网攻西工大神秘黑客身份锁定 为美国国家安全局（NSA）工作人员

事件回顾

　　通过校园网络攻击

　　构建核心数据远程访问通道

　　2022年6月22日

　　西北工业大学发布《公开声明》称，学校遭受网络攻击，有来自境外的黑客组织企图窃取相关数据。

　　2022年6月23日

　　西安市公安局碑林分局发布警情通报称，4月12日，警方接到西北工业大学信息化建设与管理处报警。接警后，西安公安立即调查取证，初步掌握了相关事实，提取了木马程序和钓鱼邮件样本并依法固定了相关证据，正式立案调查。

　　2022年9月5日

　　由全程参与此案技术分析工作的中国国家计算机病毒应急处理中心和360公司联合组成的技术团队发布第一份“西北工业大学遭受美国NSA网络攻击调查报告”，调查报告指出此次网络攻击源头系美国国家安全局（NSA）信息情报部（代号S）数据侦察局（代号S3）下属特定入侵行动办公室（TAO）。

　　2022年9月8日

　　外交部美大司司长杨涛就美国对我西北工业大学实施网络攻击窃密向美国驻华使馆提出严正交涉。

　　杨涛指出，这不是美国政府第一次对中国机构实施网络攻击和窃密敏感信息。美方行径严重侵犯中国有关机构的技术秘密，严重危害中国关键基础设施、机构和个人信息安全，必须立即停止。

　　2022年9月27日

　　技术团队再次发布相关网络攻击的调查报告，报告披露，特定入侵行动办公室（TAO）在对西北工业大学发起网络攻击过程中构建了对我国基础设施运营商核心数据网络远程访问的（所谓）“合法”通道，实现了对我国基础设施的渗透控制。

　　2023年9月14日

　　后续调查报告发布，表示已成功锁定发起网络攻击的美国国家安全局工作人员的真实身份。

　　再添新证

　　网攻西工大 神秘黑客身份被锁定

　　据央视新闻9月14日消息，近日，国家计算机病毒应急处理中心和360公司对一款名为“二次约会”（SecondDate）的间谍软件进行了技术分析，分析报告显示，该软件是美国国家安全局（NSA）开发的网络间谍武器。

　　据了解，在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被NSA网络攻击案过程中，成功提取了这款间谍软件的多个样本。据技术分析报告显示，该软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能，它与其他恶意软件配合可以完成复杂的网络“间谍”活动。

　　国家计算机病毒应急处理中心高级工程师杜振华表示，在多国业内伙伴的通力配合下，目前已经成功锁定了针对西北工业大学发动网络攻击的NSA相关工作人员的真实身份。

　　此次我方对“间谍”软件样本成功提取并展开溯源，进一步表明中国防范抵御美国政府网络攻击和维护全球网络安全的决心，这种将美国政府实施网络犯罪的细节昭告世界的做法也证明中国具备“看得见”的网络技术基础，可以更有力地帮助本国和他国感知风险、看见威胁、抵御攻击，将具有国家背景的黑客攻击暴露在阳光下。

　　相关人士向记者表示，适时将通过媒体公布NSA实施网络攻击人员真实身份信息。

　　间谍软件

　　攻击者将『二次约会』植入目标设备 实现长期窃密等行为

　　“二次约会”间谍软件都有啥功能？又是如何从事“间谍”活动的？

　　技术分析发现，“二次约会”间谍软件是一款高技术水平的网络间谍工具。开发者应该具有非常深厚的网络技术功底，尤其对网络防火墙技术非常熟悉，其几乎相当于在目标网络设备上加装了一套内容过滤防火墙和代理服务器，使攻击者可以完全接管目标网络设备以及流经该设备的网络流量，从而实现对目标网络中的其他主机和用户实施长期窃密，并作为攻击的“前进基地”，随时可以向目标网络投送更多网络进攻武器。

　　据专家介绍，“二次约会”间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上，其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。另外，“二次约会”间谍软件支持在各类操作系统上运行，同时兼容多种体系架构，适用范围较广。

　　杜振华指出，该间谍软件通常是结合特定入侵行动办公室（即：OfficeofTailoredAccessOperation，后文简称“TAO”）的各类针对防火墙、网络路由器的网络设备漏洞攻击工具一并使用，一旦漏洞攻击成功，攻击者成功获得了目标网络设备的控制权限，就可以将这款网络间谍软件植入到目标的网络设备中。

