[为什么西北工业大学网络攻击]触目惊心！西北工业大学遭美国NSA网络攻击事件细节披露

Bokaro：北京青年报应用程序

今天（5日），北欧国家电脑病毒紧急处置服务中心和360公司分别发布了关于北京航太理工学院遭遇境外黑客反击的报告。报告表明黑客反击根源系NSA（NSA）。

NSA采用41种黑客反击枪械 盗取统计数据

本次调查辨认出，针对北京航太理工学院的黑客反击中，NSA（NSA）下属的特定侵略暴力行动办公室（TAO）采用了40余种相同的专用黑客反击枪械，持续对北京航太理工学院开展反击H55N，盗取本校关键性计算机系统配置、网络管理统计数据、网络管理统计数据等核心控制技术统计数据。

本次遭遇反击的北京航太理工学院位于陕西西安，隶属工业和信息化部，是一所学科专业、综合性、开放式理工学院。

陕西省公安局武侯祠支队局长 靳琪：北京航太理工学院是目前我国专门从事航空、航天、航海工程教育和学术研究领域的重点项目理工学院，拥有大量北欧国家世界顶级研究课题组和高端人才，承担北欧国家多个重点项目研究课题，话语权极为特定，信息安全极为关键性。由于其所具有的是特定话语权和专门从事的敏感学术研究，所以才成为本次黑客反击的针对性最终目标。

报告表明，NSA（NSA）在对北京航太理工学院的黑客反击暴力行动中，先后采用了41种专用黑客反击枪械装备，仅侧门工具阴险异教徒犯（ NSA 命名）就有14款相同版本。

360公司信息安全专家 边亮：在前期的话，它会有一些情报搜集的组件。那么情报搜集后辨认出，如果说它的最终目标环境当中，可能比如说有的是需要去盗取密码或是盗取重要数据共享，根据相同的情况、相同的系统或是相同的平台，去订制化进行枪械的反击和递送。

通过调查取证分析，控制技术项目组累计辨认出反击者在北京航太理工学院内部渗透的反击信道多达1100数十条、操作的命令字符串90数十个，并从被侵略的计算机系统中定位了第二份遭盗取的计算机系统命令行、遭巴列德的存储设备统计数据及紧急警报、其它类型的笔记和公钥文件以及其它与反击公益活动相关的主要控制技术细节。

控制技术项目组将本次反击公益活动中所采用的枪械类型分为四大类，具体包括：1、安全漏洞反击冲破类枪械；2、长久化掌控类枪械；3、巴列德H55N类枪械；4、隐蔽消痕类枪械。

北欧国家电脑病毒紧急处置服务中心高级工程师 杜建华：从最开始的此种安全漏洞的反击冲破，冲破后去布署此种第三类的，我们说长久掌控类的枪械工具。那么再到第三类，那么它实现此种巴列德的H55N，那么长期的潜伏盗取我们重要的统计数据，然后把这个反击公益活动，它认为任务已经完成后，那么开始采用第四类的枪械就是隐蔽消痕类，把现场清理干净，让被害人无法察觉。

本次报告披露，NSA（NSA）利用大量黑客反击枪械，针对我国各行业龙头企业、政府、理工学院、医疗、科研等机构长期进行秘密黑客反击公益活动。

360公司创始人 周鸿祎：就是瞄准北欧国家的此种科研机构、政府部门、军工单位、高校这些地方来盗取情报或是盗取统计数据，它从反击从策划到部署，到通过很长的此种跳板，一直到攻到核心岗位里面，大概持续的时间有的是要长达数年。那么危害也就非常大，因为未来我们整个北欧国家都在搞数字化，我们很多重要的此种业务都是由统计数据来驱动，你想统计数据一旦被偷窃或一旦被破坏，肯定会带来严重的风险。

调查同时辨认出，NSA（NSA）还利用其掌控的黑客反击枪械平台、零日安全漏洞（Oday）和计算机系统，长期对中国的手机用户进行无差别的语音监听，非法盗取手机用户的短信内容，并对其进行无线定位。

NSA掩盖真实IP 精心伪装黑客反击痕迹

本次报告披露，NSA（NSA）为了隐匿其对北京航太理工学院等中国信息网络实施黑客反击的行为，做了长时间准备工作，并且进行了精心伪装。

控制技术项目组分析辨认出，NSA（NSA）下属的特定侵略暴力行动办公室（TAO）在开始暴力行动前会进行较长时间的准备工作，主要进行匿名化反击基础设施的建设。特定侵略暴力行动办公室（TAO）利用其掌握的针对SunOS操作系统的两个零日安全漏洞利用工具，选择了中国周边北欧国家的教育机构、商业公司等网络应用流量较多的服务器为反击最终目标；反击成功后，即安装NOPEN木马程序，掌控了大批跳板机。

特定侵略暴力行动办公室（TAO）在针对北京航太理工学院的黑客反击暴力行动中先后采用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个北欧国家，其中70%位于中国周边北欧国家，如日本、韩国等。其中，用以掩盖真实IP的跳板机都是精心挑选,所有IP均归属于非五眼联盟北欧国家。

针对北京航太理工学院反击平台所采用的网络资源涉及代理服务器，NSA（NSA）通过秘密成立的两家掩护公司购买了埃及、荷兰和哥伦比亚等地的IP，并租用一批服务器。

北欧国家电脑病毒紧急处置服务中心高级工程师 杜建华：它是采用此种虚拟身份，或是是代理人的身份。那么去租用和购买互联网上的此种服务器、IP地址、域名，甚至它还可以通过此种黑客反击的手段，在对方不知情的情况下，接管第三方用户的此种服务器资源。那么来实施黑客反击，实现此种借刀杀人的效果。

