明查|拆解西北工业大学遭美国NSA网络攻击事件

更新时间:2022-10-20 09:40:43作者:智慧百科

明查|拆解西北工业大学遭美国NSA网络攻击事件

事件背景

2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击,已于第一时间报警。次日,陕西省西安市公安局碑林分局发布《警情通报》,证实该局于4月12日15时许接到西北工业大学信息化建设与管理处报案,发现该校电子邮件系统中出现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序。同时,部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。


西北工业大学发布的《公开声明》

9月5日,西安市公安局碑林分局官方微博就此事再发《警情通报》称:“经过百余天艰苦攻关,案件侦查工作取得了重要进展。”同一日,中国国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》[后文简称《调查报告(之一)》],明确国家计算机病毒应急处理中心和360公司联合组成的技术团队全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,且在欧洲、南亚部分国家合作伙伴的支持下,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)下属“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO)。


警方通报

9月25日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之二)》[后文简称《调查报告(之二)》],在《调查报告(之一)》基础上,对TAO攻击渗透西北工业大学的流程、TAO在攻击过程中暴露身份的相关情况、TAO网络攻击西北工业大学武器平台IP和 TAO网络攻击西北工业大学所用跳板IP进行了揭露。

“澎湃明查”在参考上述两份调查报告基础上,综合开源情报,对西北工业大学遭受网络攻击事件中的重要信息进行了梳理。

明查

与美国NSA的关联

国家计算机病毒应急处理中心发布第一篇溯源报告时,距西安市公安局碑林分局太白路派出所接到西北工业大学的报警已过去近5月。一篇发布在网络安全产业门户网站Freebuf上的文章谈及此事,对网络攻击溯源的成本和难度进行了讨论,指出网络攻击溯源的效率主要取决于攻守双方的能力和水平,即攻击方的反溯源能力和被攻击方的安全建设能力。如果入侵者狡猾,使用跳板机掩盖其真实地址、不断变化IP、删除日志,就会增加取证的难度,而这正是西北工业大学遭受网络攻击事件可能面临的状况。

《调查报告(之一)》提到,针对西北工业大学的网络攻击先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本和韩国。如此大规模、长路径的跳板攻击并非易事。这意味着攻击者具备高超的技术,能够控制多国计算机。但究竟谁有这种动机和能力,可以将多国主机作为跳板,向西北工业大学发起攻击?


资料图

今年2月,北京奇安盘古实验室科技有限公司在一份研究报告中指出,一种被命名为Bvp47的后门程序在十几年间控制了超过45个国家的287个目标,受害者包括日本、韩国、巴基斯坦等多个中国周边邻国,且有受害主机被当作跳板,用以进一步开展网络攻击。

奇安盘古实验室在报告中列出了其辨认出的受害者域名、详细信息及IP地址,其中有多家机构,如日本京都大学、德国不来梅大学的名称也出现在了《调查报告(之二)》的TAO网络攻击西北工业大学所用跳板IP列表中。“澎湃明查”向日本京都大学、德国不莱梅大学、韩国科学技术院等机构发送了问询邮件 ,但截至发稿仍未收到回复。


Bvp47受害者与西北工业大学遭受攻击时所用的跳板机主体有所重叠


资料图

9月13日,奇安盘古实验室发布了后续报告,指出Bvp47中含有一种“饮茶”工具,在此次西北工业大学遇袭事件中同样被使用。同一日,国家计算机病毒应急处理中心援引奇安盘古实验室的研究成果发布了一份对“饮茶”工具的分析报告,提到这种网络武器是一种“嗅探窃密类武器”,主要针对Unix/Linux平台,可对目标主机上的远程访问账号密码进行窃取。而根据《调查报告(之二)》内容,“饮茶”长期被用于隐蔽嗅探窃取西北工业大学运维管理人员的远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。这意味着,Bvp47背后的操纵者与西北工业大学网络的入侵者间可能存在某种联系。

奇安盘古实验室的分析报告披露,有充足证据显示操纵Bvp47的是美国黑客组织“方程式”。在美国外交关系协会的网站上,“方程式”被形容为是一家具有国家背景、疑似来自美国的高技术能力黑客团伙 。该组织的主要攻击方式为防火墙漏洞攻击或鱼叉邮件,首要目标包括中国、伊朗、俄罗斯、叙利亚等国。

