西北工业大学遭境外网络攻击调查报告公布，源头系美国国安局下属机构

9月5日，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。报告显示网络攻击源头系美国国家安全局(NSA)。

此次调查发现，针对西北工业大学的网络攻击中，美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)使用了40余种不同的专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

另外调查还发现，近年TAO还对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”（0day）及其控制的网络设备等，持续扩大网络攻击和范围。

事件起因

此次遭受攻击的西北工业大学位于陕西西安，隶属于工业和信息化部，是一所多科性、研究型、开放式大学。

西北工业大学是目前我国从事航空、航天、航海工程教育和科学研究领域的重点大学，拥有大量国家顶级科研团队和高端人才，承担国家多个重点科研项目，地位十分特殊，网络安全十分关键。由于其所具有的特殊地位和从事的敏感科学研究，所以才成为此次网络攻击的针对性目标。

今年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。西安市公安局碑林分局随后发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本，西安警方已对此正式立案调查。

据该通报披露，西北工业大学电子邮件系统近期发现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件，内含木马程序，引诱部分师生点击链接，非法获取师生电子邮箱登录权限。同时，部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。这些举动，对西北工业大学校内信息系统和广大师生的重要数据造成重大安全威胁。 

后经公安机关查实，此事件为境外黑客组织和不法分子发起的网络攻击。

中国国家计算机病毒应急处理中心和360公司第一时间成立技术团队开展调查工作，全程参与此案技术分析。技术团队先后从多个信息系统和上网终端中捕获到了木马程序样本，综合使用国内现有数据资源和分析手段，并得到欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（以下简称NSA）的“特定入侵行动办公室”（Office of Tailored Access Operation，以下简称TAO）。

《调查报告》公布

该系列研究报告公布了NSA下属TAO对西北工业大学发起的上千次网络攻击活动中，某些特定攻击活动的重要细节，为全球各国有效防范和发现TAO的后续网络攻击行为提供可以借鉴的案例。

调查报告显示， NSA在对西北工业大学的网络攻击行动中，先后使用了41种专用网络攻击武器装备，仅后门工具“狡诈异端犯”( NSA 命名)就有14款不同版本。

经技术分析与溯源，技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术，还原了攻击过程和被窃取的文件，掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据，涉及在美国国内对中国直接发起网络攻击的人员13名，以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份，电子文件170余份。

在针对西北工业大学的网络攻击中，TAO使用了40余种不同的NSA专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

通过取证分析，技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个，并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。

相关技术人员表示：“在前期，TAO会释放一些侦察模块，去确认它的目标环境中是否有需要去窃取的密码或重要情报信息。根据不同的情况、系统或平台，去定制化进行武器的攻击和投递。”

NSA用到的网络攻击武器

技术团队将此次攻击活动中所使用的武器类别分为四大类（更详细的解说请见文末附录）：

1、漏洞攻击突破类武器，包括“剃须刀”、“孤岛”和“酸狐狸”武器平台等；

2、持久化控制类武器，包括“二次约会”、“NOPEN”、“怒火喷射”、“狡诈异端犯”、“坚忍外科医生”等；

3、嗅探窃密类武器，包括“饮茶”和“敌后行动”系列武器等；

4、隐蔽消痕类武器，包括“吐司面包” 等。

此次调查报告披露， NSA利用上述大量网络攻击武器，针对我国各行业龙头企业、政府、大学、医疗、科研等机构长期进行秘密黑客攻击活动。并且长期对中国的手机用户进行无差别的语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。

360公司创始人周鸿祎表示：“（NSA）瞄准国家科研机构、政府部门、军工单位、高校窃取情报或者窃取数据。他们的攻击从策划到部署，要通过很长的跳板实现，直到攻到核心岗位中，持续时间有的长达数年。这样带来的危害非常大，因为中国正在进行数字化改革，我们很多重要的业务都由数据来驱动，数据一旦被窃取或破坏，会带来严重的风险。”

此次调查报告披露， NSA为了隐匿其对西北工业大学等中国信息网络实施网络攻击的行为，做了长时间准备工作，并且进行了精心伪装。

技术团队分析发现， TAO在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设，利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，即安装NOPEN木马程序，控制了大批跳板机。

TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。其中，用以掩盖真实IP的跳板机都是精心挑选，所有IP均归属于非“五眼联盟”国家。

这些跳板机的功能仅限于指令中转，即：将上一级的跳板指令转发到目标系统，从而掩盖NSA发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境（美国国内电信运营商）控制跳板机的四个IP地址，分别为209.59.36。*、69.165.54。*、207.195.240。*和209.118.143。*。同时，为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系，NSA使用了美国Register公司的匿名保护服务，对相关域名、证书以及注册人等可溯源信息进行匿名化处理，无法通过公开渠道进行查询。

