9月5日,北欧国家电脑病毒紧急处置服务中心正式发布《北京航空航天大学遭英国NSA黑客反击事件报告(之一)》。图/IC photo
9月5日,北欧国家电脑病毒紧急处置服务中心和360子公司分别正式发布了关于北京航空航天大学(全称北航)遭遇境外黑客反击的报告,先期查知反击公益活动源于NSA(NSA)某一侵略暴力行动服务部(Office of Tailored Access Operation,全称TAO)。
对此,中华人民共和国外交部发表声明姚贝娜5日在例会正式发布会上回答有关发问时则表示,美方举动危害我国北欧国家安全和公民个人网络安全。美方强烈抨击,要求美方作出解释并立即停止恶行。姚贝娜则表示,有关报告揭露出了英国政府对我国进行黑客反击的又一示例。
斜堆的蓄意黑客反击
今年4月,陕西省公安部门接到一起黑客反击的报案,北京航空航天大学的信息管理系统辨认出遭遇黑客反击的伤痕。
北欧国家电脑病毒紧急处置服务中心和360子公司联合组成控制技术项目组介入并不间断参与该案的控制技术情报搜集与预测工作。
经综合采用亚洲地区现有统计数据资源和控制技术预测手段,并得到譬如欧洲和东南亚北欧国家的布季夫支持,项目组全面还原成了反击事件的总体吕弗克、控制技术特征、反击武器、反击方向和反击根源,先期查知有关反击公益活动源于NSA(NSA)所辖某一侵略暴力行动服务部(TAO),TAO亦被称为获取某一情报部门暴力行动服务部。
项目组经过复杂的控制技术预测与追根溯源,最终还原成了北航遭遇黑客反击的过程和被盗取的文档,掌握了TAO对我国信息互联网实行黑客反击和统计数据H55N的有关证据。
公开资料显示,TAO先后采用41种专供黑客反击军事装备,对北航发动反击H55N暴力行动上百次,盗取了一批核心控制技术统计数据,涉及在英国亚洲地区对我国直接发动黑客反击的人员13 名,以及NSA通过策应子公司为构筑黑客反击环境而与英国电信公司电信公司公司签订的合同 60 余人次、电子文档 170余人次。
调查还辨认出,在近几年,TAO对我国亚洲地区的互联网目标实行了斜堆的蓄意黑客反击,控制了数以千计的互联网设备,包括:互联网伺服器、玩游戏终端产品、互联网交换机、电话交换机、交换机、内网等,盗取了超过140GB统计数据。
NSA总部。图/IC photo
起底TAO的历史
回顾历史,TAO成立于冷战时期。
1952年11月,根据时任总统杜鲁门的命令,NSA总部(NSA)成立。此机构隶属于英国国防部,是英国庞大情报部门系统的一个重要组成,专门负责收集和预测外国及本国通讯资料。
NSA继承了第二次世界大战中成功破译敌方密码的工作(英国军情八处)的职能,主要负责监听监视电台广播、通讯、互联网,尤其是军事和外交的秘密通讯,其长期与英国中央情报部门局(CIA)合作,是世界上单独雇佣最多数学博士和电脑专家的单位,总体控制技术侦查能力一流。
TAO作为NSA的互联网战情报部门收集单位,于1998年设立,主要工作是识别、监视、渗透和收集其他北欧国家的电脑系统中情报部门。该机构现名Computer Network Operations(计算机互联网运作),是目前英国政府专门从事对他国实行大规模黑客反击H55N公益活动的战术实行单位。
经过近30余年的运作,目前TAO已成为英国专门从事对目标国大规模黑客反击H55N公益活动的战术实行单位,项目组人数超过2000多人。
TAO拥有自己的小型秘密情报部门收集单位,被称为Access Technologies Operations Branch,其中包括由中央情报部门局(CIA)和联邦调查局(FBI)的借调人员,执行所谓的网外暴力行动。其力量部署主要依托NSA在英国和欧洲的密码服务中心,目前有六个密码服务中心被公布。
一切成谜背后的原因
TAO因长期向英国情报部门界提供一些绝密情报部门而享有盛名。这些情报部门涉及各种恐怖组织、外国政府针对英国的间谍公益活动、弹道导弹和全球大规模杀伤性武器的发展以及全球最新的政治、军事和经济信息等。
