[美国入侵西北工业]西北工业大学遭美国NSA网络攻击事件调查

HWS326

作者

该台登出丨北京航太理工学院遭英国NSA黑客反击深入进行调查

今天(5日)，北欧国家电脑病毒紧急处理中心和360子公司分别发布了关于北京航太理工学院遭遇境内外黑客反击的报告。报告表明黑客反击根源系NSA(NSA)。详细情况>>

NSA采用41种黑客反击枪械盗取统计数据

本次进行调查辨认出，特别针对北京航太理工学院的黑客反击中，NSA(NSA)辖下的某一侵略暴力行动服务部(TAO)采用了40万种相同的专供黑客反击枪械，持续对北京航太理工学院积极开展反击H55N，盗取本校关键性计算机系统实用性、网络管理统计数据、网络管理统计数据等关键技术统计数据。

本次遭遇反击的北京航太理工学院位于甘肃成都，隶属轻工业和信息技术部，是第一所学科专业、综合性、封闭式理工学院。

甘肃省检察院武侯祠支队局长靳琪：北京航太理工学院是目前我国专门从事航空、航天、远航工程建设基础教育和学术研究应用领域的重点项目理工学院，保有大量北欧国家世界顶级科学研究项目组和中高档专业人才，分担北欧国家数个重点项目研究课题，话语权极为某一，信息安全极为关键性。由于其所具有的某一话语权和专门从事的脆弱学术研究，所以才成为本次黑客反击的前瞻性目标。

报告表明，NSA(NSA)在对北京航太理工学院的黑客反击暴力行动中，先后采用了41种专供黑客反击枪械装备，仅侧门辅助工具阴险异教徒犯( NSA 重新命名)就有14款相同版。

360子公司信息安全研究者边亮：在后期的话，它会有一些情报搜集的组件。那么情报搜集之后辨认出，如果说它的目标环境当中，可能比如说有的需要去盗取密码或者盗取重要情报信息，根据相同的情况、相同的系统或者相同的平台，去定制化进行枪械的反击和投递。

通过取证分析，技术项目组累计辨认出反击者在北京航太理工学院内部渗透的反击链路多达1100余条、操作的指令序列90余个，并从被侵略的计算机系统中定位了多份遭盗取的计算机系统实用性文件、遭嗅探的网络通信统计数据及口令、其他类型的日志和密钥文件以及其他与反击活动相关的主要细节。

技术项目组将本次反击活动中所采用的枪械类别分为四大类，具体包括：1、漏洞反击突破类枪械；2、持久化控制类枪械；3、嗅探H55N类枪械；4、隐蔽消痕类枪械。

北欧国家电脑病毒紧急处理中心高级工程建设师杜振华：从最开始的这种漏洞的反击突破，突破之后去投送这种第二类的，我们说持久控制类的枪械辅助工具。那么再到第三类，那么它实现这种嗅探的H55N，那么长期的潜伏盗取我们重要的统计数据，然后把这个反击活动，它认为任务已经完成之后，那么开始采用第四类的枪械就是隐蔽消痕类，把现场清理干净，让被害人无法察觉。

本次报告披露，NSA(NSA)利用大量黑客反击枪械，特别针对我国各行业龙头企业、政府、理工学院、医疗、科学研究等机构长期进行秘密黑客反击活动。

360子公司创始人周鸿祎：就是瞄准北欧国家的这种科学研究机构、政府部门、军工单位、高校这些地方来盗取情报或者盗取统计数据，它从反击从策划到部署，到通过很长的这种跳板，一直到攻到核心岗位里面，大概持续的时间有的要长达数年。那么危害也就非常大，因为未来我们整个北欧国家都在搞数字化，我们很多重要的这种业务都是由统计数据来驱动，你想统计数据一旦被偷窃或一旦被破坏，肯定会带来严重的风险。

进行调查同时辨认出，NSA(NSA)还利用其控制的黑客反击枪械平台、零日漏洞(Oday)和计算机系统，长期对中国的手机用户进行无差别的语音监听，非法盗取手机用户的短信内容，并对其进行无线定位。

NSA掩盖真实IP 精心伪装黑客反击痕迹

本次报告披露，NSA(NSA)为了隐匿其对北京航太理工学院等中国信息网络实施黑客反击的行为，做了长时间准备工作，并且进行了精心伪装。

技术项目组分析辨认出，NSA(NSA)辖下的某一侵略暴力行动服务部(TAO)在开始暴力行动前会进行较长时间的准备工作，主要进行匿名化反击基础设施的建设。某一侵略暴力行动服务部(TAO)利用其掌握的特别针对SunOS操作系统的两个零日漏洞利用辅助工具，选择了中国周边北欧国家的基础教育机构、商业子公司等网络应用流量较多的服务器为反击目标；反击成功后，即安装NOPEN木马程序，控制了大批跳板机。

某一侵略暴力行动服务部(TAO)在特别针对北京航太理工学院的黑客反击暴力行动中先后采用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个北欧国家，其中70%位于中国周边北欧国家，如日本、韩国等。其中，用以掩盖真实IP的跳板机都是精心挑选，所有IP均归属于非五眼联盟北欧国家。

特别针对北京航太理工学院反击平台所采用的网络资源涉及代理服务器，NSA(NSA)通过秘密成立的两家掩护子公司购买了埃及、荷兰和哥伦比亚等地的IP，并租用一批服务器。

