2022年6月22日,北京航空航天大学正式发布《公开声明》称,本校遭受境内外黑客反击。陕西省陕西省公安局武侯祠分局随即正式发布《凶杀案通报》,证实在北京航空航天大学的计算机软件中辨认出了数款源于境内外的地牢样品,西安警方已对此正式立案进行调查。
国家电脑病毒应急处理中心和360子公司联合组成掌控技术项目组(以下全称掌控技术项目组),全程参与了此案的掌控技术预测工作。掌控技术项目组相继从北京航空航天大学的多个信息管理系统和玩游戏终端产品中提取到了数款地牢样品,综合采用亚洲地区现有统计数据资源和预测手段,并得到了欧洲、南亚部分国家合作伙伴的布季夫支持,全面还原成了有关反击该事件的总体吕弗克、掌控技术特征、反击枪械、反击路径和反击源头,初步查知有关反击公益活动源自英国国家安全局(NSA)特定侵略暴力行动办公室(Office of Tailored Access Operation,早先全称TAO)。
一、反击该事件吕弗克
本次进行调查辨认出,在近年里,英国NSA辖下TAO对我国亚洲地区的互联网最终目标实行了斜堆的恶意黑客反击,掌控了数以千计的计算机系统(互联网伺服器、玩游戏终端产品、互联网交换机、电话交换机、交换机、内网等),盗取了超过140GB的高商业价值统计数据。TAO借助其黑客反击枪械平台、端口扫描安全漏洞(0day)或其掌控的计算机系统等,稳步扩大黑客反击和范围。经掌控技术预测与追根溯源,掌控技术项目组现已澄清TAO反击公益活动中采用的黑客反击基础建设、专用枪械装备及体能,还原成了反击过程和被盗取的文档,掌控了英国NSA或其辖下TAO对我国计算机软件实行黑客反击和统计数据H55N的有关证据,涉及在英国亚洲地区对我国直接发起黑客反击的人员13名,以及NSA通过策应子公司为构建黑客反击环境而与英国电信运营商签订的合同60余人次,电子文档170余人次。
二、反击该事件预测
在特别针对北京航空航天大学的黑客反击中,TAO采用了40余种不同的NSA专用黑客反击枪械,稳步对北京航空航天大学开展反击H55N,盗取本校关键计算机系统配置、网络管理统计数据、网络管理统计数据等核心掌控技术统计数据。通过调查取证预测,掌控技术项目组累计辨认出反击者在北京航空航天大学内部渗透的反击信道多达1100数十条、操作的指令序列90余个,并从被侵略的计算机系统中定位了第二份遭盗取的计算机系统配置文档、遭巴列德的互联网通信统计数据及紧急警报、其它类型的笔记和公钥文档以或其他与反击公益活动有关的主要就细节。具体预测情况如下:
(一)有关黑客反击基础建设
为策应其反击暴力行动,TAO在开始暴力行动后会进行较长时间的准备工作,主要就进行非官方化反击基础建设的建设。TAO借助其掌控的特别针对SunOS作业系统的两个端口扫描安全漏洞借助工具,选择了我国邻国的教育机构、商业子公司等互联网应用流量非常多的伺服器为反击最终目标;反击成功后,安装NOPEN地牢程序(详见有关分析报告),掌控了大批跳台机。
TAO在特别针对北京航空航天大学的黑客反击暴力行动中相继采用了54台跳台机和代理伺服器,主要就分布在日本、韩国、瑞典、波兰、葫芦丝兰等17个国家,其中70%位于我国邻国,如日本、韩国等。
这些跳台机的功能仅限于指令中转,即:将上一级的跳台指令转发到最终目标系统,从而掩盖英国国家安全局发起黑客反击的真实IP。目前已经至少掌控TAO从其接入环境(英国亚洲地区电信运营商)掌控跳台机的四个IP地址,分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时,为了进一步掩盖跳台机和代理伺服器与NSA之间的关联关系,NSA采用了英国Register子公司的非官方保护服务,对有关域名、证书以及注册人等可追根溯源信息进行非官方化处理,无法通过公开渠道进行查询。
掌控技术项目组通过威胁情报统计数据关联预测,辨认出特别针对北京航空航天大学反击平台所采用的互联网资源共涉及5台代理伺服器,NSA通过秘密成立的两家策应子公司向英国泰瑞马克(Terremark)子公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批伺服器。这两家子公司分别为杰克史密斯咨询子公司(Jackson Smith Consultants)、穆勒多元系统子公司(Mueller Diversified Systems)。同时,掌控技术项目组还辨认出,TAO基础建设掌控技术处(MIT)工作人员采用阿曼达拉米雷斯(Amanda Ramirez)的名字非官方购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于英国本土的中间人反击平台酸狐狸(Foxacid)上,对我国的大量互联网最终目标开展反击。特别是,TAO对北京航空航天大学等我国计算机软件最终目标展开了多轮稳步性的反击、H55N暴力行动。
