您的位置:世界金融网 > > 资讯 > >

美国国安局网络攻击中国上万次,窃取超140GB数据

发布日期: 2022-09-08 16:35:08 来源: C114通信网  阅读量:9485   

日前,西北工业大学发布公开声明称,学校遭到境外网络攻击陕西省xi公安局碑林分局随即发布《警情通报》,确认在西北工业大学信息网发现一批源自境外的木马样本,Xi警方已正式立案侦查

国家计算机病毒应急处理中心和360公司共同组成技术团队,参与了该案件的技术分析

一.袭击概述

本次调查发现,最近几年来,美国NSA下属陶公司对中国国内网络目标实施恶意网络攻击数万次,控制网络设备数万台,窃取高价值数据140GB以上陶利用其网络攻击武器平台零日常漏洞及其控制的网络设备等,继续扩大网络攻击和范围通过技术分析和溯源,技术小组现已明确了陶攻击活动中使用的网络攻击基础设施,特殊武器装备,技战术,还原了攻击过程和被盗文件,掌握了NSA及其下属陶对中国信息网络实施网络攻击和数据窃取的相关证据,涉及在美国直接对中国发动网络攻击的13人,以及NSA通过掩护公司与美国电信运营商签订的60多份合同和170多份电子文件,以构建网络攻击环境

二,攻击事件分析

在针对西北工业大学的网络攻击中,陶使用了40多种NSA专用的网络攻击武器,并不断窃取西北工业大学的机密,窃取其网络设备配置,网络管理数据,运维数据等关键技术数据通过取证分析,技术团队发现攻击者在西北工业大学内部渗透了1100多个攻击链接,操作了90多个命令序列,并从被入侵的网络设备中定位到了许多被窃取的网络设备配置文件,嗅探到了网络通信数据和密码,其他类型的日志和密钥文件等与攻击活动相关的主要细节

相关网络攻击基础设施

为了掩护其攻击,TAO在开始行动前会做很长的准备,主要是搭建匿名攻击基础设施陶将自己掌握的两个用于SunOS操作系统,零日常漏洞通过使用工具,选择中国周边国家的教育机构,商业公司等网络应用流量较多的服务器作为目标攻击成功后,安装了NOPEN木马程序,控制了大量跳板机

陶在针对西北工业大学的网络攻击中使用了54台跳板机和代理服务器,主要分布在日本,韩国,瑞典,波兰,乌克兰等17个国家,其中70%位于日本,韩国等中国周边国家。

这些跳板机的功能仅限于指令传递,即将之前的跳板指令转发到目标系统,从而掩盖了国家安全局发起的网络攻击的真实IP目前已知陶访问环控跳板机的IP地址至少有四个,分别是209.59.36 *,69.165.54 *,207.195.240 *和209.118.143 *同时,为了进一步掩盖跳板机和代理服务器与NSA的关系,NSA利用美国Register公司的匿名保护服务,对相关域名,证书,注册人等可追溯信息进行匿名化处理,无法通过公开渠道查询

通过威胁情报数据的关联分析,团队发现西北工业大学攻击平台使用的网络资源涉及5台代理服务器NSA通过两家秘密掩护公司从美国Teremark公司购买了埃及,荷兰和哥伦比亚的IP地址,并租用了多台服务器这两家公司是Jack middot米勒多元化系统公司的杰克逊·史密斯顾问同时,技术团队还发现,陶基础设施技术事业部的工作人员使用阿曼达·米德多特,阿曼达·拉米雷斯)匿名购买域名和一个常用SSL证书(ID:e 42d 3 bea 0a 16111 e 67 e 79 F9 cc 2 * * * *)随后,上述域名和证书被部署在位于美国的中间人攻击平台上,酸狐狸(Foxacid),攻击中国大量网络目标特别是陶对西北工业大学等中国信息网络目标发动了多轮持续攻击和秘密窃取

