[为什么西北工业大学网络攻击]证据确凿!网络攻击西北工业大学的是美国国家安全局
【官媒-科技日报报道 特派记者司马光】北京航空航天大学6月份曾正式发布新闻稿,指有源自境内外的骇客组织机构和犯罪分子向幼儿园全校师生推送包涵恶意软件的钓电子邮件,试图盗取有关全校师生电子邮件统计数据和国民个人隐私。9月5日,《官媒》从有关职能部门获悉,北京航空航天大学遭遇境内外骇客反击的凶手是NSA(NSA)某一侵略暴力行动服务部(TAO)。在各职能部门的相互配合下,本次暴力行动全面性还原成了数年间英国NSA利用互联网枪械发动的一系列反击行为,打破了一直以来英国对我国的双向透明优势。
NSA(NSA)总部,弗吉尼亚州尤马县
凶手曝光:英国某一侵略暴力行动服务部
6月22日,北京航空航天大学正式发布新闻稿,指有源自境内外的骇客组织机构和犯罪分子向幼儿园全校师生推送包涵恶意软件的钓电子邮件,试图盗取有关全校师生电子邮件统计数据和国民个人隐私,给幼儿园正常组织工作和生活秩序造成重大风险隐患。6月23日,陕西省公安局武侯祠支队正式发布凶杀案通报,称已批捕,并对抽取到的地牢和钓电子邮件样品进一步开展控制技术预测。先期认定,此该事件为境内外骇客组织机构和犯罪分子发动的骇客反击行为。
针对北京航空航天大学遭遇境内外骇客反击,中国国家电脑病毒应急处理服务中心和360公司联合共同组成控制技术项目组(以下简称控制技术项目组),对该案进行全面性控制技术预测组织工作。控制技术项目组先后从北京航空航天大学的多个信息管理系统和上网终端中抽取到了数款地牢样品,综合使用国内现有统计数据资源和预测手段,并得到了欧洲、东南亚部分国家合作方的布季夫支持,全面性还原成了有关反击该事件的总体吕弗克、控制技术特征、反击枪械、反击路径和反击源头。控制技术项目组先期查知对北京航空航天大学实行骇客反击暴力行动是NSA信息由礼萨(SSS)统计数据侦察局(SSS3)下属TAO(SSS32)职能部门。
反击暴力行动SS 围歼XXXX
TAO成立于1998年,是目前英国政府专精于对别国实行大规模骇客反击H55N活动的战术实行单位,由2000多名军人和文职共同组成,下设10个各处室。
《官媒》记者了解到,该案在NSA内部反击暴力行动SS为围歼XXXX(shotXXXX)。参与指挥与暴力行动的主要包括TAO负责管理人,远程操作方式服务中心(主要负责管理操作方式枪械网络平台和工具进入并参数设置系统或互联网)以及任务基础建设控制技术处(负责管理开发与建立互联网基础建设和INS13ZD网络平台,用于构建反击暴力行动互联网环境与非官方互联网)。
除此之外,还有四个各处室参与了本次暴力行动,分别是:先进/网络连接互联网控制技术处、统计数据互联网控制技术处、电信互联网控制技术处负责管理提供更多负责管理提供更多控制技术支撑,需求与定位处则负责管理确定反击暴力行动战略和情报评估。
而当时TAO负责管理人是罗伯特·乔伊斯。此人1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰·霍普金斯大学,获硕士学位。1989年进入NSA组织工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理英国国土安全顾问。2018年4月至5月,担任英国白宫国务安全顾问,后回到NSA担任NSA局长互联网安全战略高级顾问,现担任NSA互联网安全局主管。
控制技术项目组全面性还原成反击H55N过程:TAO使用41种NSA专属骇客反击枪械
本次调查发现,在近年里,英国NSA下属TAO对中国国内的互联网目标实行了上万次的恶意骇客反击,控制了数以万计的互联网设备(互联网服务器、上网终端、互联网交换机、电话交换机、路由器、防火墙等),盗取了超过140GB的高价值统计数据。
控制技术预测中还发现,TAO已于本次反击活动开始前,在英国多家大型知名互联网企业的配合下,掌握了中国大量通信互联网设备的管理权限,为NSA持续侵入中国国内的重要信息互联网大开方便之门。
