近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。
据了解,在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局(NSA)网络攻击案过程中苹果美国id账号20224月,成功提取了这款间谍软件的多个样本,并锁定了这起网络间谍行动背后美国国家安全局(NSA)工作人员的真实身份。
据技术分析报告显示,该间谍软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,它与其他恶意软件配合可以完成复杂的网络“间谍”活动。
国家计算机病毒应急处理中心高级工程师杜振华表示,该软件是具有高技术水平的网络间谍工具,使攻击者能够全面接管被攻击的(目标)网络设备以及流经这些网络设备的网络流量,从而实现对目标网络中主机和用户的长期窃密,同时还可以作为下一阶段攻击的“前进基地”,随时向目标网络中投送更多网络攻击武器。
据专家介绍,“二次约会”间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上,其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。另外,“二次约会”间谍软件支持在各类操作系统上运行,同时兼容多种体系架构,适用范围较广。
杜振华说,“该间谍软件通常会结合特定入侵行动办公室的各类针对防火墙、网络路由器的网络设备漏洞攻击工具一并使用。一旦漏洞攻击成功,攻击者成功获得了目标网络设备的控制权限,就可以将这款网络间谍软件植入到目标的网络设备中。”
报告显示,国家计算机病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查,经层层溯源,发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本,并发现被美国国家安全局(NSA)远程控制的跳板服务器,其中多数分布在德国、日本、韩国、印度和中国台湾。
杜振华表示,在多国业内伙伴的通力配合下,联合调查工作已取得突破性进展。目前已经成功锁定了针对西北工业大学发动网络攻击的美国国家安全局(NSA)相关工作人员的真实身份。
另据环球网消息,相关人士向记者表示,将适时通过媒体公布NSA实施网络攻击人员真实身份信息。相信到时将会再次引发全球民众对美国政府肆意网攻他国的关注。
去年9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告,调查发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备,疑似窃取了高价值数据。
2022年4月,西安市公安机关接到一起网络攻击的报警,西北工业大学的信息系统发现遭受网络攻击的痕迹。
西北工业大学信息化建设与管理处副处长兼信息中心主任 宋强:近期我校系统发现木马程序,企图非法获取权限,这给我们学校的正常工作和生活秩序造成了重大的风险隐患。我校高度重视网络安全工作, 已将该情况报警。
西安市公安机关对此高度重视,立即组织警力与网络安全技术专家成立联合专案组对此案进行立案侦查。国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。
本次调查还发现,在近年里,美国国家安全局(NSA)下属特定入侵行动办公室(TAO)对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括:网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取了超过140GB的高价值数据。
联合技术团队经过复杂的技术分析与溯源,还原了西北工业大学遭受网络攻击的过程和被窃取的文件,掌握了美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13 名,以及美国国家安全局(NSA)通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同 60 余份、电子文件 170余份。
西安市公安局碑林分局副局长 靳琪:目前,联合专案组已将相关调查结果上报国家有关部门。
据360公司此次发布的调查报告显示,此案在美国国家安全局(NSA)内部攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,而NSA窃密期间,TAO负责人是罗伯特·乔伊斯(Robert Edward Joyce)。
此人1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰·霍普金斯大学,获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全局主管。
技术分析中发现,TAO已于此次攻击活动开始前,在美国多家大型知名互联网企业的配合下,掌握了中国大量通信网络设备的管理权限,为NSA持续侵入中国国内的重要信息网络大开方便之门。
TAO先后使用了41种NSA的专用网络攻击武器装备,通过分布于日本、韩国、瑞典、波兰、乌克兰等17个国家的49台跳板机和5台代理服务器,对西北工业大学发起了攻击窃密行动上千次,窃取了一批网络数据。
美国国家安全局TAO的网络攻击武器装备针对性强,得到了美国互联网巨头的鼎力支持。同一款装备会根据目标环境进行灵活配置,在使用的41款装备中,仅后门工具“狡诈异端犯”(NSA命名)在对西北工业大学的网络攻击中就有14款不同版本。
TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名网络。
TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO工作人员可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。
TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、生成的操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。
TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。
据调查显示,这些跳板机均经过精心挑选,所有IP均归属于非“五眼联盟”国家,而且大部分选择了中国周边国家(如日本、韩国等)的IP,约占70%。根据溯源分析,这些跳板机仅使用了中转指令,将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。
目前已经至少掌握TAO攻击实施者从其接入环境(美国国内电信运营商)控制跳板机的四个IP:
美国国家安全局NSA为了保护其身份安全,使用了美国Register公司的匿名保护服务,相关域名和证书无明确指向,无关联人员。而TAO为了掩盖其攻击来源,并保护工具的安全,对需要长期驻留互联网的攻击平台,通过掩护公司向服务商购买服务。
针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP,并租用一批服务器。
同时国行苹果登录美国id会不会锁,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达·拉米雷斯(Amanda Ramirez)”的名字匿名购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。
