美国网络攻击西工大另一图谋曝光 背后内幕令人震惊
简介:据人民日报消息,2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑
【菜叶百科解读】
据人民日报消息,2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本,西安警方已对此正式立案调查。
中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、东南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自于美国国家安全局(NSA)的“特定入侵行动办公室”(即:Office of Tailored Access Operation,后文简称“TAO”)。
本系列研究报告将公布TAO对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。
一、TAO攻击渗透西北工业大学的流程
TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
(一)单点突破、级联渗透,控制西北工业大学网络
经过长期的精心准备,TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。利用木马级联控制渗透的方式,向西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权,窃取身份验证数据,并进一步实施渗透拓展,最终达成了对西北工业大学内部网络的隐蔽控制。
(二)隐蔽驻留、“合法”监控,窃取核心运维数据
TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。
(三)搜集身份验证数据、构建通道,渗透基础设施
TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。
(四)控制重要业务系统,实施用户数据窃取
TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
二、窃取西北工业大学和中国运营商敏感信息
(一)窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据
TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”,长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。
遭到嗅探的网络设备类型包括固定互联网的接入网设备(路由器、认证服务器等)、核心网设备(核心路由器、交换机、防火墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),内容包括账号、口令、设备配置、网络配置等信息。
1、窃取西工大核心网络设备账号口令及配置信息
北京时间20××年12月11日6时52分,TAO以位于日本京都大学的代理服务器(IP:130.54.××.××)为攻击跳板,非法入侵了西北工业大学运维网络的“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件,然后清痕退出。窃取数据包括路由器、核心网设备(核心路由器、交换机、防火墙)管理账号、口令、设备配置、网络配置等信息。
2、多次窃取接入网认证设备账号口令及配置信息
声明:本文内容仅代表作者个人观点,与本站立场无关。如有内容侵犯您的合法权益,请及时与我们联系,我们将第一时间安排处理
- 戴森推出系列创新科技,更智能、高效地打造洁净健康的家居环境
[2023年5月23日,中国]近日,戴森在全球范围内重磅发布了数款全新产品,它们将结合戴森在自动化、先进软件和智能方面...
资讯 2023-05-23 19:35:42 - 已完结小说排行榜前十
随着教育水平的提升和网络科技的发展,网络小说也是越出越多,各种精品小说层出不穷,受到了非常多读者的喜爱...
热点 2023-05-23 18:11:37 - 英足总展开调查,曼城球迷冲入球场事件引关注
英超联赛结束后,曼城球迷的庆祝活动引起了英格兰足球总会(英足总)的关注。据The Athletic报道,英足总将对曼城...
体育新闻 2023-05-23 13:58:51 - 清华女参加选美大赛获冠军引质疑 本人回应
5月20日,从云南大理第72届世界小姐选美大赛传来消息,清华大学女生洪昊昀获得中国区最强人气冠军和东部赛区冠军...
热点 2023-05-23 05:04:59 - 哈兰德调侃父亲:我比他多赢一个英超冠军,值得写在简历上!
曼城在22/23赛季英超联赛中夺得冠军,这个消息让球队的年轻前锋哈兰德格外开心。在接受采访时,他开玩笑地调侃了...
体育新闻 2023-05-23 03:48:39 - 《爱情公寓5》终于承认抄袭!剧方导演一起道歉,网友却不买账
今天,一个“爱情公寓十年青春”的话题上了热搜,《爱情公寓》从一部开始,就伴随着热度和争议,不管怎么样,...
热点 2023-05-22 06:24:15 - 张柏芝古装电影回眸一笑(张柏芝早期经典电影)
张柏芝从小学毕业就被送往澳洲读书,后来在十七岁的时候回到香港准备从事护士行业,结果被星探发掘接下了不少...
热点 2023-05-22 03:24:06 - 曼联与佩利斯特里商谈续约至2028年,外租边锋阿马德渴望一线队机会
曼联积极与佩利斯特里商谈续约,目标是将他留在球队至2028年。据意大利记者罗马诺的透露,曼联正在与乌拉圭边锋...
体育新闻 2023-05-22 01:40:39 - 议程大曝光,GOTC 2023 解密 AI 编程
全球开源技术峰会(Global Open-source Technology Conference,简称 GOTC)是由开放原子开源基金会、上海浦东软件园、Linux 基金会...
资讯 2023-05-21 17:17:13 - 历史上真实的故事有意思(历史上真实存在的四个人)
这几个人在历史上是真实存在的,但是大部分人都以为是小说虚构出来的! 一是水浒传里的宋江,宋江(1073年-1124年...
热点 2023-05-21 10:19:28