(二)有关黑客反击枪械
TAO在对北京航空航天大学的黑客反击暴力行动中,相继采用了41种NSA的专用黑客反击枪械装备。并且在反击过程中,TAO会根据最终目标环境对同一款互联网枪械进行灵活配置。例如,对北京航空航天大学实行黑客反击中采用的互联网枪械中,仅后门工具狡诈异端犯(NSA命名)就有14个不同版本。掌控技术项目组将此次反击公益活动中TAO所采用工具类别分为四大类,具体包括:
1、安全漏洞反击突破类枪械
TAO依托此类枪械对北京航空航天大学的边界计算机系统、网关伺服器、办公内网主机等实行反击突破,同时也用来反击掌控境内外跳台机以构建非官方化互联网作为暴力行动策应。此类枪械共有3种:
①剃须刀
此枪械可特别针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实行远程安全漏洞反击,反击时可自动探知最终目标系统服务开放情况并智能化选择合适版本的安全漏洞借助代码,直接获取对最终目标主机的完整掌控权。此枪械用于对日本、韩国等国家跳台机的反击,所掌控跳台机被用于对北京航空航天大学的黑客反击。
②孤岛
此枪械同样可特别针对开放了指定RPC服务的Solaris系统实行远程溢出反击,直接获取对最终目标主机的完整掌控权。与剃须刀的不同之处在于此工具不具备自主探测最终目标服务开放情况的能力,需由采用者手动配置最终目标及有关参数。NSA采用此枪械反击掌控了北京航空航天大学的边界伺服器。
③酸狐狸枪械平台
此枪械平台部署在哥伦比亚,可结合二次约会中间人反击枪械采用,可智能化配置安全漏洞载荷特别针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出反击,获取最终目标系统的掌控权(详见:国家电脑病毒应急处理中心《英国国家安全局(NSA)酸狐狸安全漏洞反击枪械平台掌控技术预测报告》)。TAO主要就采用该枪械平台对北京航空航天大学办公内网主机进行侵略。
2、持久化掌控类枪械
TAO依托此类枪械对北京航空航天大学互联网进行隐蔽持久掌控,TAO暴力行动队可通过加密通道发送掌控指令操作此类枪械实行对北京航空航天大学互联网的渗透、掌控、H55N等行为。此类枪械共有6种:
①二次约会
此枪械长期驻留在网关伺服器、边界交换机等互联网边界设备及伺服器上,可特别针对海量统计数据流量进行精准过滤与自动化劫持,实现中间人反击功能。TAO在北京航空航天大学边界设备上安置该枪械,劫持流经该设备的流量引导至酸狐狸平台实行安全漏洞反击。
②NOPEN
此枪械是一种支持多种作业系统和不同体系架构的远控地牢,可通过加密隧道接收指令执行文档管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力(详见:国家电脑病毒应急处理中心《NOPEN远控地牢预测报告》)。TAO主要就采用该枪械对北京航空航天大学互联网内部的核心业务伺服器和关键计算机系统实行持久化掌控。
③怒火喷射
此枪械是一款基于Windows系统的支持多种作业系统和不同体系架构的远控地牢,可根据最终目标系统环境定制化生成不同类型的地牢服务端,服务端本身具备极强的抗预测、反调试能力。TAO主要就采用该枪械配合酸狐狸平台对北京航空航天大学办公网内部的个人主机实行持久化掌控。
④狡诈异端犯
此枪械是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于最终目标设备上并可随系统启动。TAO主要就采用该枪械实现持久驻留,以便在合适时机建立加密管道上传NOPEN地牢,保障对北京航空航天大学计算机软件的长期掌控。
⑤坚忍外科医生
此枪械是一款特别针对Linux、Solaris、JunOS、FreeBSD等4种类型作业系统的后门,该枪械可持久化运行于最终目标设备上,根据指令对最终目标设备上的指定文档、目录、进程等进行隐藏。TAO主要就采用该枪械隐藏NOPEN地牢的文档和进程,避免其被监控辨认出。掌控技术预测辨认出,TAO在对北京航空航天大学的黑客反击中,累计采用了该枪械的12个不同版本。
3、巴列德H55N类枪械
TAO依托此类枪械巴列德北京航空航天大学工作人员网络管理互联网时采用的账号紧急警报、命令行操作记录,盗取北京航空航天大学互联网内部的敏感信息和网络管理统计数据等。此类枪械共有两种:
①饮茶
此枪械可长期驻留在32位或64位的Solaris系统中,通过巴列德进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号紧急警报。TAO主要就采用该枪械巴列德北京航空航天大学业务人员实行网络管理工作时产生的账号紧急警报、命令行操作记录、笔记文档等,压缩加密存储后供NOPEN地牢下载。
