• 瀏覽: 10,621
  • 回覆: 20
+3
中國國家計算機病毒應急處理中心網站9月27日發布西北工業大學遭美國NSA網絡攻擊事件調查報告(之二)。
2022年6月22日,西北工業大學發布《公開聲明》稱,該校遭受境外網絡攻擊。陝西省西安市公安局碑林分局隨即發布《警情通報》,證實在西北工業大學的信息網絡中發現了多款源于境外的木馬和惡意程序樣本,西安警方已對此正式立案調查。
中國國家計算機病毒應急處理中心和360公司全程參與了此案的技術分析工作。技術團隊先後從西北工業大學的多個信息系統和上網終端中提取到了木馬程序樣本,綜合使用國內現有數據資源和分析手段,並得到歐洲、東南亞部分國家合作夥伴的通力支持,全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關攻擊活動源自于美國國家安全局(NSA)的“特定入侵行動辦公室”(即:Office of Tailored Access Operation,后文簡稱“TAO”)。
本系列研究報告將公布TAO對西北工業大學發起的上千次網絡攻擊活動中,某些特定攻擊活動的重要細節,為全球各國有效發現和防範TAO的後續網絡攻擊行為提供可以借鑑的案例。
一、TAO攻擊滲透西北工業大學的流程
TAO對他國發起的網絡攻擊技戰術針對性強,採取半自動化攻擊流程,單點突破、逐步滲透、長期竊密。
(一)單點突破、級聯滲透,控制西北工業大學網絡
經過長期的精心準備,TAO使用“酸狐狸”平台對西北工業大學內部主機和服務器實施中間人劫持攻擊,部署“怒火噴射”遠程控制武器,控制多台關鍵服務器。利用木馬級聯控制滲透的方式,向西北工業大學內部網絡深度滲透,先後控制運維網、辦公網的核心網絡設備、服務器及終端,並獲取了部分西北工業大學內部路由器、交換機等重要網絡節點設備的控制權,竊取身份驗證數據,並進一步實施滲透拓展,最終達成了對西北工業大學內部網絡的隱蔽控制。
(二)隱蔽駐留、“合法”監控,竊取核心運維數據
TAO將作戰行動掩護武器“精準外科醫生”與遠程控制木馬NOPEN配合使用,實現進程、文件和操作行為的全面“隱身”,長期隱蔽控制西北工業大學的運維管理服務器,同時採取替換3個原系統文件和3類系統日誌的方式,消痕隱身,規避溯源。TAO先後從該服務器中竊取了多份網絡設備配置文件。利用竊取到的配置文件,TAO遠程“合法”監控了一批網絡設備和互聯網用戶,為後續對這些目標實施拓展滲透提供數據支持。
(三)搜集身份驗證數據、構建通道,滲透基礎設施
TAO通過竊取西北工業大學運維和技術人員遠程業務管理的賬號口令、操作記錄以及系統日誌等關鍵敏感數據,掌握了一批網絡邊界設備賬號口令、業務設備訪問權限、路由器等設備配置信息、FTP服務器文檔資料信息。根據TAO攻擊鏈路、滲透方式、木馬樣本等特徵,關聯發現TAO非法攻擊滲透中國境內的基礎設施運營商,構建了對基礎設施運營商核心數據網絡遠程訪問的“合法”通道,實現了對中國基礎設施的滲透控制。
(四)控制重要業務系統,實施用戶數據竊取
TAO通過掌握的中國基礎設施運營商的思科PIX防火牆、天融信防火牆等設備的賬號口令,以“合法”身份進入運營商網絡,隨后實施內網滲透拓展,分別控制相關運營商的服務質量監控系統和短信網關服務器,利用“魔法學校”等專門針對運營商設備的武器工具,查詢了一批中國境內敏感身份人員,並將用戶信息打包加密后經多級跳板回傳至美國國家安全局總部。
二、竊取西北工業大學和中國運營商敏感信息
(一)竊取西北工業大學遠程業務管理賬號口令、操作記錄等關鍵敏感數據
TAO通過在西北工業大學運維管理服務器安裝嗅探工具“飲茶”,長期隱蔽嗅探竊取西北工業大學運維管理人員遠程維護管理信息,包含網絡邊界設備賬號口令、業務設備訪問權限、路由器等設備配置信息等。
遭到嗅探的網絡設備類型包括固定互聯網的接入網設備(路由器、認證服務器等)、核心網設備(核心路由器、交換機、防火牆等),也包括通信基礎設施運營企業的重要設備(數據服務平台等),內容包括賬號、口令、設備配置、網絡配置等信息。
1、竊取西工大核心網絡設備賬號口令及配置信息
北京時間20××年12月11日6時52分,TAO以位于日本京都大學的代理服務器(IP:130.54.××.××)為攻擊跳板,非法入侵了西北工業大學運維網絡的“telnet”管理服務器,上傳並安裝NOPEN木馬,然后級聯控制其內網監控管理服務器,上述2台服務器事先均已被安裝“飲茶”嗅探工具。TAO遠程操控木馬檢索並下載被壓縮加密的監聽記錄文件,然后清痕退出。竊取數據包括路由器、核心網設備(核心路由器、交換機、防火牆)管理賬號、口令、設備配置、網絡配置等信息。
