,對中國的大量網絡目標開展攻擊。特別是,TAO對西北工業大學等中國信息網絡目標展開了多輪持續性的攻擊、竊密行動。報告還指出, TAO在對西北工業大學的網絡攻擊行動中,先後使用了41種NSA的專用網絡攻擊武器裝備。並且在攻擊過程中,TAO會根據目標環境對同一款網絡武器進行靈活配置。TAO所使用工具類別分為四大類,具體包括:漏洞攻擊突破類武器、持久化控制類武器、嗅探竊密類武器、隱蔽消痕類武器。報告強調,“結合技術分析結果和溯源調查情況,技術團隊初步判斷對西北工業大學實施網絡攻擊行動的是美國國家安全局(NSA)信息情報部(代號S)數據偵察局(代號S3)下屬TAO(代號S32)部門”。該部門成立於1998年,其力量部署主要依託美國國家安全局(NSA)在美國和歐洲的各密碼中心。目前已被公佈的六個密碼中心分別是:美國馬里蘭州米德堡的NSA總部;美國夏威夷瓦胡島的NSA夏威夷密碼中心(NSAH);美國佐治亞州戈登堡的NSA佐治亞密碼中心(NSAG);美國德克薩斯州聖安東尼奧的NSA德克薩斯密碼中心(NSAT);美國科羅拉羅州丹佛馬克利空軍基地的NSA科羅拉羅密碼中心(NSAC);德國達姆施塔特美軍基地的NSA歐洲密碼中心(NSAE)。TAO是目前美國政府專門從事對他國實施大規模網絡攻擊竊密活動的戰術實施單位,由2000多名軍人和文職人員組成。報告進一步指出,美國國家安全局(NSA)針對西北工業大學的攻擊行動代號為“阻擊XXXX”(shotXXXX)。該行動由TAO負責人直接指揮,由MIT(S325)負責構建偵察環境、租用攻擊資源;由R&T(S327)負責確定攻擊行動戰略和情報評估;由ANT(S322)、DNT(S323)、TNT(S324)負責提供技術支撐;由ROC(S321)負責組織開展攻擊偵察行動。由此可見,直接參與指揮與行動的主要包括TAO負責人,S321和S325單位。報告稱,NSA對西北工業大學攻擊竊密期間的TAO負責人是羅伯特∙喬伊斯(Robert Edward Joyce)。此人於1967年9月13日出生,1989年進入美國國家安全局工作。曾經擔任過TAO副主任,2013年至2017年擔任TAO主任。2017年10月開始擔任代理美國國土安全顧問。2018年4月至5月,擔任美國白宮國務安全顧問,後回到NSA擔任美國國家安全局局長網絡安全戰略高級顧問,現擔任NSA網絡安全主管。報告最後指出,本次報告基於中國國家計算機病毒應急處理中心與360公司聯合技術團隊的分析成果,揭露了美國NSA長期以來針對包括西北工業大學在內的中國信息網絡用戶和重要單位開展網絡間諜活動的真相。後續技術團隊還將陸續公佈相關事件調查的更多技術細節。
https://big5.sputniknews.cn/20220623/1042089884.html
美國
俄羅斯衛星通訊社
feedback.cn@sputniknews.com
+74956456601
MIA „Rosiya Segodnya“
2022
俄羅斯衛星通訊社
feedback.cn@sputniknews.com
+74956456601
MIA „Rosiya Segodnya“
News
cn_CN
俄羅斯衛星通訊社
feedback.cn@sputniknews.com
+74956456601
MIA „Rosiya Segodnya“
俄羅斯衛星通訊社
feedback.cn@sputniknews.com
+74956456601
MIA „Rosiya Segodnya“
中國, 美國, 網絡攻擊
中國西北工業大學遭境外網絡攻擊調查報告公佈:源頭系美國國家安全局
俄羅斯衛星通訊社北京9月5日電 中國國家計算機病毒應急處理中心5日公佈的《關於西北工業大學遭受境外網絡攻擊的調查報告》中稱,初步判斷對該大學實施網絡攻擊行動的是美國國家安全局(NSA)下屬“特定入侵行動辦公室”(TAO),攻擊行動代號為“阻擊XXXX”(shotXXXX)。攻擊期間,TAO共使用40余種不同的NSA專屬網絡攻擊武器,攻擊鏈路多達1100余條、操作的指令序列90余個。
報告說,2022年6月22日,中國西北工業大學發佈《公開聲明》稱,該校遭受境外網絡攻擊。隨機西安警方對此立案調查。中國國家計算機病毒應急處理中心和360公司聯合組成技術團隊,全程參與此案的技術分析工作。
報告稱,本次調查發現,在近年里,
美國國家安全局(NSA)下屬“特定入侵行動辦公室”(TAO)對中國國內的網絡目標實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡設備(網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火牆等),竊取了超過140GB的高價值數據。