鱼叉邮件是针对特定目标投递特定主题及内容的欺诈电子邮件,比一般的钓鱼邮件往往更具迷惑性,同时也可能具有更加隐秘的攻击目的。一位标记为“西北工业大学计算机学院硕士在读”的知乎用户“域星河”提到,至少从今年1月起,该校信息化建设与管理处已经多次发邮件提醒师生:有黑客组织通过互联网各类新闻统稿、科研论文等公开渠道收集师生姓名、职位信息,在Gmail、163等商业邮件系统中注册以该校机构、职工姓名的邮箱,假借学校机构、同事、朋友、领导名义,以“我有事找你”“帮我办件事”“年终财务津贴”为主题,给该校教职工发送通知邮件,但无具体邮件内容。



图片来源:知乎用户@域星河

2016年,一个叫“影子经纪人”(The Shadow Brokers)的神秘黑客组织宣称成功黑进了“方程式”,获取了该组织使用的大量工具和数据,并在网上公开售卖。奇安盘古实验室成员从“影子经纪人”公布的文件中,发现了一组疑似包含私钥的文件,而这组文件恰好是唯一可以激活Bvp47顶级后门的非对称加密私钥,可以直接远程激活并控制Bvp47顶级后门。这证明Bvp47与“方程式”组织间存在联系。


北京奇安盘古实验室科技有限公司《Bvp47美国NSA方程式的顶级后门技术细节》报告截图

不仅如此,当“影子经纪人”公布其宣称从“方程式”组织处获取的资料后,有研究人员发现,这些资料中有一串16位标识符(ace02468bdf13579),与2013年德国《明镜》杂志(SPIEGEL)在“棱镜门”事件后期曝光的美国国家安全局网络攻击平台操作手册中使用的唯一标识符相互吻合。这说明“影子经纪人”公布的材料总体可信,也意味着,“影子经纪人”公布的材料和《明镜》披露的美国国家安全局内部的文件很有可能出自同一处——“方程式”组织很有可能就是服务于美国国家安全局的黑客团伙,而Bvp47工具背后的操控者,也很有可能就是美国国家安全局。


“影子经纪人”泄露的压缩文件中,包含标识代码“ace02468bdf13579”

除Bvp47中包含的“饮茶”工具外,在西北工业大学遭网络攻击事件中,研究人员还披露了攻击者使用的漏洞攻击突破类、持久化控制类、嗅探窃密类、隐蔽消痕类等其余40种武器。《调查报告(之一)》称这些都是美国NSA的“专用网络攻击武器装备”。《调查报告(之二)》则对西北工业大学遭攻击窃密中所用的41款不同的网络攻击武器工具进行了统计,发现有16款工具与“影子经纪人”曝光的“方程式”组织的武器完全一致;23款工具虽然与“影子经纪人”曝光的工具不完全相同,但其基因相似度高达97%,属于同一类武器;另有2款工具无法与“影子经纪人”曝光工具进行对应,但与美国NSA内部其它网络攻击武器具有同源性,需要搭配美国NSA的其它网络攻击工具使用。

国家计算机病毒应急处理中心和360公司联合组成的技术团队发现,部分针对西北工业大学的网络攻击行为发生在“影子经纪人”曝光美国NSA的黑客工具之前,当时这些工具仍属美国NSA的内部机密,大概率只能由美国NSA内部人员自己使用。此外,技术团队还从攻击时间、语言行为习惯、代码特征等方面,找到了暴露入侵者身份的证据,并最终综合五方面内容,锁定了西北工业大学遭受网络攻击的幕后黑手,系美国国家安全局。


资料图

“一个高度机密的部门”

国家计算机病毒应急处理中心发布的报告指出,西北工业大学网络攻击事件是由美国国家安全局信息情报部(代号S)数据侦察局(代号S3)下属的“特定入侵行动办公室”(TAO)指挥实施的。

多年以来,美国政府常常以“正义者”自居,谴责他国攻击美国及其盟友网络的行为,却对其国家安全部门在入侵、监控他国网络,窃取机密信息等行动上扮演的角色讳莫如深。直到2009年,情报历史学家马修·艾德(Matthew Aid)的《秘密哨兵:国家安全局不为人知的历史》一书出版,揭开了TAO的冰山一角。至2013年“棱镜门”事件爆发,情报机构以外的人们才得以对NSA内部这个专门从事大规模网络攻击及窃密活动的战术实施单位有了更多了解。

马修·艾德在其著作中形容TAO是“一个高度机密的部门”。美国《外交政策》杂志在2013年6月发表的一篇文章里也使用了这一说法,称TAO的存在对于NSA的其他工作人员来说也是一个“谜”:其位于马里兰州米德堡的办公室隐藏在NSA总部的大楼内,一个大型的办公套间将其与其它部门隔开。通往该房间的钢制大门门口有武警把守,只有那些被特别批准的人才能在输入六位密码和视网膜扫描后进入大门。

