長安街知事微信公眾號 | 記者 蒙江

美國NSA對西工大發起網絡攻擊事件，又有新的細節公開。

9月27日，國家計算機病毒應急處理中心發布《西北工業大學遭美國NSA網絡攻擊事件調查報告（之二）》，披露了美國國家安全局（NSA）“特定入侵行動辦公室”（TAO）攻擊滲透西北工業大學的流程、竊取西北工業大學和中國運營商敏感信息，公布了TAO網絡攻擊西北工業大學武器平臺IP列表及所用跳板IP列表。

TAO在攻擊過程中暴露身份的相關情況也被首次曝光。此外，研究團隊經過持續攻堅，發現了攻擊實施者的身份線索，并成功查明了13名攻擊者的真實身份。

截圖來源：國家計算機病毒應急處理中心官網

據調查報告，TAO對他國發起的網絡攻擊技戰術針對性強，采取半自動化攻擊流程，單點突破、逐步滲透、長期竊密。具體包括：

• 單點突破、級聯滲透，控制西北工業大學網絡；
• 隱蔽駐留、“合法”監控，竊取核心運維數據；
• 搜集身份驗證數據、構建通道，滲透基礎設施；
• 控制重要業務系統，實施用戶數據竊取。

調查報告披露，TAO竊取西北工業大學和中國運營商敏感信息，包括：

• 竊取西北工業大學遠程業務管理賬號口令、操作記錄等關鍵敏感數據；
• 竊取西北工業大學網絡設備運維配置文件和日志文件；
• 滲透控制中國基礎設施核心設備。

TAO利用竊取到的網絡設備賬號口令，以“合法”身份進入中國某基礎設施運營商服務網絡，控制相關服務質量監控系統，竊取用戶隱私數據。

據分析，TAO利用相同的武器工具組合，“合法”控制了全球不少于80個國家的電信基礎設施網絡。我國技術團隊與歐洲和東南亞國家的合作伙伴通力協作，成功提取并固定了上述武器工具樣本，并成功完成了技術分析，擬適時對外公布，協助全球共同抵御和防范美國國家安全局NSA的網絡滲透攻擊。

圖源：視覺中國

調查報告還首次披露了TAO在攻擊過程中暴露身份的相關情況。

TAO在網絡攻擊西北工業大學過程中，暴露出多項技術漏洞，多次出現操作失誤，相關證據進一步證明對西北工業大學實施網絡攻擊竊密行動的幕后黑手即為美國國家安全局（NSA）。例如：

• 攻擊時間完全吻合美國工作作息時間規律；
• 語言行為習慣與美國密切關聯；
• 武器操作失誤暴露工作路徑；
• 大量武器與遭曝光的NSA武器基因高度同源；
• 部分網絡攻擊行為發生在“影子經紀人”曝光之前。

此外，在技術分析與溯源調查中，技術團隊發現了一批TAO在網絡入侵西北工業大學的行動中托管所用相關武器裝備的服務器IP地址及所用跳板IP列表。

調查報告指出，研究團隊經過持續攻堅，成功鎖定了TAO對西北工業大學實施網絡攻擊的目標節點、多級跳板、主控平臺、加密隧道、攻擊武器和發起攻擊的原始終端，發現了攻擊實施者的身份線索，并成功查明了13名攻擊者的真實身份。

調查報告全文請見鏈接。