相关网络攻击武器

陶在对西北工业大学的网络攻击中使用了41种NSA专用的网络攻击武器装备而且在攻击过程中,陶会根据目标环境灵活配置同一种网络武器比如针对西北工业大学的网络攻击所使用的网络武器中,只有后门工具狡猾的异端有14个不同的版本

1.漏洞攻击突破性武器

TAO依靠这种武器攻击和突破边界网络设备,网关服务器,办公室内部网主机等西北工业大学同时也用于攻击控制海外跳板机构建匿名网络作为行动掩护

①,Rdquo

该武器可以在X86和SPARC架构的Solarise系统上打开指定的RPC服务进行远程漏洞攻击在攻击过程中,它可以自动检测目标系统的服务打开情况,智能选择合适版本的漏洞利用代码,从而直接获得对目标主机的完全控制该武器用于攻击日韩等国的跳板机,受控跳板机用于对西北工业大学的网络攻击

②,Rdquo

该武器还可以在打开指定RPC服务的Solaris系统上进行远程溢出攻击,直接获得对目标主机的完全控制用Rdquo不同的是,该工具不具备独立检测目标服务开启的能力,需要用户手动配置目标及相关参数NSA用这个武器攻击控制了西北工业大学的边界服务器

③,酸狐狸武器平台

这种武器平台部署在哥伦比亚,可以与结合使用,第二次约会中间人攻击武器可用于智能配置漏洞有效载荷针对IE,FireFox,Safari,Android Webkit等平台上的主流浏览器进行远程溢出攻击,获取目标系统的控制权,酸狐狸易损武器平台技术分析报告)陶主要利用这个武器平台入侵了西北工业大学办公室内网的主机

2.持久性控制武器

依靠这样的武器,陶可以隐蔽而持久地控制西北工业大学的网络陶行动小组可以通过加密通道发送控制指令,操作这类武器对西北工业大学的网络进行渗透,控制和窃密

①,第二次约会

该武器长期驻留在网关服务器,边界路由器等网络边界设备和服务器上,能够精准过滤并自动劫持海量数据流量,实现中间人攻击陶将武器安装在西北工业大学的边界设备上,劫持流经设备的流量并引向酸狐狸实施平台漏洞攻击

②,NOPEN

这个武器是一个远程控制的木马,支持多种操作系统和不同的架构它可以通过加密隧道接收指令,以执行各种操作,如文件管理,进程管理,系统命令执行等,并且具有特权提升和持久化的能力陶主要利用这个武器永久控制西北工业大学网络中的核心业务服务器和关键网络设备

③,喷怒

该武器是基于Windows系统的远程控制木马,支持多种操作系统和不同架构可以根据目标系统环境定制生成不同类型的木马服务器,服务器本身具有很强的反分析和反调试能力陶主要用这个武器配合酸狐狸实现对西北工业大学办公网络中个人主机的持久化控制

④,狡猾的异端

该武器为轻量级后门植入工具,运行后可自动删除,具有权限提升能力,可永久驻留目标设备,随系统启动陶主要利用这个武器实现永久居留,从而建立加密通道在合适的时间上传NOPEN木马,确保对西北工业大学信息网络的长期控制

⑤,患者外科医生

这个武器是Linux,Solaris,JunOS,FreeBSD等四类操作系统的后门它可以在目标设备上长时间运行,隐藏指定的文件,目录,进程等根据说明安装在目标设备上陶主要利用这个武器隐藏NOPEN木马的文件和进程,避免被监控发现技术分析显示,陶在对西北工业大学的网络攻击中使用了12种不同版本的这种武器

3.嗅探和偷窃武器

陶正是依靠这样的武器,嗅出了西北工业大学工作人员在运维网络中使用的账号密码和命令行操作记录,窃取了西北工业大学网络内部的敏感信息和运维数据。有两种这样的武器:

①,Rdquo

该武器可以长期驻留在32位或64位Solaris系统中,通过嗅探进程间通信获取ssh,telnet,rlogin等远程登录方式暴露的账户密码TAO主要使用这个武器来嗅探帐户密码,命令行操作记录,日志文件等由西北工业大学的业务人员在运维时生成,然后压缩加密后供NOPEN木马下载