　　报告显示，国家计算机病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查，经层层溯源，发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本，并发现被NSA远程控制的跳板服务器，其中多数分布在德国、日本、韩国、印度和中国台湾。

　　幕后黑手

　　美国国家安全局下属TAO 对我国基础设施渗透控制

　　2022年9月27日，技术团队发布的西工大遭受网络攻击的调查报告显示，美国国家安全局下属的TAO对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。

　　技术团队发现，TAO经过长期的精心准备，使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击，部署“怒火喷射”远程控制武器，控制多台关键服务器。

　　报告显示，TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”，长期隐蔽嗅探窃取西北工业大学运维管理人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据，掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。

　　技术团队根据TAO攻击链路、渗透方式、木马样本等特征，关联发现其非法攻击渗透中国境内的基础设施运营商，构建了对基础设施运营商核心数据网络远程访问的（所谓）“合法”通道，实现对中国基础设施的渗透控制。

　　报告显示，TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令，以（所谓）“合法”身份进入运营商网络，随后实施内网渗透拓展，分别控制相关运营商的服务质量监控系统和短信网关服务器，利用“魔法学校”等专门针对运营商设备的武器工具，查询了一批中国境内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

　　全局观

　　我国已成为高级别持续性威胁攻击的主要受害国

　　当前，网络空间已经成为境外间谍情报机关对我国开展网络间谍工作的重要阵地，我国已成为高级别持续性威胁（APT）攻击的主要受害国。

　　无孔不入！

　　近年来，国家安全机关已发现不同国家、地区的数十个间谍情报机关对我境内开展网络攻击活动。

　　从攻击目标看，除了持续对我国家机关、涉密单位等“传统目标”开展网络攻击外，境外间谍情报机关还不断加强对我关键信息基础设施、重大基础设施网络系统的攻击渗透，并将黑手进一步伸向我高等院校、科研机构、大型企业、高科技公司等机构和企业高管、专家学者等群体。

　　今年7月底，武汉市地震监测中心部分地震速报数据前端台站采集点网络设备同样遭受境外组织的网络攻击，初步证据显示，此次网络攻击目的是窃取地质数据。地质信息与作战地形息息相关，一旦被窃取并与军事活动关联后患无穷。

　　谁的黑手？

　　与一般社会黑客不同，境外间谍情报机关可调动资源多、技术能力强大，网络攻击活动经验丰富、手法更加隐蔽。

　　国家互联网应急中心监测发现，2022年2月下旬以来，我国互联网持续遭受境外网络攻击。经分析，这些攻击地址主要来自美国，仅来自纽约州的攻击地址就有十余个，攻击流量峰值达36Gbps，87%的攻击目标是俄罗斯，也有少量攻击地址来自德国、荷兰等国家。

　　2021年7月，国家互联网应急中心有关报告显示，2020年捕获恶意程序样本数量超4200万个，日均传播次数为482万余次，恶意程序样本的境外来源主要是美国、印度等。

　　如何应对？

　　7月6日，公安部召开新闻发布会，通报全国公安机关严厉打击网络违法犯罪活动。据介绍，公安部牵头建立了国家网络与信息安全信息通报机制，指导、监督并组织实施网络安全实时监测、信息共享、通报预警、应急处置等工作，形成立体化、实战化的网络与信息安全通报预警工作体系。

　　在此基础上，公安机关组织警力、重要行业部门和社会资源力量，开展7×24小时实时监测，建立完善网络安全监测预警和应急处置体系，有效防范抵御了大批黑客和不法分子的网络攻击、病毒木马传播、漏洞安全隐患等各类网络安全事件和威胁，确保了重要网络和数据安全。

　　事关你我！

　　警方提示，网络安全无小事，任何个人和组织在遇到危害网络安全的行为时，有权依照《中华人民共和国网络安全法》第十四条之规定，向当地公安机关网安部门举报，公安机关将依法对相关违法犯罪行为予以坚决打击。

　　@“草头”：网络防护不可等闲视之，涉及国家机密和安全，必须采取措施，严密保护。

　　@“淡然-213”：人身安全无小事，国家安全同样无小事！有国才有家！

　　@“fy111111”：坚决维护国家网络安全。

　　@“九鼎光华”：伤害性大不大先不说，挑衅性极强！

　　@“东山听雨飞”：细思极恐。国家安全，就在我们身边！ 综合国家安全部微信公号、新华社等

编辑：黎博恩