文章引自：360公司，报告分两部分，文中是首篇。次篇预计在2022年9月27日后推出。

西北工业大学日前发布了一则关于被境外网络攻击的声明，并表示此事由陕西西安市碑林公安分局所辖单位在2022年6月22日时发现并处理。

中国国家计算机病毒应急处理中心以及360公司成立技术团队第一时间参与调查工作。团队运用国内现有的数据资源和分析手段，并得到欧洲、南亚部分国家的合作支持全面还原了攻击事件的总体概貌、技术特征、攻击武器、攻击路径和源头，初步认定相关攻击活动来自美国国家安全局“特定入侵行动办公室”。

该系列报告将公布美国国家安全局(NSA)“信号特定入侵行动办公室”(TAO)在对西北工业大学进行上千次网络攻击中执行的某些特别关键行动的重要细节，供全球各国防范和识别后续TAO的网络攻击行为提供有益参考案例。

袭击事件概述

根据分析，在美国国家安全局(NSA) “特定入侵行动办公室”(TAO) 的参与下，过去数年间，该组织对中国的网络目标进行了超过一万次的恶意网络攻击，并控制了相关网络设备，例如服务器、上网终端、交换机、电话交换机和路由器。此外，NSA利用其控制下的网络攻击武器平台、“零日漏洞”（0-day）以及各种设备，对中国手机用户进行大规模的无差别语音监听，非法获取短信内容并实施无线定位。技术团队通过复杂的分析与溯源工作，现已澄清了NSA在这些攻击活动中的资源使用、专用装备和具体手段，并还原了整个网络攻击过程及窃取的文件证据链。

该组织的简要情况

根据技术分析与网络追踪调查，此次黑客攻击行动隶属于美国国家安全局（NSA）情报部的一个小分队（代号S），该分队负责执行特殊信息搜集任务，他们通过美国国家安全局的密码中心进行部署实施。

截至目前已经公布六组密码中心。

1. 位于美国马里兰州的国家安全局总部； 2. 瓦胡岛的国家安全局夏威夷密码中心，即NSAH；3. 德国戈登堡的国家安全局乔治亚密码中心，即NSAG；4. 西达·芬奇国际机场的国家安全局德克萨斯密码中心，即NSAT；5. 位于科罗拉多州丹佛的国家安全局马克利空军基地的密码中心；6. 波兰波兹南的国家安全局欧洲密码中心。

Tao是由约2,000名军人与文职人员组成的美军专门执行对其他国家进行大规模网络攻击以收集情报的行动军种。

第一处: 代表“远程操作中心”或称作“ROC”，其代号为S321。

主要负责执行武器平台与工具的使用以及对其目的对象系统的访问和管理。

第二部分：先进接入网络技术室 (ANT室) 或者也叫 S322 室。

负责研究与该领域相关的硬件技术，以便向TAO的网络攻击行动提供必要的硬件技术以及所需装备。

第三处是DNT部门的简称，其代号为S323。

为协助TAO的操作员完成网络攻击任务，我们专注于研发和实施复杂的计算机软件工具。

第4部分：电信网络技术部门（TNT，代码为S324）。

承担电信领域技术研发任务，以保障TAO团队的网络安全通信支持。

第五项: 任务基础设施技术部门（MIT, 称S325）。

主要任务是开发并建立以网络基础设施为基础的安全监控平台，以构建攻击行动的环境以及实现匿名网络的搭建。

第六个地方：介入行动部（AO，编号S326）

负责在供应链中安装目的地的货物。

第七地点：需求定位区域(R&T, 简称S327)

负责收到各个单位所分配的任务，并据此确定侦测的特定目标；并对收集到的情报进行详细的分析和评估。

第八处：接入技术行动处（ATO，编号S328）

负责开发接触式间谍工具，并与美国中央情报局及联邦调查局进行交流，利用人力渠道将恶意软件植入目标电脑和通信网络中。

项目整合处理部（PPI），简称S32P，位于项目的计划层面。

负责总体规划和项目管理。

NWT是网络战小组的简称。

要与133个小分队进行网络战斗的联络工作。

关于TAO组织的具体结构以及参与对抗“XXX”的行动的TAO分支部门，这里没有提供详细的信息

这一案件被命名为“击XXXX”行动（shot XXXX）。该行动计划在NSA内部执行，由特定团队或小组进行具体指导；这些团队包括： S325负责构建侦察环境，租借资源；S327则制定战略和评估情报信息； S321负责组织攻击侦察任务；S324提供技术支持；S322负责技术支撑。可以肯定的是，在该行动中，直接参与指挥与执行的人员有： S325和S321单位。