另一些媒体,如美国政治新闻网站Politico和德国的《明镜》杂志,则直截了当地唤TAO为“NSA的黑客部门”。《明镜》指出,TAO自1997年诞生以来,目标一直很明确,即“昼夜不停地工作,寻找入侵全球通讯网络的方法”。仅2010年一年间,它在全世界就执行了279次行动。根据前NSA官员透露给《外交政策》的信息,TAO的日常工作就是通过入侵外国计算机和通讯系统,收集有关外国目标的情报信息,以及在“必要”时发起攻击,损害乃至摧毁外国的计算机和通讯系统。

这样一个高度机密的黑客组织,平时是如何运作的呢?一份来自美国海军的机密报告显示,TAO内部至少有6个组成单元,分别是负责对行动目标和行动要求进行管理和开发的需求与定位处(R&T),执行入侵、收集数据、地理定位等线上行动的远程操作中心(ROC),开发行动概念和进行软件植入的数据网络技术处(DNT),利用电话交换等技术发展网络战能力的电信网络技术处(TNT), 通过供应链对拟送达目标产品进行后门安装的接入行动处(AT&O),以及负责设计、开发和交付支持攻击行动网络运作的端到端基础设施的任务基础设施技术处(MIT)。


美国海军内部文件(2012年)截图

不同的TAO单元并非各自为政。根据美国海军的报告,TAO至少在2012年前已经开始对R&T、ROC、DNT和MIT的资源进行整合,打造以任务为导向的重点小组(MAC)。这些小组由操作人员、分析人员和开发人员组成,共同关注特定的目标。TAO内部至少有两支任务小组,视中国和朝鲜为特定目标,代号分别为NSAW和NSAH。在针对西北工业大学的网络攻击中,《调查报告(之一)》提到,攻击首先是由MIT铺垫的,在构建侦察环境,并租用供给资源后,再由ROC组织执行。过程中,TAO的DNT和TNT等小组提供了技术支撑;而R&T则负责为整个行动制定战略,并作情报评估。

《明镜》杂志在2013年“棱镜门”事件后期获得的另一份目录文件揭示,NSA内部还有一个叫先进网络技术处(ANT)的部门,与TAO合作密切。该部门主要负责研发能够渗透网络设备、监控移动电话和电脑的工具,以帮助TAO入侵在使用“常规手段”时无法进入的网络,转移甚至修改网络上的数据。《明镜》发现,ANT提供的恶意软件和硬件在当时可用于思科、戴尔、瞻博、惠普和中国华为等公司制造的电脑,但这些公司在当时或否认了其设备曾受过修改,或表示对相关信息“不知情”。


《明镜》杂志获取的目录文件截图

2016年1月,时任TAO指挥官罗伯特·乔伊斯(Robert Joyce)在美国旧金山召开的Usenix恩尼格码安全会议上公布了TAO整合资源、发动进攻的常规思路。他表示,TAO在选定入侵目标后,会遵循六个步骤展开行动,即侦察、初步开采、持久攻击、工具安装、横向移动和数据收集和渗出。其中“侦察”不仅是指在系统之外对入侵目标进行扫描,也包括借助公开资料等找到重要人物及其电子邮件等信息。“开采”则是TAO内部常用的术语,TAO将其整套入侵流程称作“计算机网络开采(CNE)”。

乔伊斯的这种分享行为在NSA内部相对罕见。一部发行于2012年的纪录片《美国国家安全局揭秘:美国网络秘密》提到,由于害怕暴露身份,NSA的内部人员很少会在公开场合露面。尽管如此,那些受雇于TAO的人并非无迹可寻。在领英上围绕关键词“Tailored Access Operations”进行搜索,可以找到不少曾经或仍在为TAO服务的人员信息,例如在2010年2月至2011年6月担任TAO分析员的Teresa Pannell,拥有9年NSA工作经验、NSA黑客证书和NETA1100 TAO概述证书的信号专家John Lawrence,从麻省理工大学电子工程和计算机科学学院毕业、目前可能仍在TAO工作的系统软件专家Michelle Dinozzo(可能为化名)等。此外,有的网络安全威胁情报平台间或也会分享一些关于NSA黑客的溯源信息,多出于示警目的。