技术团队通过威胁情报数据关联分析，发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器，NSA通过秘密成立的两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP地址，并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司（Jackson Smith Consultants）、穆勒多元系统公司（Mueller Diversified Systems）。同时，技术团队还发现，TAO基础设施技术处（MIT）工作人员使用“阿曼达•拉米雷斯（Amanda Ramirez）”的名字匿名购买域名和一份通用的SSL证书（ID：e42d3bea0a16111e67ef79f9cc2*****）。随后，上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”（Foxacid）上，对中国的大量网络目标开展攻击。特别是，TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。

国家计算机病毒应急处理中心高级工程师 杜振华表示：“它（NSA）使用这种虚拟身份或代理人身份去租用和购买互联网上的这种服务器、IP地址、域名，甚至还可以通过这种网络攻击的手段，在对方不知情的情况下，接管第三方用户的服务器资源。以此实施网络攻击，实现借刀杀人的效果。”

NSA为了保护其身份安全，使用了美国隐私保护公司的匿名保护服务，相关域名和证书均指向无关联人员，以便掩盖真实攻击平台对西北工业大学等中国信息网络展开的多轮持续性攻击、窃密行动。

“有了这些跳板机之后，TAO就可以躲在后面向目标发动网络攻击。从受害者的角度，即使发现了攻击，也只能看到这些跳板机。这样就起到了对真实攻击来源网络地址的保护作用。”杜振华说到。

技术团队还发现，相关网络攻击活动开始前，NSA在美国多家大型知名互联网企业配合下，将掌握的中国大量通信网络设备的管理权限，提供给美国国家安全局等情报机构，为持续侵入中国国内的重要信息网络大开方便之门。

TAO是一个什么机构？

经技术分析和网上溯源调查发现，实施此次网络攻击行动的TAO成立于1998年，是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成。下设10个单位：

1、远程操作中心(ROC，代号 S321)，主要负责操作武器平台和工具进入并控制目标系统或网络。

2、先进/接入网络技术处(ANT，代号 S322)，负责研究相关硬件技术，为TAO网络攻击行动提供硬件相关技术和武器装备支持。

3、数据网络技术处(DNT，代号 S323)，负责研发复杂的计算机软件工具，为TAO操作人员执行网络攻击任务提供支撑。

4、电信网络技术处(TNT，代号 S324)，负责研究电信相关技术，为TAO操作人员隐蔽渗透电信网络提供支撑。

5、任务基础设施技术处(MIT，代号 S325)，负责开发与建立网络基础设施和安全监控平台，用于构建攻击行动网络环境与匿名网络。

6、接入行动处(AO，代号 S326)，负责通过供应链，对拟送达目标的产品进行后门安装。

7、需求与定位处(R&T，代号 S327)；接收各相关单位的任务，确定侦察目标，分析评估情报价值。

8、接入技术行动处(ATO，编号 S328)，负责研发接触式窃密装置，并与美国中央情报局和联邦调查局人员合作，通过人力接触方式将窃密软件或装置安装在目标的计算机和电信系统中。

9、S32P：项目计划整合处(PPI，代号 S32P)，负责总体规划与项目管理。

10、NWT：网络战小组(NWT)，负责与133个网络作战小队联络。

TAO的力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是：

1、国安局马里兰州的米德堡总部；

2、瓦湖岛的国安局夏威夷密码中心(NSAH)；

3、戈登堡的国安局乔治亚密码中心(NSAG)；

4、圣安东尼奥的国安局得克萨斯密码中心(NSAT)；

5、丹佛马克利空军基地的国安局科罗拉罗密码中心(NSAC)；

6、德国达姆施塔特美军基地的国安局欧洲密码中心(NSAE)。

NSA针对西北工业大学的攻击窃密行动的TAO负责人是罗伯特·乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生，曾就读于汉尼拔高中，1989年毕业于克拉克森大学，获学士学位，1993年毕业于约翰斯•霍普金斯大学，获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任，2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月，担任美国白宫国务安全顾问，后回到NSA担任美国国家安全局局长网络安全战略高级顾问，现担任NSA网络安全主管。

本次研究对全球防范美国网络攻击具有重大意义

据360网络安全专家表示，TAO代表了全球网络攻击的最高水平，他们所掌握的大量的攻击武器，相当于有了互联网当中的万能钥匙，可以任意进出它想要的目标设备，从而进行情报窃取、数据破坏等动作。

调查报告显示，一直以来，NSA针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害，值得我们深思与警惕。

此次西北工业大学联合中国国家计算机病毒应急处理中心与360公司，全面还原了数年间NSA利用网络武器发起的一系列攻击行为，打破了一直以来美国对我国的单向透明优势。面对国家级背景的强大对手，首先要知道风险在哪，是什么样的风险，什么时候的风险。

只要能迅速发现这种威胁，感知到这种攻击，就能够定位溯源，就知道它从哪进来的，知道他们用什么漏洞进来的，然后就能把它给处置掉，把它清理掉，同时把该修补的漏洞都修补上。