②,敌后行动,一系列武器

该系列武器是专门用于电信运营商特定业务系统的工具根据被控业务设备的不同类型,敌后行动,将使用不同的解析工具陶在对西北工业大学的网络攻击中使用了魔法学校,美食小丑和诅咒之火针对电信运营商的3种攻击和窃密工具

4.隐藏和消除标记的武器

陶正是依靠这样的武器来消除其在西北工业大学网络中的行为痕迹,隐藏和掩饰其恶意操作和秘密窃取,同时为上述三类武器提供保护。已经发现了一件这样的武器:

烤面包,这个武器可以用来查看和修改utmp,wtmp,lastlog等日志文件清除手术痕迹陶主要利用该武器清除替换西北工业大学上网设备上的各类日志文件,隐藏其恶意行为在对陶西北工业大学的网络攻击中,使用了的三个不同版本烤面包

基于上述技术分析结果和追踪调查,技术小组初步判断,针对西北工业大学的网络攻击系美国国家安全局信息情报部(代号S)数据侦察局(代号)下属的陶(代号S32)部门所为该部门成立于1998年,部署主要依靠美国国家安全局在美国和欧洲的密码中心

1.美国马里兰州米德堡NSA总部,

2.美国夏威夷瓦胡岛NSA夏威夷密码中心,

3.美国佐治亚州戈登堡NSA佐治亚州密码中心,

4.美国德克萨斯州圣安东尼奥的NSA德州密码中心,

5.美国科罗拉多州丹佛市马克里空军基地的NSA科罗拉多密码中心,

6.位于德国达姆施塔特美军基地的NSA欧洲密码中心。

TAO是美国政府的一个战术执行单位,专门从事大规模网络攻击和窃取其他国家的机密。它由2000多名军事和文职人员组成,其内部机构包括:

第一个地方:远程操作中心,主要负责操作武器平台和工具进入并控制目标系统或网络。

第二名:高级/接入网技术部,负责研究相关硬件技术,为陶网攻击提供硬件相关技术和武器装备支持。

第三名:数据网络技术部,负责复杂计算机软件工具的研发,为陶运营商执行网络攻击提供支持。

第四名:电信网络技术处,负责研究电信相关技术,为陶运营商秘密渗透电信网络提供支持。

第五名:任务基础设施技术部,负责开发建立网络基础设施和安全监控平台,用于构建攻击网络环境和匿名网络。

第六名:Access Action部门,负责产品的后门安装,通过供应链交付给目标。

第七名:需求与定位部,接收相关单位任务,确定侦察目标,分析评估情报价值。

S32P:项目规划整合事业部,负责整体规划和项目管理。

NWT:网络战小组,负责与网络战小组联络。

美国国家安全局对西北工业大学的攻击行动代号为屏蔽XXXX(shotXXXX).行动由道教主直接指挥,MIT(S325)负责搭建侦察环境,租借攻击资源通过坡道,T(S327)负责确定攻击策略和情报评估,蚂蚁(S322),DNT(S323),TNT(S324)负责提供技术支持,ROC(S321)负责组织攻击侦察行动可见,直接参与指挥行动的主要有陶领导,S321,S325部队

Robert middot在NSA攻击西北工业大学期间负责TAO乔伊斯此人出生于1967年9月13日,就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰·米德多特大学,霍普金斯大学,硕士学位他于1989年加入国家安全局曾任陶副主任,2013年至2017年任陶主任2017年10月开始担任美国代理国土安全顾问2018年4月至5月,他担任白宫国家安全顾问,随后回到NSA担任国家安全局局长网络安全战略高级顾问,现在担任NSA网络安全负责人

四。摘要

这份报告基于国家计算机病毒应急处理中心和360公司联合技术小组的分析结果,揭示了美国NSA长期以来对包括西北工业大学在内的中国信息网络用户和重要单位进行网络间谍活动的真相后续技术团队还将公布更多相关事件调查的技术细节

声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。