在领英上可以找到部分曾经或仍在为TAO服务的人员信息


网络安全威胁情报平台分享的与美国NSA黑客有关的溯源信息

只不过,相较于黑客们的身份,情报社区更关注的还是这些黑客掌握的技术,及其使用技术的意图。

2013年的“棱镜门”事件让世界意识到,美国国家安全局从微软、雅虎、谷歌、苹果等9家知名跨国服务商的服务器直接收集信息,其许可的监听对象不仅包括美国以外地区使用上述服务器的客户,也包括美国国内与海外有联系的公民。《明镜》在同年的报道中还指出,TAO内部的AT&O小组负责执行“网外行动”。该行动的实质即安排美国中央情报局的特工在海外的计算机或电信系统上秘密安装窃听装置,以便TAO的黑客从米德堡远程访问这些系统。

这些丑闻固然使NSA陷入信任危机,但按照《纽约时报》在2017年11月发表的一篇报道中的说法,它给NSA带来的威胁其实远不如3年后的“影子经纪人”事件:从2016年8月至2017年中旬,“影子经纪人”先后以拍卖、订阅和免费披露的方式公开了一系列被认为与TAO有密切联系的“方程式组织”的黑客工具。这些捆绑了实际代码的工具不仅可直接作用于对包括美国及其盟友在内的多国网络系统的攻击,导致WANNACRY等蠕虫式勒索病毒广泛传播,也将美国NSA的安保能力置于尴尬的境地。

多年来,美国联邦调查局通过广泛的调查,先后逮捕了哈罗德·托马斯·马丁三世(Harold T. Martin III)、Nghia H. Pho、贾雷·达尔克(Jareh Dalke)等多位将NSA的保密资料带离工作场所的雇员,但始终难以将他们与“影子经纪人”联系起来。“影子经纪人”的真实身份至今成谜。

另一方面,“影子经纪人”披露的一系列网络攻击武器也给世界上更多调查机构提供了研究TAO入侵思路及方法的机会。例如,总部位于瑞士的信息安全公司Kudelski Security在2017年5月发表博客,称其研究人员正通过测试“影子经纪人”发布的武器建立威胁情报(IOC)文档,以便识别被这些工具、漏洞和脚本针对的全球客户群。

随着研究的深入,威胁情报社区对TAO这个“幕后组织”也有了更多了解 。截至2022年6月22日,美国electrospaces.net网站已经累计整理了400余个和TAO相关的编码词,其中超过三分之一是关于TAO使用的入侵工具的代称,如STORMPIG(指代TAO在 TAONet上用于僵尸网络攻击的数据清理工具)和BANANAAID;还有一些是被认为由TAO发动的黑客入侵项目的代号,如MURPHYSLAW,或形容黑客的代词,如CUTEBOY和ALOOFNESS;但也有一些专有名词,例如ECLECTICPILOT和FINKCOAT,尽管已经在被认为与TAO有关的文件中发现,但具体指向仍然不明。

入侵的目标

NSA入侵西北工业大学网络的目的是什么?《调查报告(之一)》发布时没有给出答案。当时有分析人士认为,该校作为隶属于工业和信息化部的知名高校,参与国家科技重大专项、武器装备型号项目研究。境外间谍情报机关不遗余力地进行网络攻击,是为了刺探、窃取我国相关领域的机密。

但参考中国《保密法》第四十八条规定:不得在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换,以及《计算机信息系统国际联网保密管理规定》第六条规定:涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离,在操作规范的情况下,TAO通过远程操控跳板机入侵西北工业大学运维网络“telnet”管理服务器,从而获得涉密数据的可能性较低。

9月22日,《环球时报》记者从有关部门获悉,TAO在对西北工业大学发起网络攻击的过程中,非法攻击渗透中国境内某电信运营商,构建了对核心数据网络远程访问的“合法”通道,对中国的电信基础设施进行了渗透控制。

随后发布的《调查报告(二)》印证了此消息,称TAO在入侵过程中, 窃取了西北工业大学的核心网络设备账号口令及配置信息,网络设备运维配置文件和日志文件,并利用窃取到的网络设备账号口令,以“合法”身份进入中国基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。根据报告的表述,多年来,TAO先后攻击控制了至少2家中国基础设施业务的服务器,并非法多批次查询、导出、窃取了多名身份敏感人员的用户信息。

针对西北工业大学遭受美国网络攻击一事,9月5日,中国外交部发言人毛宁在例行记者会上回答有关提问时表示,美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责,要求美方作出解释并立即停止不法行为。

但美国政府在面对此类指控时一向摆着一副“既不承认也不否认”的态度。彭博社和美国全国广播公司财经频道就调查报告的内容询问NSA,未收到任何官方回应。“澎湃明查”尝试就此事联系NSA,但截至发稿同样未收到回复。