北欧国家电脑病毒紧急处置服务中心网站9月5日正式发布北京航空航天大学遭英国NSA黑客反击该深入进行调查报告。
2022年6月22日,北京航空航天大学正式发布《公开声明》称,本校遭受境内外黑客反击。陕西省陕西省公安局武侯祠分局随即正式发布《凶杀案通报》,证实在北京航空航天大学的计算机软件中辨认出了数款源于境内外的地牢样品,西安警方已对此正式立案进行调查。
北欧国家电脑病毒紧急处置服务中心和360子公司联合组成掌控技术项目组(以下全称掌控技术项目组),全程参与了此案的掌控技术预测工作。掌控技术项目组先后从北京航空航天大学的多个信息管理系统和玩游戏终端产品中提取到了数款地牢样品,综合采用亚洲地区现有统计数据资源和预测手段,并得到了欧洲、南亚部分北欧国家合作伙伴的布季夫支持,全面还原成了有关反击该事件的总体吕弗克、掌控技术特征、反击枪械、反击路径和反击根源,初步查知有关反击公益活动源自NSA(NSA)特定侵略暴力行动办公室(Office of Tailored Access Operation,早先全称TAO)。
一、反击该事件吕弗克
本次进行调查辨认出,在近年里,英国NSA辖下TAO对我国亚洲地区的互联网最终目标实行了斜堆的恶意黑客反击,掌控了数以千计的计算机系统(互联网伺服器、玩游戏终端产品、互联网交换机、电话交换机、交换机、内网等),盗取了超过140GB的高价值统计数据。TAO借助其黑客反击枪械平台、端口扫描安全漏洞(0day)或其掌控的计算机系统等,稳步扩大黑客反击和范围。经掌控技术预测与追根溯源,掌控技术项目组现已澄清TAO反击公益活动中采用的黑客反击基础建设、专用枪械装备及体能,还原成了反击过程和被盗取的文档,掌控了英国NSA或其辖下TAO对我国计算机软件实行黑客反击和统计数据H55N的有关证据,涉及在英国亚洲地区对我国直接发起黑客反击的人员13名,以及NSA通过策应子公司为构建黑客反击环境而与英国电信运营商签订的合同60余人次,电子文档170余人次。
二、反击该事件预测
在特别针对北京航空航天大学的黑客反击中,TAO采用了40余种不同的NSA专用黑客反击枪械,稳步对北京航空航天大学开展反击H55N,盗取本校关键计算机系统配置、网络管理统计数据、网络管理统计数据等核心掌控技术统计数据。通过调查取证预测,掌控技术项目组累计辨认出反击者在北京航空航天大学内部渗透的反击信道多达1100数十条、操作的指令序列90余个,并从被侵略的计算机系统中定位了第二份遭盗取的计算机系统配置文档、遭巴列德的互联网通信统计数据及紧急警报、其它类型的笔记和公钥文档以或其他与反击公益活动有关的主要细节。具体预测情况如下:
(一)有关黑客反击基础建设
为策应其反击暴力行动,TAO在开始暴力行动后会进行较长时间的准备工作,主要进行非官方化反击基础建设的建设。TAO借助其掌控的特别针对SunOS作业系统的两个端口扫描安全漏洞借助工具,选择了我国周边北欧国家的教育机构、商业子公司等互联网应用流量非常多的伺服器为反击最终目标;反击成功后,安装NOPEN地牢程序(参见有关分析报告),掌控了大批跳台机。
TAO在特别针对北京航空航天大学的黑客反击暴力行动中先后采用了54台跳台机和代理伺服器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个北欧国家,其中70%位于我国周边北欧国家,如日本、韩国等。
这些跳台机的功能仅限于指令中转,即:将上一级的跳台指令转发到最终目标系统,从而掩盖NSA发起黑客反击的真实IP。目前已经至少掌控TAO从其接入环境(英国亚洲地区电信运营商)掌控跳台机的四个IP地址,分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时,为了进一步掩盖跳台机和代理伺服器与NSA之间的关联关系,NSA采用了英国Register子公司的非官方保护服务,对有关域名、证书以及注册人等可追根溯源信息进行非官方化处置,无法通过公开渠道进行查询。