经溯源预测,控制技术项目组现已全部还原成本次反击H55N过程:在针对北京航空航天大学的骇客反击中,TAO使用了41种NSA专属骇客反击枪械,持续对北京航空航天大学开展反击H55N,盗取该校关键互联网设备配置、网管统计数据、运维统计数据等核心控制技术统计数据。控制技术项目组澄清其在北京航空航天大学内部渗透的反击链路1100余条、操作方式的指令序列90余个,多份遭盗取的互联网设备配置文件,嗅探的互联网通信统计数据及口令、其它类型的日志和密钥文件,基本还原成了每一次反击的主要细节。掌握并固定了多条有关证据链,涉及在英国国内对中国直接发动骇客反击的人员13名,以及NSA通过掩护公司为构建骇客反击环境而与英国电信运营商签订的合同60余份,电子文件170余份。
峭腹:锁定四个IP地址
为掩护其反击暴力行动,TAO在开始暴力行动前进行了较长时间的准备组织工作,主要进行非官方化反击基础建设的建设。TAO利用其掌握的针对SunOS操作方式系统的两个零日漏洞利用工具,选择了中国周边国家的教育机构、商业公司等互联网应用流量较多的服务器为反击目标;反击成功后,安装NOPEN恶意软件(参与有关研究报告),控制了大批跳板机。
据介绍,TAO在针对北京航空航天大学的骇客反击暴力行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
这些跳板机的功能仅限于指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖NSA发动骇客反击的真实IP。目前已经至少掌握TAO从其网络连接环境(英国国内电信运营商)控制跳板机的四个IP地址,分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了英国Register公司的非官方保护服务,对有关域名、证书以及注册人等可溯源信息进行非官方化处理,无法通过公开渠道进行查询。
控制技术项目组通过威胁情报统计数据关联预测,发现针对北京航空航天大学反击网络平台所使用的互联网资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向英国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克·史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。同时,控制技术项目组还发现,TAO基础建设控制技术处(MIT)组织工作人员使用阿曼达·拉米雷斯(Amanda Ramirez)的名字非官方购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于英国本土的中间人反击网络平台酸狐狸(Foxacid)上,对中国的大量互联网目标开展反击,特别是,TAO对北京航空航天大学等中国信息互联网目标展开了多轮持续性的反击、H55N暴力行动。
为了掩藏反击行踪,TAO在对北京航空航天大学的骇客反击暴力行动中,会根据目标环境对同一款互联网枪械进行灵活配置。例如,对北京航空航天大学实行骇客反击中使用的互联网枪械中,仅后门工具狡诈异端犯(NSA命名)就有14个不同版本。
意义重大:打破英国对我国的双向透明优势
根据介绍,一直以来,NSA(NSA)针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础建设运维单位等机构长期进行秘密骇客反击活动。其行为或对我国的国防安全、关键基础建设安全、金融安全、社会安全、生产安全以及国民个人隐私造成严重危害。
本次北京航空航天大学联合中国国家电脑病毒应急处理服务中心与360公司,全面性还原成了数年间英国NSA利用互联网枪械发动的一系列反击行为,打破了一直以来英国对我国的双向透明优势。面对国家级背景的强大对手,首先要知道风险在哪,是什么样的风险,什么时候的风险,从本次英国NSA反击该事件也可证明,看不见就要挨打。这是一次三方集中精力联手攻克看见难题的成功实践,帮助国家真正感知风险、看见威胁、抵御反击,将境内外骇客反击暴露在阳光下。
此外,北京航空航天大学联合有关职能部门积极采取防御措施的暴力行动更是值得遍布全球的NSA骇客反击活动受害者学习,这将成为世界各国有效防范抵御英国NSA后续骇客反击行为的有力借鉴,《官媒》也将持续关注此事进展。