NSA（NSA）为了保护其身份安全，采用了美国隐私保护公司的匿名保护服务，相关域名和证书均指向无关联人员，以便掩盖真实反击平台对北京航太理工学院等中国信息网络展开的多轮持续性反击、H55N暴力行动。

北欧国家电脑病毒紧急处置服务中心高级工程师 杜建华：有了这些跳板机后，TAO就可以躲在这些跳板机的后面，去向最终目标发动黑客反击。这样从受害者的角度去看，即使他辨认出了反击，实际上也是这些跳板机的。那么这样起到一个，就是对真实的反击来源网络地址的一个保护的此种作用。

控制技术项目组还辨认出，相关黑客反击公益活动开始前，NSA（NSA）在美国多家大型知名互联网企业配合下，将掌握的中国大量通信计算机系统的管理权限，提供给NSA等情报机构，为持续侵入中国国内的重要信息网络大开方便之门。

TAO到底是什么？黑客反击H55N公益活动的战术实施单位

据报告表明，NSA（NSA）下属的特定侵略暴力行动办公室(TAO)不仅对中国国内的各重点项目企业和机构实施恶意黑客反击，而且还长期对中国的手机用户进行无差别的语音监听，非法盗取手机用户的短信内容，并对其进行无线定位。那么这个简称TAO的特定侵略暴力行动办公室到底是一个什么机构呢？

经控制技术分析和网上溯源调查辨认出，实施本次黑客反击暴力行动NSA（NSA）下属特定侵略暴力行动办公室（TAO）部门，成立于1998年，其力量部署主要依托NSA（NSA）在美国和欧洲的各密码服务中心。目前已被公布的六个密码服务中心分别是：

1、国安局马里兰州的米德堡总部;

2、瓦湖岛的国安局夏威夷密码服务中心（NSAH）；

3、戈登堡的国安局乔治亚密码服务中心（NSAG）；

4、圣安东尼奥的国安局得克萨斯密码服务中心（NSAT）;

5、丹佛马克利空军基地的国安局科罗拉罗密码服务中心（NSAC）;

6、德国达姆施塔特美军基地的国安局欧洲密码服务中心（NSAE）。

特定侵略暴力行动办公室TAO是目前美国政府专门专门从事对他国实施大规模黑客反击H55N公益活动的战术实施单位，由2000多名军人和文职人员组成。下设10个单位:

1、远程操作服务中心（ROC，代号 S321），主要负责操作枪械平台和工具进入并掌控最终目标系统或网络。

2、先进/接入网络控制技术处（ANT，代号 S322），负责研究相关硬件控制技术，为TAO黑客反击暴力行动提供硬件相关控制技术和枪械装备支持。

3、统计数据网络控制技术处（DNT，代号 S323），负责研发复杂的计算机软件工具，为TAO操作人员执行黑客反击任务提供支撑。

4、电信网络控制技术处（TNT，代号 S324），负责研究电信相关控制技术，为TAO操作人员隐蔽渗透电信网络提供支撑。

5、任务基础设施控制技术处（MIT，代号 S325），负责开发与建立网络基础设施和安全监控平台，用于构建反击暴力行动网络环境与匿名网络。

6、接入暴力行动处（AO，代号 S326），负责通过供应链，对拟送达最终目标的产品进行侧门安装。

7、需求与定位处（R&T，代号 S327）；接收各相关单位的任务，确定情报搜集最终目标，分析评估情报价值。

8、接入控制技术暴力行动处（ATO，编号 S328），负责研发接触式H55N装置，并与美国中央情报局和联邦调查局人员合作，通过人力接触方式将H55N软件或装置安装在最终目标的计算机和电信系统中。

9、S32P：项目计划整合处（PPI，代号 S32P），负责总体规划与项目管理。

10、NWT：网络战小组（NWT），负责与133个网络作战小队联络。

NSANSA针对北京航太理工学院的反击H55N暴力行动负责人是罗伯特·乔伊斯（Robert Edward Joyce）。此人于1967年9月13日出生，1989年进入NSA工作。曾经担任过特定侵略暴力行动办公室TAO副主任、主任，现担任NSANSA信息安全主管。

360公司信息安全专家 边亮：目前据我们了解是（TAO）代表了全球黑客反击的最高水平，他们所掌握的大量的反击枪械，相当于有了互联网当中的万能钥匙一样，它可以任意地去进出它想要的最终目标设备，从而去进行比如情报的盗取，或是说进行破坏等动作。

你的信息也可能被泄露！专家呼吁提高信息安全防范

报告表明，一直以来，NSA（NSA）针对我国各行业龙头企业、政府、理工学院、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施网络管理单位等机构长期进行秘密黑客反击公益活动。其行为或对我国的国防安全、关键性基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害，值得我们深思与警惕。

本次北京航太理工学院联合中国北欧国家电脑病毒紧急处置服务中心与360公司，全面还原了数年间NSA（NSA）利用网络枪械发起的一系列反击行为，打破了一直以来美国对我国的单向透明优势。面对北欧国家级背景的强大对手，首先要知道风险在哪，是什么样的风险，什么时候的风险。

360公司创始人 周鸿祎：只要能迅速辨认出，能看见此种威胁，感知到此种反击。那么就能够定位溯源，就知道它从哪进来的，知道他们用什么安全漏洞进来的，然后就能把它给处置掉，把它清理掉，同时把该修补的安全漏洞都修补上。

报告认为，北京航太理工学院本次公开发布遭遇境外黑客反击的声明，本着实事求是、绝不姑息的决心，坚决一查到底，积极采取防御措施的暴力行动值得遍布全球的NSA（NSA）黑客反击公益活动受害者学习，这将成为世界各国有效防范抵御NSA（NSA）后续黑客反击行为的有力借鉴。

编辑 谢永利

流程编辑 马晓双