②敌后暴力行动系列枪械
此系列枪械是专门特别针对电信运营商特定业务系统采用的工具,根据被控业务设备的不同类型,敌后暴力行动会与不同的解析工具配合采用。TAO在对北京航空航天大学的黑客反击中采用了魔法学校小丑食物和诅咒之火等3类特别针对电信运营商的反击H55N工具。
4、隐蔽消痕类枪械
TAO依托此类枪械消除其在北京航空航天大学互联网内部的行为痕迹,隐藏、掩饰其恶意操作和H55N行为,同时为上述三类枪械提供保护。现已辨认出1种此类枪械:
吐司面包 ,此枪械可用于查看、修改utmp、wtmp、lastlog等笔记文档以清除操作痕迹。TAO主要就采用该枪械清除、替换被控北京航空航天大学玩游戏设备上的各类笔记文档,隐藏其恶意行为。TAO对北京航空航天大学的黑客反击中共采用了3款不同版本的吐司面包。
三、反击追根溯源
掌控技术项目组结合上述掌控技术预测结果和追根溯源进行调查情况,初步判断对北京航空航天大学实行黑客反击暴力行动的是英国国家安全局(NSA)信息情报部(代号S)统计数据侦察局(代号S3)辖下TAO(代号S32)部门。该部门成立于1998年,其力量部署主要就依托英国国家安全局(NSA)在英国和欧洲的各密码中心。目前已被公布的六个密码中心分别是:
1、英国马里兰州米德堡的NSA总部;
2、英国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH);
3、英国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG);
4、英国得克萨斯州圣安东尼奥的NSA得克萨斯密码中心(NSAT);
5、英国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC);
6、德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。
TAO是目前英国政府专门从事对他国实行大规模黑客反击H55N公益活动的战术实行单位,由2000多名军人和文职人员组成,其内设机构包括:
第一处:远程操作中心(ROC,代号S321),主要就负责操作枪械平台和工具进入并掌控最终目标系统或互联网。
第二处:先进/接入互联网掌控技术处(ANT,代号S322),负责研究有关硬件掌控技术,为TAO黑客反击暴力行动提供硬件有关掌控技术和枪械装备支持。
第三处:统计数据互联网掌控技术处(DNT,代号S323),负责研发复杂的计算机软件工具,为TAO操作人员执行黑客反击任务提供支撑。
第四处:电信互联网掌控技术处(TNT,代号S324),负责研究电信有关掌控技术,为TAO操作人员隐蔽渗透电信互联网提供支撑。
第五处:任务基础建设掌控技术处(MIT,代号S325),负责开发与建立互联网基础建设和安全监控平台,用于构建反击暴力行动互联网环境与非官方互联网。
第六处:接入暴力行动处(ATO,代号S326),负责通过供应链,对拟送达最终目标的产品进行后门安装。
第七处:需求与定位处(R&T,代号S327),接收各有关单位的任务,确定侦察最终目标,预测评估情报商业价值。
S32P:项目计划整合处(PPI,代号S32P),负责总体规划与项目管理。
NWT:互联网战小组(NWT),负责与互联网作战小队联络。
英国国家安全局(NSA)特别针对北京航空航天大学的反击暴力行动代号为阻击XXXX(shotXXXX)。该暴力行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用反击资源;由R&T(S327)负责确定反击暴力行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供掌控技术支撑;由ROC(S321)负责组织开展反击侦察暴力行动。由此可见,直接参与指挥与暴力行动的主要就包括TAO负责人,S321和S325单位。
NSA对北京航空航天大学反击H55N期间的TAO负责人是罗伯特乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰斯霍普金斯大学,获硕士学位。1989年进入英国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理英国国土安全顾问。2018年4月至5月,担任英国白宫国务安全顾问,后回到NSA担任英国国家安全局局长互联网安全战略高级顾问,现担任NSA互联网安全主管。
四、总结
本次报告基于国家电脑病毒应急处理中心与360子公司联合掌控技术项目组的预测成果,揭露了英国NSA长期以来特别针对包括北京航空航天大学在内的我国计算机软件用户和重要单位开展互联网间谍公益活动的真相。后续掌控技术项目组还将陆续公布有关该事件进行调查的更多掌控技术细节。