掌控技术项目组通过威胁情报统计数据关联预测,辨认出特别针对北京航空航天大学反击平台所采用的互联网资源共涉及5台代理伺服器,NSA通过秘密成立的两家策应子公司向英国泰瑞马克(Terremark)子公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批伺服器。这两家子公司分别为杰克?史密斯咨询子公司(Jackson Smith Consultants)、穆勒多元系统子公司(Mueller Diversified Systems)。同时,掌控技术项目组还辨认出,TAO基础建设掌控技术处(MIT)工作人员采用阿曼达?拉米雷斯(Amanda Ramirez)的名字非官方购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于英国本土的中间人反击平台酸狐狸(Foxacid)上,对我国的大量互联网最终目标开展反击。特别是,TAO对北京航空航天大学等我国计算机软件最终目标展开了多轮稳步性的反击、H55N暴力行动。
(二)有关黑客反击枪械
TAO在对北京航空航天大学的黑客反击暴力行动中,先后采用了41种NSA的专用黑客反击枪械装备。并且在反击过程中,TAO会根据最终目标环境对同一款互联网枪械进行灵活配置。例如,对北京航空航天大学实行黑客反击中采用的互联网枪械中,仅后门工具狡诈异端犯(NSA命名)就有14个不同版本。掌控技术项目组将此次反击公益活动中TAO所采用工具类别分为四大类,具体包括:
1、安全漏洞反击突破类枪械
TAO依托此类枪械对北京航空航天大学的边界计算机系统、网关伺服器、办公内网主机等实行反击突破,同时也用来反击掌控境内外跳台机以构建非官方化互联网作为暴力行动策应。此类枪械共有3种:
①剃须刀
此枪械可特别针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实行远程安全漏洞反击,反击时可自动探知最终目标系统服务开放情况并智能化选择合适版本的安全漏洞借助代码,直接获取对最终目标主机的完整掌控权。此枪械用于对日本、韩国等北欧国家跳台机的反击,所掌控跳台机被用于对北京航空航天大学的黑客反击。
②孤岛
此枪械同样可特别针对开放了指定RPC服务的Solaris系统实行远程溢出反击,直接获取对最终目标主机的完整掌控权。与剃须刀的不同之处在于此工具不具备自主探测最终目标服务开放情况的能力,需由采用者手动配置最终目标及有关参数。NSA采用此枪械反击掌控了北京航空航天大学的边界伺服器。
③酸狐狸枪械平台
此枪械平台部署在哥伦比亚,可结合二次约会中间人反击枪械采用,可智能化配置安全漏洞载荷特别针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出反击,获取最终目标系统的掌控权(参见:北欧国家电脑病毒紧急处置服务中心《NSA(NSA)酸狐狸安全漏洞反击枪械平台掌控技术预测报告》)。TAO主要采用该枪械平台对北京航空航天大学办公内网主机进行侵略。
2、持久化掌控类枪械
TAO依托此类枪械对北京航空航天大学互联网进行隐蔽持久掌控,TAO暴力行动队可通过加密通道发送掌控指令操作此类枪械实行对北京航空航天大学互联网的渗透、掌控、H55N等行为。此类枪械共有6种:
①二次约会
此枪械长期驻留在网关伺服器、边界交换机等互联网边界设备及伺服器上,可特别针对海量统计数据流量进行精准过滤与自动化劫持,实现中间人反击功能。TAO在北京航空航天大学边界设备上安置该枪械,劫持流经该设备的流量引导至酸狐狸平台实行安全漏洞反击。
②NOPEN
此枪械是一种支持多种作业系统和不同体系架构的远控地牢,可通过加密隧道接收指令执行文档管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力(参见:北欧国家电脑病毒紧急处置服务中心《NOPEN远控地牢预测报告》)。TAO主要采用该枪械对北京航空航天大学互联网内部的核心业务伺服器和关键计算机系统实行持久化掌控。
③怒火喷射
此枪械是一款基于Windows系统的支持多种作业系统和不同体系架构的远控地牢,可根据最终目标系统环境定制化生成不同类型的地牢服务端,服务端本身具备极强的抗预测、反调试能力。TAO主要采用该枪械配合酸狐狸平台对北京航空航天大学办公网内部的个人主机实行持久化掌控。
④狡诈异端犯
此枪械是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于最终目标设备上并可随系统启动。TAO主要采用该枪械实现持久驻留,以便在合适时机建立加密管道上传NOPEN地牢,保障对北京航空航天大学计算机软件的长期掌控。