報告說,經技術分析與溯源,技術團隊現已澄清TAO攻擊活動中使用的網絡攻擊基礎設施、專用武器裝備及技戰術,還原了攻擊過程和被竊取的文件,掌握了美國NSA及其下屬TAO對中國信息網絡實施網絡攻擊和數據竊密的相關證據,涉及在美國國內對中國直接發起網絡攻擊的人員13名,以及NSA通過掩護公司為構建網絡攻擊環境而與美國電信運營商簽訂的合同60余份,電子文件170余份。
報告稱,在針對西北工業大學的網絡攻擊中,TAO使用了40余種不同的NSA專屬網絡攻擊武器,持續對西北工業大學開展攻擊竊密,竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。通過取證分析,技術團隊累計發現攻擊者在西北工業大學內部滲透的攻擊鏈路多達1100余條、操作的指令序列90余個,並從被入侵的網絡設備中定位了多份遭竊取的網絡設備配置文件、遭嗅探的網絡通信數據及口令、其它類型的日誌和密鑰文件以及其他與攻擊活動相關的主要細節。
報告披露,TAO在網絡攻擊過程中先後使用了54台跳板機和代理服務器,主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家,其中70%位於中國周邊國家,如日本、韓國等。
報告說,技術團隊通過威脅情報數據關聯分析,發現針對西北工業大學攻擊平台所使用的網絡資源共涉及5台代理服務器,NSA通過秘密成立的兩家掩護公司向美國泰瑞馬克(Terremark)公司購買了埃及、荷蘭和哥倫比亞等地的IP地址,並租用一批服務器。這兩家公司分別為傑克∙史密斯咨詢公司(Jackson Smith Consultants)、穆勒多元系統公司(Mueller Diversified Systems)。同時,技術團隊還發現,TAO基礎設施技術處(MIT)工作人員使用“阿曼達∙拉米雷斯(Amanda Ramirez)”的名字匿名購買域名和一份通用的SSL證書(ID:e42d3bea0a16111e67ef79f9cc2*****)。隨後,上述域名和證書被部署在位於美國本土的中間人攻擊平台“酸狐狸”(Foxacid)上,對中國的大量網絡目標開展攻擊。特別是,TAO對西北工業大學等中國信息網絡目標展開了多輪持續性的攻擊、竊密行動。
報告還指出, TAO在對西北工業大學的網絡攻擊行動中,先後使用了41種NSA的專用網絡攻擊武器裝備。並且在攻擊過程中,TAO會根據目標環境對同一款網絡武器進行靈活配置。TAO所使用工具類別分為四大類,具體包括:漏洞攻擊突破類武器、持久化控制類武器、嗅探竊密類武器、隱蔽消痕類武器。
報告強調,“結合技術分析結果和溯源調查情況,技術團隊初步判斷對西北工業大學實施網絡攻擊行動的是美國國家安全局(NSA)信息情報部(代號S)數據偵察局(代號S3)下屬TAO(代號S32)部門”。
該部門成立於1998年,其力量部署主要依託美國國家安全局(NSA)在美國和歐洲的各密碼中心。目前已被公佈的六個密碼中心分別是:美國馬里蘭州米德堡的NSA總部;美國夏威夷瓦胡島的NSA夏威夷密碼中心(NSAH);美國佐治亞州戈登堡的NSA佐治亞密碼中心(NSAG);美國德克薩斯州聖安東尼奧的NSA德克薩斯密碼中心(NSAT);美國科羅拉羅州丹佛馬克利空軍基地的NSA科羅拉羅密碼中心(NSAC);德國達姆施塔特美軍基地的NSA歐洲密碼中心(NSAE)。TAO是目前美國政府專門從事對他國實施大規模網絡攻擊竊密活動的戰術實施單位,由2000多名軍人和文職人員組成。
報告進一步指出,美國國家安全局(NSA)針對西北工業大學的攻擊行動代號為“阻擊XXXX”(shotXXXX)。該行動由TAO負責人直接指揮,由MIT(S325)負責構建偵察環境、租用攻擊資源;由R&T(S327)負責確定攻擊行動戰略和情報評估;由ANT(S322)、DNT(S323)、TNT(S324)負責提供技術支撐;由ROC(S321)負責組織開展攻擊偵察行動。由此可見,直接參與指揮與行動的主要包括TAO負責人,S321和S325單位。
報告稱,NSA對西北工業大學攻擊竊密期間的TAO負責人是羅伯特∙喬伊斯(Robert Edward Joyce)。此人於1967年9月13日出生,1989年進入美國國家安全局工作。曾經擔任過TAO副主任,2013年至2017年擔任TAO主任。2017年10月開始擔任代理美國國土安全顧問。2018年4月至5月,擔任美國白宮國務安全顧問,後回到NSA擔任美國國家安全局局長網絡安全戰略高級顧問,現擔任NSA網絡安全主管。
報告最後指出,本次報告基於中國國家計算機病毒應急處理中心與360公司聯合技術團隊的分析成果,揭露了美國NSA長期以來針對包括西北工業大學在內的中國信息網絡用戶和重要單位開展網絡間諜活動的真相。後續技術團隊還將陸續公佈相關事件調查的更多技術細節。
京公網安備11010502053235號