调查报告认为，西北工业大学此次公开发布遭受境外网络攻击的声明，本着实事求是、绝不姑息的决心，坚决一查到底，积极采取防御措施的行动值得遍布全球的NSA网络攻击活动受害者学习，这将成为世界各国有效防范抵御NSA后续网络攻击行为的有力借鉴。后续技术团队还将陆续公布相关事件调查的更多技术细节。

外交部：中方强烈谴责，要求美方作出解释并立即停止不法行为

针对西北工业大学遭受美国网络攻击一事，外交部发言人毛宁9月5日在例行记者会上回答有关提问时表示，美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责，要求美方作出解释并立即停止不法行为。

毛宁表示，相关调查报告揭露了美国政府对中国进行网络攻击的又一实例。根据国家计算机病毒应急处理中心和360公司联合技术团队的技术分析与追踪溯源，美国国家安全局对中国实施网络攻击和数据窃密的证据链清晰完整，涉及在美国国内对中国直接发起网络攻击的人员13名，以及为构建网络攻击环境而与美国电信运营商签订的合同60余份，电子文件170余份。报告显示，美方先后使用41种专用网络攻击武器装备，对西北工业大学发起攻击窃密行动上千次，窃取了一批核心技术数据。美方还长期对中国的手机用户进行无差别语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。

“美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责，要求美方作出解释并立即停止不法行为。”她说。

毛宁强调，网络空间安全是世界各国面临的共同问题。作为拥有最强大网络技术实力的国家，美国应立即停止对他国进行窃密和攻击，以负责任的态度参与全球网络空间治理，为维护网络安全发挥建设性作用。

在回答中方将如何更好维护国家网络安全的提问时，毛宁说，西北工业大学遭受美国网络攻击的案例再次表明维护国家网络安全的极端重要性。作为黑客攻击的主要受害国，中方坚决反对任何形式的网络攻击。中国法律明确规定禁止任何网络入侵和破坏信息系统的行为。

毛宁说，近年来，中国加快推进网络安全领域顶层设计，制定完善网络安全相关战略规划和法律体系，不断提高网络安全保障能力和网络空间执法能力，中国民众的网络安全意识也不断提高。9月5日至11日是2022年中国国家网络安全宣传周，相信相关宣传教育活动将进一步提升全社会网络安全意识和安全防护技能，筑牢网络安全防线，营造网络空间安全环境。

毛宁说，网络空间安全威胁是各国面临的共同挑战，维护网络安全是国际社会的共同责任。中国坚持和平利用网络空间，愿同国际社会一道，加强对话与合作，共同反对网络霸权，共同应对各类网络攻击，维护和平、安全、开放、合作、有序的网络空间，推动建立多边、民主、透明的全球互联网治理体系，携手构建网络空间命运共同体。

附录：本次攻击活动中TAO所使用工具详解

1、漏洞攻击突破类武器

TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有3种：

①“剃须刀”

此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击，攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击，所控制跳板机被用于对西北工业大学的网络攻击。

②“孤岛”

此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击，直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。

③“酸狐狸”武器平台

此武器平台部署在哥伦比亚，可结合“二次约会”中间人攻击武器使用，可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击，获取目标系统的控制权（详见：国家计算机病毒应急处理中心《美国国家安全局（NSA）“酸狐狸”漏洞攻击武器平台技术分析报告》）。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。

2、持久化控制类武器

TAO依托此类武器对西北工业大学网络进行隐蔽持久控制，TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有6种：

①“二次约会”

此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器，劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

②“NOPEN”

此武器是一种支持多种操作系统和不同体系架构的远控木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力（详见：国家计算机病毒应急处理中心《“NOPEN”远控木马分析报告》）。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

③“怒火喷射”

此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。

④“狡诈异端犯”

此武器是一款轻量级的后门植入工具，运行后即自删除，具备权限提升能力，持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留，以便在合适时机建立加密管道上传NOPEN木马，保障对西北工业大学信息网络的长期控制。

⑤“坚忍外科医生”

此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程，避免其被监控发现。技术分析发现，TAO在对西北工业大学的网络攻击中，累计使用了该武器的12个不同版本。

3、嗅探窃密类武器

TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种：

①“饮茶”

此武器可长期驻留在32位或64位的Solaris系统中，通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等，压缩加密存储后供NOPEN木马下载。

②“敌后行动”系列武器

此系列武器是专门针对电信运营商特定业务系统使用的工具，根据被控业务设备的不同类型，“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。

4、隐蔽消痕类武器

TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。现已发现1种此类武器：

“吐司面包” ，此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件，隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。

本文内容参考央视新闻、中新网、长安街知事、环球时报、西北工业大学官网、中国国家计算机病毒应急处理中心、360公司、新京报报道