NSA窃密期间的TAO负责人是罗伯特·乔伊斯(Robert Edward Joyce)，他出生于1967年9月13日，并毕业于汉尼拔高中，后于克拉克森大学和约翰·霍普金斯大学获得学士及硕士学位。1989年开始在国家安全局工作，并担任过TAO副主任，在2013年至2017年担任主任。自2017年10月起，他开始代理美国国土安全顾问，之后又于2018年4月至5月出任美国白宫国务安全顾问，并回到NSA担任网络安全局高级顾问，目前仍在任。

罗伯特•乔伊斯（Robert E. Joyce）

TAO的前任主任已经转任至现在的安全网络部门的主管。私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596

TAO网络攻击的现实情况

美国国家安全局的Tao部门的S325单位通过层层隐蔽建立了由49个跳板机和5台代理服务器组成的匿名网络,购买了专门的网络资源搭建了攻击平台。S321单位使用了40余种不同类型的NSA专用网络攻击武器,持续对我国展开大规模侵袭窃密,窃取了关键信息网络设备配置、网管数据运维数据等核心敏感数据,这种破坏行为历时很久涉及的范围很广。技术分析中发现Tao部门在此次行动开始前通过配合大型知名互联网企业已经掌握了大量中国通信网络设备的管理权限,使得NSA持续侵入中国重要信息网络变得非常轻松。

经溯源分析后，团队已完全还原了国家安全局的攻击窃密过程，确认了该机构西北工业大学内部渗透的全过程共有1100多条操作指令序列、90余个重要的控制命令以及数百个配置文件、网络通信数据以及各种日志和密钥文件。掌握了大量关键证据链，包括美国在国内外对中国的直接网络袭击活动所使用到的人员名单共计有13人，其中与电信运营商签订合同建立网络攻击环境的合作协议也达60余份。同时搜集了大量的电子文档资料共170余份。

NSA攻击网络的构建

经技术团队研究发现美国国家安全局的TAO部门对西北工业大学的网络攻击行动利用了49台跳板机。这些跳板机全部精心选择并且都隶属于非“五眼联盟”的国家，包括日本和韩国等，占到了70%的比例。

TAO利用掌握的针对SunOS操作系统的两个“零日漏洞”利用工具（已提取样本），该工具分别名为EXTREMEPARR（已由美国国家安全局（NSA）以NSA命名）和EBBISLAND（已由美国国家安全局（NSA）以NSA命名），选择了中国周边地区的教育机构、商业公司等网络应用流量较多的服务器为目标。攻击成功后，安装了NOPEN后门，以此控制了大量的跳板机。

美国国家安全局（NSA）

针对西北工业大学进行网络攻击。

这次窃取行动所涉及的服务器共有 49个，每个跳板机只负责执行中间任务，它们把上一个跳板的指示发送给目标系统的网络环境，以此来掩藏美国国家安全局发起网络袭击的准确来源地址。

目前已经了解到TAO攻击的实施者是如何通过其接入网络(美国境内的电信运营商)操控跳板机的。

209.59.36.

这个IP地址为：69.165.54.

这是用于IPv4的IP地址 207.195.240.

209.118.143.

