新闻资讯
全部分类

揭底!“攻击西工大的幕后黑手”

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2022-09-06 09:49
  • 访问量:

【概要描述】

揭底!“攻击西工大的幕后黑手”

【概要描述】

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2022-09-06 09:49
  • 访问量:
详情

  今日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》(简称《调查报告》)。《调查报告》披露,初步判明相关攻击活动源自美国国家安全局(NSA)-信息情报部(代号S)-数据侦察局(代号S3)下属“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO,代号S32)。

  《调查报告》显示:近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。

  报告还显示,TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。在攻击行动中TAO先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。其中,用以掩盖真实IP的跳板机都是精心挑选,所有IP均归属于非“五眼联盟”国家。

  调查报告,图源:国家计算机病毒应急处理中心官网

  “暗黑力量”TAO到底是什么?

  “特定入侵行动办公室”(TAO)成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心,是美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,目前已被公布的六个密码中心分别是:

  1、美国马里兰州米德堡的NSA总部;

  2、美国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH);

  3、美国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG);

  4、美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心(NSAT);

  5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC);

  6、德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。

  TAO的架构,图源:《揭秘TAO:美国国家安全局APT-C-40黑客组织幕后黑手》报告

  TAO主要职责是利用互联网秘密获取对手的内幕情报,具体包括秘密侵入目标国家的关键信息基础设施和重要互联网信息系统、窃取破解账号密码、突破或破坏对手计算机安全防护系统、监听网络流量、窃取隐私和敏感数据,获取电话和手机通话、电子邮件、网络通信内容和手机短信等。

  除此之外,TAO还承担了一项重要职责,即当美国总统发出对他国的通讯网络或信息系统实施瘫痪或摧毁行动命令时,接入技术行动处将负责提供相关的网络攻击武器,再由美国网络战司令部具体实施网络攻击行动。

  TAO分为远程作战中心(ROC)、数据网络技术分部(DNT)、电信网络技术分部(TNT)、任务基础设施分部(MIT)、远程访问行动分部(ATO)以及战略需求部门。

  TAO组织架构及参与“阻击XXXX”行动的TAO子部门,图源:央视新闻客户端

  网络空间战 攻击关键信息基础设施“颠覆端点设备”

  据《环球时报》消息,世界各地的任何重要信息基础设施只要包含美国互联网公司提供的硬件、操作系统和应用软件,极可能成为美国情报机构的攻击窃密目标。NSA的目的是“颠覆端点设备”,人们数字生活的几乎所有类型的设备,从服务器、工作站、防火墙、路由器、手机、电话交换机、SCADA系统(工业控制系统)等,都是TAO下手的目标。

  即维持我们的电子生活所需要的几乎所有类型的设备--服务器、工作站、防火墙、路由器、手机、电话交换机、SCADA系统等:

  1)“震网”行动,“震网”(Stuxnet)行动,攻陷了在纳坦兹用于伊朗铀浓缩设施使用的SCADA控制系统,导致多达上千台离心机无法使用,伊朗核计划因之受阻。成为世界上首次通过虚拟空间对现实世界实施的攻击破坏。

  2)“奥德赛黎明”行动,启动“网络黎明”计划,直接破坏了利比亚石油生产系统,成为典型的硬毁伤型网络攻击行动。

  3)“宙斯炸弹”作战计划,意图通过该计划瘫痪伊朗防空、通信系统及关键基础设施网络。

  4)伊朗网络攻击行动,成功瘫痪伊朗情报部门和导弹发射系统在内的网络攻击目标。

  可以预见的是,美国系统性攻击他国网络、窃取他国数据的行为,将会持续进行,全球各国的网络安全攻防战将也越发激烈。为了保障我国关键信息基础设施安全机数据安全,需要加强网络安全技术的提升,有针对性的应对美国的网络攻击和数据窃取行为,对关乎国计民生的关键基础设施安全进行重要防护,以及金融、政务、军工、能源、交通等关系国计民生的重点行业领域,构建可信软硬件IT环境,加强防护力度。

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区西北旺东路10号院博彦科技大厦C座6层

服务热线:400-810-8981 /  010-56380988

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号