北欧国家电脑病毒紧急处理中心高级工程建设师杜振华：它是采用这种虚拟身份，或者是代理人的身份。那么去租用和购买互联网上的这种服务器、IP地址、域名，甚至它还可以通过这种黑客反击的手段，在对方不知情的情况下，接管第三方用户的这种服务器资源。那么来实施黑客反击，实现这种借刀杀人的效果。

NSA(NSA)为了保护其身份安全，采用了英国隐私保护子公司的匿名保护服务，相关域名和证书均指向无关联人员，以便掩盖真实反击平台对北京航太理工学院等中国信息网络展开的多轮持续性反击、H55N暴力行动。

北欧国家电脑病毒紧急处理中心高级工程建设师杜振华：有了这些跳板机之后，TAO就可以躲在这些跳板机的后面，去向目标发动黑客反击。这样从受害者的角度去看，即使他辨认出了反击，实际上也是这些跳板机的。那么这样起到一个，就是对真实的反击来源网络地址的一个保护的这种作用。

技术项目组还辨认出，相关黑客反击活动开始前，NSA(NSA)在英国多家大型知名互联网企业配合下，将掌握的中国大量通信计算机系统的管理权限，提供给NSA等情报机构，为持续侵入中国国内的重要信息网络大开方便之门。

TAO到底是什么？黑客反击H55N活动的战术实施单位

据报告表明，NSA(NSA)辖下的某一侵略暴力行动服务部(TAO)不仅对中国国内的各重点项目企业和机构实施恶意黑客反击，而且还长期对中国的手机用户进行无差别的语音监听，非法盗取手机用户的短信内容，并对其进行无线定位。那么这个简称TAO的某一侵略暴力行动服务部到底是一个什么机构呢？

经技术分析和网上溯源进行调查辨认出，实施本次黑客反击暴力行动NSA(NSA)辖下某一侵略暴力行动服务部(TAO)部门，成立于1998年，其力量部署主要依托NSA(NSA)在英国和欧洲的各密码中心。目前已被公布的六个密码中心分别是：

1、国安局马里兰州的米德堡总部；

2、瓦湖岛的国安局夏威夷密码中心(NSAH)；

3、戈登堡的国安局乔治亚密码中心(NSAG)；

4、圣安东尼奥的国安局得克萨斯密码中心(NSAT)；

5、丹佛马克利空军基地的国安局科罗拉罗密码中心(NSAC)；

6、德国达姆施塔特美军基地的国安局欧洲密码中心(NSAE)。

某一侵略暴力行动服务部TAO是目前英国政府专门专门从事对他国实施大规模黑客反击H55N活动的战术实施单位，由2000多名军人和文职人员组成。下设10个单位：

1、远程操作中心(ROC，代号 S321)，主要负责操作枪械平台和辅助工具进入并控制目标系统或网络。

2、先进/接入网络技术处(ANT，代号 S322)，负责研究相关硬件技术，为TAO黑客反击暴力行动提供硬件相关技术和枪械装备支持。

3、统计数据网络技术处(DNT，代号 S323)，负责研发复杂的计算机软件辅助工具，为TAO操作人员执行黑客反击任务提供支撑。

4、电信网络技术处(TNT，代号 S324)，负责研究电信相关技术，为TAO操作人员隐蔽渗透电信网络提供支撑。

5、任务基础设施技术处(MIT，代号 S325)，负责开发与建立网络基础设施和安全监控平台，用于构建反击暴力行动网络环境与匿名网络。

6、接入暴力行动处(AO，代号 S326)，负责通过供应链，对拟送达目标的产品进行侧门安装。

7、需求与定位处(R&T，代号 S327)；接收各相关单位的任务，确定情报搜集目标，分析评估情报价值。

8、接入技术暴力行动处(ATO，编号 S328)，负责研发接触式H55N装置，并与英国中央情报局和联邦进行调查局人员合作，通过人力接触方式将H55N软件或装置安装在目标的计算机和电信系统中。

9、S32P：项目计划整合处(PPI，代号 S32P)，负责总体规划与项目管理。

10、NWT：网络战小组(NWT)，负责与133个网络作战小队联络。

NSANSA特别针对北京航太理工学院的反击H55N暴力行动负责人是罗伯特·乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生，1989年进入NSA工作。曾经担任过某一侵略暴力行动服务部TAO副主任、主任，现担任NSANSA信息安全主管。

360子公司信息安全研究者边亮：目前据我们了解是(TAO)代表了全球黑客反击的最高水平，他们所掌握的大量的反击枪械，相当于有了互联网当中的万能钥匙一样，它可以任意地去进出它想要的目标设备，从而去进行比如情报的盗取，或者说进行破坏等动作。

你的信息也可能被泄露！研究者呼吁提高信息安全防范

报告表明，一直以来，NSA(NSA)特别针对我国各行业龙头企业、政府、理工学院、医疗机构、科学研究机构甚至关乎国计民生的重要信息基础设施网络管理单位等机构长期进行秘密黑客反击活动。其行为或对我国的国防安全、关键性基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害，值得我们深思与警惕。

本次北京航太理工学院联合中国北欧国家电脑病毒紧急处理中心与360子公司，全面还原了数年间NSA(NSA)利用网络枪械发起的一系列反击行为，打破了一直以来英国对我国的单向透明优势。面对北欧国家级背景的强大对手，首先要知道风险在哪，是什么样的风险，什么时候的风险。