Tao Infrastructure Technology处（MIT）团队使用匿名购买的域名与SSL证书构建了一个中间人攻击平台，位于美国本土的“酸狐狸”上，对中国境内大量目标发起攻击。特别值得注意的是，在上述平台上进行部署的域名和证书，被用于对西北工业大学等中国信息网络实施了多轮持续性的攻击以及窃密活动。

美国国家安全局NSA用来确保自己身份隐藏的注册公司是美国Register公司，该公司提供的匿名保护服务没有任何可追踪的信息，也不与任何人有直接或间接的联系。

TAO隐藏了其攻击源地，并为了保护该工具的安全性，给需长期在网络中驻留的攻击平台提供服务，以掩饰公司的真实身份。

对于西北工业大学使用攻击平台时利用的网络资源而言，涉及到共5台代理服务器。该机构在寻求协助方面采取了两种策略：首先通过两家掩护公司获得美国泰瑞马克（Terremark）公司在埃及、荷兰和哥伦比亚等地区的IP地址，并租用相应的服务器。

这两家公司分别为杰克·史密斯咨询公司（Jackson Smith Consultants）、穆勒多元系统公司（Mueller Diversified Systems）。

关于TAO的装备评估

技术分析显示，TAO利用了至少41种用于NSA的专用网络攻击工具，在分布于日本、韩国、瑞典、波兰和乌克兰等国的总计有50台跳板机以及5台代理服务器上对西北工业大学发起数次上千次的网络窃密行动。

美国国家安全局TAO部署的网络安全攻击设备针对性极强，并得到了全球顶级互联网巨头公司的全力支持。这些装备能够根据特定目标环境灵活配置，并在总共41种可用武器中，至少有14款专门用于对西北工业大学网络设施发动攻击。“狡诈异端犯”是其中的一款后门工具，在对西北工业大学的网络攻击中就被安装了14个不同版本。NSA使用的装备主要分为四大类：

（一） 漏洞攻击 获胜 一类 武器

TAO利用这些类型的武器在西北工业大学周边进行边界网络设备、网关服务器以及办公室内部网络的操作系统进行攻击破坏，并且被用于远程操作跳板机，构建匿名网络。这类的攻击工具一共有三种。

“剃须刀”。

这是一款适用于特定的Open RPC服务环境的武器，它能对在X86和SPARC架构上运行的Solaris系统发起远程溢出攻击。进行攻击时，它可以自动识别并选择合适的利用漏洞代码版本，以便轻松获得目标主机的完全控制权。

该武器专为对付位于日本和韩国等国的跳板机而设计，这些跳板机通常会被用来攻击中国人民解放军西北工业大学的网络安全设施。

“孤立的岛屿”

此技术也可用于攻陷运行了制定RPC(Remote Procedure Call)服务的 Solaris 系统，通过远程溢出攻击获取全权控制权。

相比于“剃须刀”这款工具，“自动导航仪”的区别在于其不具有自行评估和判断攻击目标能力，必须由用户进行人工选择要干扰的受攻击的服务。

NSA使用这款技术手段攻击西北工业大学的内部网络服务器

"酸狐狸"武器系统

该平台部署于哥斯达黎加，可供与“第二次接触”间谍软件配合使用，并能根据需要进行配置以利用IE、火狐(Firefox)、Safari、Android Webkit等多款主流浏览器的漏洞展开远程溢出攻击，从而获取目标系统的控制权。

TAO利用这个武器平台来针对西北工业大学的内部网络发起突破性的攻击。

持续性的操纵类武器

通过这些设备和武器，TOA可对西北工业大学网络进行隐秘而持久的监控。在需要的时候，TOA员工可以通过加密线路向其中发送命令来控制这些装备并实施渗透、控制以及盗窃等行动。这些私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596装备共分五类。

“第二次的约会”

该武器常驻于网络安全边界设施中，包括网关服务器和边界路由器等，能够精确拦截并自动实施对海量数据流的过滤控制，具备中间人攻击的功能。

TAO将该武器安装在西北工业大学边界设备上，以拦截并引导通过这些设备的流量流向“酸狐狸”平台，对目标进行渗透测试。

2.“NOPEN”木马

这是一款兼容各种操作系统的恶意软件，它可以控制被攻击者的计算机，同时可以通过加密隧道接收并执行用户的命令，还可以执行诸如文件管理和进程管理之类的多种操作，同时具有权限提升以及持续存在的能力。

通过Tao，该攻击者试图对该西北工业大学网络安全内部的核心服务与关键网络资产进行持续的控制。

"怒气迸发"

