美国特别入侵行动办公室(TAO)对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
经过长期的精心准备,TAO使用“酸狐狸”平台对中国西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。利用木马级联控制渗透的方式,向中国西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分中国西北工业大学内部路由器、交换机等重要网络节点设备的控制权,窃取身份验证数据,并进一步实施渗透拓展,最终达成了对中国西北工业大学内部网络的隐蔽控制。
TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制中国西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。
TAO通过窃取中国西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。
TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
美国国家安全局“特定入侵行动办公室”(TAO)在网络攻击中国西北工业大学过程中,暴露出多项技术漏洞,多次出现操作失误,相关证据进一步证明对中国西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。
首先,攻击时间完全吻合美国工作作息时间规律。美国国家安全局“特定入侵行动办公室”(TAO)在使用tipoff激活指令和远程控制NOPEN木马时,必须通过手动操作,从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。
根据对相关网络攻击行为的大数据分析,对中国西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。其次,美国时间的全部周六、周日中,均未发生对中国西北工业大学的网络攻击行动。第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断,针对中国西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。
其次,其语言行为习惯与美国密切关联。技术团队在对网络攻击者长时间追踪和反渗透过程中发现,攻击者具有以下语言特征:一是攻击者有使用美式英语的习惯;二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击者使用美式键盘进行输入。
最重要的是其大量武器与遭曝光的NSA武器基因高度同源。此次被捕获的、对中国西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TAO武器完全一致;有23款工具虽然与“影子经纪人”曝光的工具不完全相同,但其基因相似度高达97%,属于同一类武器,只是相关配置不相同;另有2款工具无法与“影子经纪人”曝光工具进行对应,但这2款工具需要与TAO的其它网络攻击武器工具配合使用,因此这批武器工具明显具有同源性,都归属于TAO。
而且部分网络攻击行为发生在“影子经纪人”曝光之前。技术团队综合分析发现,在对中国目标实施的上万次网络攻击,特别是对中国西北工业大学发起的上千次网络攻击中,部分攻击过程中使用的武器攻击,在“影子经纪人”曝光NSA武器装备前便完成了木马植入。按照NSA的行为习惯,上述武器工具大概率由TAO雇员自己使用。