多項證據顯示幕後黑手為美國國家安全局(NSA)
此次調查報告披露,美國國家安全局(NSA)下屬特定入侵行動辦公室(TAO)在網路攻擊西北工業大學過程中,暴露出多項技術漏洞,多次出現操作失誤,相關證據進一步證明對西北工業大學實施網路攻擊竊密行動的幕後黑手即為美國國家安全局(NSA)。
調查發現,美國國家安全局(NSA)下屬特定入侵行動辦公室(TAO)在使用tipoff啟動指令和遠端控制NOPEN木馬時,必須通過手動操作,從這兩類工具的攻擊時間可以分析出網路攻擊者的實際工作時間。
首先,根據對相關網路攻擊行為的大資料分析,對西北工業大學的網路攻擊行動98%集中在北京時間21時至淩晨4時之間,該時段對應著美國東部時間9時至16時,屬於美國國內的工作時間段。其次,美國時間的全部週六、周日中,均未發生對西北工業大學的網路攻擊行動。第三,分析美國特有的節假日,發現美國的“陣亡將士紀念日”放假3天,美國“獨立日”放假1天,在這四天中攻擊方沒有實施任何攻擊竊密行動。第四,長時間對攻擊行為密切跟蹤發現,在歷年耶誕節期間,所有網路攻擊活動都處於靜默狀態。依據上述工作時間和節假日安排進行判斷,針對西北工業大學的攻擊竊密者都是按照美國國內工作日的時間安排進行活動的,肆無忌憚,毫不掩飾。
國家電腦病毒應急處理中心高級工程師 杜振華:TAO對西北工業大學的這次網路攻擊當中,它體現出這種技術複雜度比較高,攻擊的週期比較長,人工的這種操作的工作量是比較多,那麼在這種條件下,出現人為失誤,人為錯誤的這種概率,也是相對比較高。那麼這些失誤,可以被我們用來進行這種歸因的分析,根據歸因的分析,比如說這次它在事故當中洩露出的指令的字串,還有代碼中的一些特徵的字串,那麼它反映出的這種自然語言的特徵,它是符合這種英語母語國家的特點。
技術團隊在對網路攻擊者長時間追蹤和反滲透過程中發現,攻擊者具有以下語言特徵:一是攻擊者有使用美式英語的習慣;二是與攻擊者相關聯的上網設備均安裝英文作業系統及各類英文版應用程式;三是攻擊者使用美式鍵盤進行輸入。
360公司網路安全專家 邊亮:比如說我們抓到了一次,它在攻擊的過程中,它發送腳本的命令是有錯的,發錯了,寫錯了,然後它這個工具會對攻擊者進行提示,哪裡出錯會把出錯資訊返回給攻擊者,給他以提示,這個資訊裡邊就包括了攻擊者他當前作業系統的環境,這樣一來其實就暴露了攻擊者相關的資訊是美國的作戰辦公室(TAO)。
技術團隊發現,北京時間20××年5月16日5時36分,對西北工業大學實施網路攻擊人員利用位於韓國的跳板機(IP:222.122.××.××),並使用NOPEN木馬再次攻擊西北工業大學。在對西北工業大學內網實施第三級滲透後試圖入侵控制一台網路設備時,在運行上傳PY腳本工具時出現人為失誤,未修改指定參數。腳本執行後返回出錯資訊,資訊中暴露出攻擊者上網終端的工作目錄和相應的檔案名,從中可知木馬控制端的系統環境為Linux系統,且相應目錄名“/etc/autoutils”系特定入侵行動辦公室(TAO)網路攻擊武器工具目錄的專用名稱(autoutils)。
出錯資訊如下:
Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569
技術團隊發現,此次被捕獲的、對西北工業大學攻擊竊密中所用的41款不同的網路攻擊武器工具中,有16款工具與(2016年)“影子經紀人”曝光的TAO武器完全一致;有23款工具雖然與“影子經紀人”曝光的工具不完全相同,但其基因相似度高達97%,屬於同一類武器,只是相關配置不相同;另有2款工具無法與“影子經紀人”曝光工具進行對應,但這2款工具需要與TAO的其它網路攻擊武器工具配合使用,因此這批武器工具明顯具有同源性,都歸屬於TAO。
360公司網路安全專家 邊亮:每個程式開發者或者說每個作者他都會有他的相關習慣,比如說類似於我們寫字一樣筆體一樣,這個習慣他不會說一兩天就很輕易去更改,那麼程式也是這個道理,它裡邊有很多這種邏輯,它的演算法包括它的這種資料結構,所以我們會通過我們分析去抓它這個習慣,從而進行綜合的對比,來找它到底是不是屬於同一類型或者同一個家族同一個基因的這麼一套攻擊武器。
技術團隊綜合分析發現,在對中國目標實施的上萬次網路攻擊,特別是對西北工業大學發起的上千次網路攻擊中,部分攻擊過程中使用的武器攻擊,在(2016年)“影子經紀人”曝光NSA武器裝備前便完成了木馬植入。按照NSA的行為習慣,上述武器工具大概率由TAO雇員自己使用。
NSA侵入我國基礎設施相關設備 竊取使用者隱私資料
據瞭解,技術團隊通過相關技術手段,對西北工業大學遭受網路攻擊的痕跡和現場環境進行了取證分析,判斷出了美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)當時攻擊的手法和時間,並且披露了其中相關網路攻擊的典型案例。