证据确凿!西北工业大学遭网络攻击事件:源头系美国国家安全局
证据确凿:锁定四个IP地址
为掩护其攻击行动,TAO在开始行动前进行了较长时间的准备工作,主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序(参与有关研究报告),控制了大批跳板机。
据介绍,TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
这些跳板机的功能仅限于指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。
为了掩藏攻击行踪,TAO在对西北工业大学的网络攻击行动中,会根据目标环境对同一款网络武器进行灵活配置。例如,对西北工业大学实施网络攻击中使用的网络武器中,仅后门工具“狡诈异端犯”(NSA命名)就有14个不同版本。
意义重大:打破美国对我国的“单向透明”优势
根据介绍,一直以来,美国国家安全局(NSA)针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害。
此次西北工业大学联合中国国家计算机病毒应急处理中心与360公司,全面还原了数年间美国NSA利用网络武器发起的一系列攻击行为,打破了一直以来美国对我国的“单向透明”优势。面对国家级背景的强大对手,首先要知道风险在哪,是什么样的风险,什么时候的风险,从此次美国NSA攻击事件也可证明,看不见就要挨打。这是一次三方集中精力联手攻克“看见”难题的成功实践,帮助国家真正感知风险、看见威胁、抵御攻击,将境外黑客攻击暴露在阳光下。
此外,西北工业大学联合相关部门积极采取防御措施的行动更是值得遍布全球的NSA网络攻击活动受害者学习,这将成为世界各国有效防范抵御美国NSA后续网络攻击行为的有力借鉴,《环球时报》也将持续关注此事进展。
相关报道
西北工业大学遭网络攻击事件调查报告发布:网络攻击源头系美国国家安全局
西北工业大学遭美国NSA网络攻击事件调查报告(之一)
触目惊心!西北工业大学遭美国NSA网络攻击事件细节披露