2、多次竊取接入網認證設備賬號口令及配置信息
(1)北京時間20××年5月30日0時28分,TAO以位于日本的代理服務器(IP:210.135.××.××)為攻擊跳板,非法入侵了西北工業大學運維網絡“telnet”管理服務器,上傳並安裝NOPEN木馬,然后級聯控制其內網監控管理服務器,這2台服務器事先均已被安裝“飲茶”嗅探工具,TAO遠程操控木馬檢索並下載竊密記錄文件后清痕退出。竊取數據包括接入網認證設備的賬號、口令及配置信息。
(2)北京時間20××年7月4日1時12分,TAO利用位于德國萊比錫技術經濟和文化學院的代理服務器(IP:141.57.××.××)作為攻擊跳板,非法入侵西北工業大學運維網絡“telnet”管理服務器,上傳並安裝NOPEN木馬工具,級聯控制其內網監控管理服務器等其他3台服務器,這4台服務器事先均已被安裝“飲茶”嗅探工具,TAO遠程操控木馬檢索並下載竊密文件后清痕退出。
(3)北京時間20××年10月11日10時35分,TAO利用位于韓國首爾國立江原大學的代理服務器(IP:210.115.××.××)作為攻擊跳板,非法入侵西北工業大學運維網絡監控管理服務器,上傳並安裝NOPEN木馬工具,然后級聯控制其內網備份服務器、認證服務器等其他4台服務器,這5台服務器事先均已被安裝“飲茶”嗅探工具,TAO遠程操控木馬分別檢索並下載竊取記錄文件后清痕退出。
(4)北京時間20××年10月19日2時46分,TAO以位于韓國大田的高等科學技術研究學院的代理服務器(IP:143.248.××.××)為攻擊跳板,非法入侵西北工業大學運維網絡“telnet”管理服務器,級聯控制其內網監管服務器等其他2台服務器,這3台服務器事先均已被安裝“飲茶”嗅探工具,TAO通過遠程操控木馬檢索並下載竊密文件,然后清痕退出。
(二)竊取西北工業大學網絡設備運維配置文件和日誌文件
美國國家安全局“特定入侵行動辦公室”(TAO)長期攻擊入侵西北工業大學網絡運維管理服務器,秘密竊取網絡設備運維配置文件和日誌文件。
1、竊取西北工業大學網絡運行日誌文件
北京時間20××年3月2日3時41分,TAO通過位于日本的代理服務器(IP:210.135.××.××)非法入侵控制西北工業大學1台網絡運維管理服務器。3時49分,TAO從該運維管理服務器橫向移動到另一台運維監控服務器,以特定字符串為關鍵詞檢索日誌文件並進行竊取了一批系統運行日誌文件和系統日常自檢報告備份文件。
2、竊取西北工業大學服務器定期任務配置腳本
北京時間20××年10月11日10時41分,TAO通過位于韓國的代理服務器(IP:210.115.××.××)入侵控制了西北工業大學一台內網服務器。10時48分,TAO經過兩次橫向移動,入侵了另一台內網服務器,訪問了特定目錄下的定期任務配置腳本,共檢索到14個用于定期執行任務的配置文件。隨后,一次性竊取了這14個文件,這些文件可用于執行定期清理、備份、檢查電源等操作。
3、竊取西北工業大學公司服務器系統信息文件
北京時間20××年6月6日1時27分,TAO通過位于韓國的代理服務器(IP:222.122.××.××)入侵控制了西北工業大學一台內網服務器。2時4分,TAO經過兩次橫向移動,入侵了另一台內網服務器,訪問了目錄/var/下的系統文件,竊取了60個常用的系統信息文件,被竊取的系統信息文件內容包含系統發行版本、用戶密碼哈希、用戶權限、本地域名解析配置等。
(三)滲透控制中國基礎設施核心設備
美國國家安全局“特定入侵行動辦公室”(TAO)利用竊取到的網絡設備賬號口令,以“合法”身份進入中國某基礎設施運營商服務網絡,控制相關服務質量監控系統,竊取用戶隱私數據。
1、竊取中國用戶隱私數據
北京時間20××年3月7日22時53分,美國國家安全局“特定入侵行動辦公室”(TAO)通過位于墨西哥的攻擊代理148.208.××.××,攻擊控制中國某基礎設施運營商的業務服務器211.136.××.××,通過兩次內網橫向移動(10.223.140.××、10.223.14.××)后,攻擊控制了用戶數據庫服務器,非法查詢多名身份敏感人員的用戶信息。