此款软件是一款基于Windows操作系统的支持各种操作系统及异构架构的控制型特洛伊木马工具。用户可以根据自身的系统运行情况在不破坏原机功能的基础上定制出多种不同的服务端，并且每个服务端都内置了非常强大的抗分析和反调试技术，以保护其安全性。

Tao主要用它配合“酸狐狸”平台对西北工业大学办公网内部的个人主机进行持久化控制。

“诡计多端者”

这款工具是一个小型后门程序，安装之后会立即自我销毁，并拥有提权的功能，可以持续地驻留在目标机器上并和操作系统一同启动。

TAO通常利用此武器来确保长时间的存在，并能在恰当的机会下建立安全通道向NOPEN木马发送数据包，从而稳固其对西北工业大学信息网络的控制。

“坚忍外科医生”

这款武器是一种专为Linux、Solaris、JunOS、FreeBSD等多种类型的操作系统而设计的远程控制工具，它能够在目标主机上持久地运行，并根据用户的需求对指定文件或目录、进程进行隐藏操作。

TAO通过这一武器来掩盖“NOPEN”木马文件及进程，并使其不被追踪或察觉到。

TAO曾对西北工业大学使用了总共12种不同的黑客工具，包括其中的一种版本。

第三种是嗅探窃密类的武器。

通过这一类武器，TAO可以侦查到西北工业大学网络管理员在维护其内部系统时所使用的用户名与密码，并据此生成有关操作记录。TAO可能具备这两种类型武器，它们各自具有两种不同类型的特性或能力：

"喝茶"

这个工具可以驻留于任何32位和64位Solaris系统的环境中，在远程SSH、Telnet以及RLogin等网络连接过程中侦听进程间的通讯，从而能够捕获并提取多种远程登录方式中所暴露的账户密码。

Tao 主要采用此武器进行西北工业大学运维工种中账号口令、操作纪录以及日志资料的嗅探与监听，然后再进行加密处理并保存至云端服务器中供NOPEN木马系统下载使用。

“游击战士们”系列装备

这个系列的武器是一款专门开发用于控制运营商特定业务系统应用软件的应用程序，它会在获取到不同类型的网络控制设备后自动寻找合适的解码解决方案。

在对西北工业大学运营管道进行的网络攻击中，我们使用了三类针对通信公司的特制黑客工具：魔法学校的设备、小丑的食物以及咒语的火焰。

第四款隐蔽消痕类武器

Tao通过这些武器清除它在西北工业大学网内行动留下的印记，掩盖住其恶意的运营及间谍活动，并为这三类武器提供防护。

已知有1种类型此类武器存在于现实世界中。

“吐司面包”

此武器可用来查看、修改utmp、wtmp和lastlog等日志文件，以清理操作痕迹。

TAO会用它来删除和替代被控的西安电子科技大学网络设备上的一系列日志文件，并且伪装它的恶行。

TAO共尝试了三种不同的吐司面包对西北工业大学的网络攻击。

小结：总结

长期以来美国国家安全局（NSA）针对包括各行业龙头公司、政府机构、大学科研中心等在内的重要信息基础和关键设施的网络系统进行秘密的黑客攻击活动，其行径对我国国防安全、基础设施、金融安全乃至社会安全构成威胁。这些行为的严重后果值得我们深思并警惕。

这是西北工业大学与中国国家计算机病毒应急处理中心及360公司的又一次合作，他们成功还原了美国国家安全局（NSA）在过去数年间利用网络武器发起的一系列攻击行为。长期以来，美国对中国采取的单向透明策略被揭穿，暴露了我们国家面临的重大风险和威胁。因此，我们需要了解并预见潜在的威胁，提前做好防范措施。此事件显示了三方合作在攻破“看见”难题方面的巨大成果，并帮助我们真正认识到了风险、洞察到威胁，并在公开曝光攻击者方面取得了显著成就。

西北工业大学发表声明并表示对于近期遭受的境外网络攻击高度重视，在学校和国家利益、社会公众利益以及师生安全面前绝不姑息，并决心一查到底。该校积极采取措施回应这一威胁，值得全球其他国家学习其做法。此等行动有助于防止更多类似事件的发生，为各国有效防范及抵御美国NSA后续网络攻击提供宝贵借鉴。