据《外交政策》杂志报道,关于TAO的一切都被列为最高机密。
TAO 隐藏在马里兰州米德堡NSA总部大楼内。对许多 NSA 员工来说,TAO 是一个谜。相对而言,很少有 NSA 官员能完全访问有关 TAO 的信息,因为它的暴力行动非常敏感,而且需要特殊的安全许可才能进入 TAO的办公地。通向这一机构服务中心的门禁由武装警卫保护,庞大的钢门只能通过在键盘中输入正确的六位数密码才能进入,还有一个视网膜扫描仪,以确保只有经过特别许可的人才能进入此门。
由于TAO很少对外公布暴力行动以及资料,使得外界对之知之甚少。但从一些评价可以看出,其所执行任务存在极强的特殊性甚至战略性。
2016年,NSA互联网安全主管乔伊斯曾在Usenix Enigma会议上公开露面解释称破解互联网目标的关键是找到薄弱环节。TAO被称为高级持续威胁是有原因的,我们会不停地尝试、试探,直到最终进入(目标)。
前 NSA 官员称,TAO 的任务很简单,它通过秘密侵入外国目标的计算机和电信公司系统、破解密码、破坏保护目标计算机的计算机安全系统、盗取存储在计算机硬盘驱动器上的统计数据,然后复制所有通过内部的消息和统计数据流量来收集有关外国目标的情报部门信息目标电子邮件和短信系统。
专门研究NSA的历史学家马休·艾德(Matthew M. Aid)在2013年6月在Forreign Policy发表针对NSA的主题评论文章Inside the NSAs Ultra-Secret China Hacking Group指称, TAO已成功渗透我国计算机和电信公司系统15 年,收集了诸多类型的信息。
当地时间2021年5月31日,德国柏林,法国总统马克龙和德国总理默克尔举行新闻正式发布会,则表示NSA利用丹麦情报部门部门对盟国领导人进行监听的做法不可接受,法德要求英国和丹麦就此作出解释。图/IC photo
此次事件对我国的启示
对北京航空航天大学的黑客反击与H55N是NSA主导实行的对华系列隐秘暴力行动的一环。英国多家大型知名互联网企业配合了这系列的反击,其将掌握的我国大量通信互联网设备管理权限,提供给了包括NSA在内的情报部门机构。这样看,这次反击是英国情报部门机构与大型子公司的合作结果,子公司为英国的黑客反击提供了便利。作为对我国的遏制手段,NSA还针对我国的手机用户进行了无差别的监听,盗取私人信息,严重威胁我国北欧国家安全和个人网络安全。
英国拥有众多的互联网控制技术类武器,对我国互联网基础设施已经构成了极大的威胁,且其黑客反击武器存在较高和复杂的控制技术性。这包含了复杂的后门工具、复杂的内部渗透反击链、漏洞反击突破类武器、持久化控制类武器等。
为了确保反击效果,TAO会实行较长期的准备,利用系统漏洞,以商业和流量较多的互联网作为反击目标,得手后即植入木马病毒,如此,就控制大量的跳板机。而为了实行隐蔽暴力行动和避免被追踪,TAO利用了54台跳板机和遍布全球的代理伺服器,主要分布在日本、韩国、瑞典和乌克兰,其中70%位于我国周边。
对此,我国有必要对标研究这次反击,根据其反击方向与方式总结规律,完善升级。尤其是涉军工类高校以及企业的互联网安全防御手段,需提高安全和风险意识,居安思危杜绝侥幸。黑客反击的风险无处不在、无时不在,我国高校以及子公司需要谨慎开展涉外互联网交流,加强局域网的安全防御级别、加强风险审查和互联网攻防能力建设。英国对华情报部门H55N与渗透已经实现了高度的公私合作,我国需要采取立体、全方位的反黑客反击因应,提高安全警惕,紧绷防御之弦。
此外,互联网安全需要社会的布季夫合作。提高社会对互联网安全的认知,更是反击美西方黑客反击的重要一环。
英国在互联网空间的霸权表现出极强的进攻性,美情报部门机构主导的互联网H55N和反击已成为全球互联网安全的威胁,是各国面临的共同挑战,而维护互联网安全是国际社会的共有责任。
特约撰稿人 / 王英良(复旦大学英国研究服务中心国际关系博士生)
编辑 / 李潇潇
校对 /陈荻雁