同日15時02分,TAO將查詢到的用戶數據保存在被攻擊服務器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目錄下,被打包回傳至攻擊跳板,隨后竊密過程中上傳的滲透工具、用戶數據等攻擊痕跡被專用工具快速清除。
美國國家安全局“特定入侵行動辦公室”(TAO)運用同樣的手法,分別于北京時間20××年1月10日23時22分、1月29日8時41分、3月28日22時00分、6月6日23時58分,攻擊控制另外1家中國基礎設施業務服務器,非法多批次查詢、導出、竊取多名身份敏感人員的用戶信息。
2、滲透控制全球電信基礎設施
據分析,美國國家安全局“特定入侵行動辦公室”(TAO)以上述手法,利用相同的武器工具組合,“合法”控制了全球不少于80個國家的電信基礎設施網絡。技術團隊與歐洲和東南亞國家的合作夥伴通力協作,成功提取並固定了上述武器工具樣本,並成功完成了技術分析,擬適時對外公布,協助全球共同抵禦和防範美國國家安全局NSA的網絡滲透攻擊。
三、TAO在攻擊過程中暴露身份的相關情況
美國國家安全局“特定入侵行動辦公室”(TAO)在網絡攻擊西北工業大學過程中,暴露出多項技術漏洞,多次出現操作失誤,相關證據進一步證明對西北工業大學實施網絡攻擊竊密行動的幕后黑手即為美國國家安全局NSA。茲摘要舉例如下:
(一)攻擊時間完全吻合美國工作作息時間規律
美國國家安全局“特定入侵行動辦公室”(TAO)在使用tipoff激活指令和遠程控制NOPEN木馬時,必須通過手動操作,從這兩類工具的攻擊時間可以分析出網絡攻擊者的實際工作時間。
首先,根據對相關網絡攻擊行為的大數據分析,對西北工業大學的網絡攻擊行動98%集中在北京時間21時至凌晨4時之間,該時段對應着美國東部時間9時至16時,屬于美國國內的工作時間段。其次,美國時間的全部周六、周日中,均未發生對西北工業大學的網絡攻擊行動。第三,分析美國特有的節假日,發現美國的“陣亡將士紀念日”放假3天,美國“獨立日”放假1天,在這四天中攻擊方沒有實施任何攻擊竊密行動。第四,長時間對攻擊行為密切跟蹤發現,在歷年聖誕節期間,所有網絡攻擊活動都處于靜默狀態。依據上述工作時間和節假日安排進行判斷,針對西北工業大學的攻擊竊密者都是按照美國國內工作日的時間安排進行活動的,肆無忌憚,毫不掩飾。
(二)語言行為習慣與美國密切關聯
技術團隊在對網絡攻擊者長時間追蹤和反滲透過程中(略)發現,攻擊者具有以下語言特徵:一是攻擊者有使用美式英語的習慣;二是與攻擊者相關聯的上網設備均安裝英文操作系統及各類英文版應用程序;三是攻擊者使用美式鍵盤進行輸入。
(三)武器操作失誤暴露工作路徑
20××年5月16日5時36分(北京時間),對西北工業大學實施網絡攻擊人員利用位于韓國的跳板機(IP:222.122.××.××),並使用NOPEN木馬再次攻擊西北工業大學。在對西北工業大學內網實施第三級滲透后試圖入侵控制一台網絡設備時,在運行上傳PY腳本工具時出現人為失誤,未修改指定參數。腳本執行后返回出錯信息,信息中暴露出攻擊者上網終端的工作目錄和相應的文件名,從中可知木馬控制端的系統環境為Linux系統,且相應目錄名“/etc/autoutils”系TAO網絡攻擊武器工具目錄的專用名稱(autoutils)。
出錯信息如下:
Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569
(四)大量武器與遭曝光的NSA武器基因高度同源
此次被捕獲的、對西北工業大學攻擊竊密中所用的41款不同的網絡攻擊武器工具中,有16款工具與“影子經紀人”曝光的TAO武器完全一致;有23款工具雖然與“影子經紀人”曝光的工具不完全相同,但其基因相似度高達97%,屬于同一類武器,只是相關配置不相同;另有2款工具無法與“影子經紀人”曝光工具進行對應,但這2款工具需要與TAO的其它網絡攻擊武器工具配合使用,因此這批武器工具明顯具有同源性,都歸屬于TAO。
(五)部分網絡攻擊行為發生在“影子經紀人”曝光之前
技術團隊綜合分析發現,在對中國目標實施的上萬次網絡攻擊,特別是對西北工業大學發起的上千次網絡攻擊中,部分攻擊過程中使用的武器攻擊,在“影子經紀人”曝光NSA武器裝備前便完成了木馬植入。按照NSA的行為習慣,上述武器工具大概率由TAO雇員自己使用。
四、TAO網絡攻擊西北工業大學武器平台IP列表
技術分析與溯源調查中,技術團隊發現了一批TAO在網絡入侵西北工業大學的行動中託管所用相關武器裝備的服務器IP地址,舉例如下:



五、TAO網絡攻擊西北工業大學所用跳板IP列表




研究團隊經過持續攻堅,成功鎖定了TAO對西北工業大學實施網絡攻擊的目標節點、多級跳板、主控平台、加密隧道、攻擊武器和發起攻擊的原始終端,發現了攻擊實施者的身份線索,並成功查明了13名攻擊者的真實身份。

https://www.guancha.cn/internation/2022_09_27_659634.shtml?s=zwytt



引用:
原帖由 motivate 於 2022-9-28 02:54 發表
中國國家計算機病毒應急處理中心網站9月27日發布西北工業大學遭美國NSA網絡攻擊事件調查報告(之二)。
2022年6月22日,西北工業大學發布《公開聲明》稱,該校遭受境外網絡攻擊。陝西省西安市公安局碑林分局隨即發布《警情通報》,證實在西北工業大學的信息網絡中發現了多款源于境外的木馬和惡意程序樣本,西安警方已對此正式立案調查。
中國國家計算機病毒應急處理中心和360公司全程參與了此案的技術分析工 ...
老美系強盜,好多打手狗。



引用:
原帖由 motivate 於 2022-9-28 02:54 發表
中國國家計算機病毒應急處理中心網站9月27日發布西北工業大學遭美國NSA網絡攻擊事件調查報告(之二)。
2022年6月22日,西北工業大學發布《公開聲明》稱,該校遭受境外網絡攻擊。陝西省西安市公安局碑林分局隨即發布《警情通報》,證實在西北工業大學的信息網絡中發現了多款源于境外的木馬和惡意程序樣本,西安警方已對此正式立案調查。
中國國家計算機病毒應急處理中心和360公司全程參與了此案的技術分析工 ...






[隱藏]
証據確在,証明美國法西斯邪惡政府是全球人類公敵


滅唔甩嘅海盜基因


以前訓練特務潛伏別國都係咁啦
而家網路攻擊偷取機密慳水慳力,何樂而不為



今次老美吾敢駁嘴己知理虧。


1450有無意見🤭


[隱藏]
引用:
原帖由 寒冬小老闆 於 2022-9-28 16:13 發表
1450有無意見🤭
班PK仲唔走返井底咩



美國人可能沒有想到,我們通過與歐洲,拉美等國合作,不僅直接查到了美國ATO,
還查到發起攻擊的13名當事人,當然包括他們的名字與住址,
這是美國人萬萬沒想到的。


在證據確鑿的情況下,老美如何回應,難道承認我就是網絡小偷?
只有無恥的繼續裝聾作啞,反正西方媒體也會視而不見。

只能說他們夠無恥,夠不要臉。
當然,這個事還會繼續按既定步驟演進,可別忘了,我們還追蹤到了13個參與網絡偷竊的個人,
再不回應,針對這13個人的制裁和刑事訴訟也有可能發生。

如果沒有進入國安局的內部網絡,怎么可能能精確查到具體終端設備和個人?
這不就說明已經把磚頭扔回他家去了嗎?
報告發布后,恐怕米國國安局的下巴都要驚掉了,連中國人已經悄無聲息黑進他們的系統都不知道,這種心理打擊可想而知

[ 本帖最後由 motivate 於 2022-9-28 20:08 編輯 ]



引用:
原帖由 雨點子 於 2022-9-28 05:09 發表

老美系強盜,好多打手狗。
不消滅尾國, 否則世界將永無寧日



今日1450&2046 笠哂水



[隱藏]
引用:
原帖由 motivate 於 2022-9-28 02:54 發表
中國國家計算機病毒應急處理中心網站9月27日發布西北工業大學遭美國NSA網絡攻擊事件調查報告(之二)。
2022年6月22日,西北工業大學發布《公開聲明》稱,該校遭受境外網絡攻擊。陝西省西安市公安局碑林分局隨即發布《警情通報》,證實在西北工業大學的信息網絡中發現了多款源于境外的木馬和惡意程序樣本,西安警方已對此正式立案調查。
中國國家計算機病毒應急處理中心和360公司全程參與了此案的技術分析工 ...
西工大之所以被網攻是因為中國很多先進武器源出於此,美國沒有,所以要偷。



鍵盤翻頁
左右
[按此隱藏 Google 建議的相符內容]