霍普金斯大学数据可靠吗(证据确凿 *** 攻击西北工业大学的是美国国家安全局)

来源:环球时报-环球网

[环球时报-环球网报道特约记者袁弘]西北工业大学6月发表声明称，来自境外的黑客组织和不法分子向该校师生发送含有木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息。9月5日，《环球时报》从相关部门获悉，西北工业大学海外 *** 攻击的“真凶”是美国国家安全局(NSA)特定入侵行动办公室(TAO)。在各部门的通力合作下，此次行动完整还原了NSA近年来在美国利用 *** 武器发动的一系列攻击，打破了美国对中国的“单向透明”优势。

“真正的凶手”曝光:美国特定入侵行动办公室

6月22日，西北工业大学发布声明，称境外黑客和不法分子向该校师生发送含有木马程序的钓鱼邮件，企图窃取师生相关邮件数据和公民个人信息，给学校正常工作和生活秩序造成重大风险。6月23日，Xi公安局碑林分局发布警情通报，称已立案侦查，并对提取的木马和钓鱼邮件样本进一步开展技术分析。初步认定，这起事件是境外黑客组织和不法分子发起的 *** 攻击。

针对“西北工业大学遭受境外 *** 攻击”，中国国家计算机病毒应急处理中心与360公司联合组成技术团队(以下简称“技术团队”)，对案件进行全面的技术分析。技术团队先后从西北工业大学多个信息系统和互联网终端提取了多种木马样本，综合利用国内现有数据资源和分析手段，得到了欧洲和南亚部分国家合作伙伴的全力支持，完整还原了相关攻击的概况、技术特征、攻击武器、攻击路径和攻击来源。技术小组初步确定，对西北工业大学的 *** 攻击是由美国国家安全局信息和情报部(代号S)数据侦察局(代号)下属的陶(代号S32)部门实施的。

攻击代号“封锁XXXX”

TAO成立于1998年，是美国 *** 的一个战术执行单位，专门从事针对其他国家的大规模 *** 攻击和秘密窃取活动。它由2000多名军事和文职人员组成，并设有10个办事处。

《环球时报》记者了解到，这起案件在NSA的攻击代码是“Shotxxxx”。直接参与指挥行动的主要有陶组长、远程操作中心(主要负责操作武器平台和工具访问和控制目标系统或 *** )和任务基础设施技术部(负责开发和建立 *** 基础设施和安全监控平台，用于构建攻击行动 *** 环境和匿名 *** )。

此外，参与此次行动的还有另外四个部门，分别是高级/接入网技术部、数据网技术部和电信网技术部，负责提供技术支持，需求与定位部负责确定攻击策略和情报评估。

当时陶的掌门人是罗伯特·乔伊斯。此人出生于1967年9月13日，就读于汉尼拔高中，1989年毕业于克拉克森大学，获学士学位，1993年毕业于约翰霍普金斯大学，获硕士学位。他于1989年加入国家安全局。曾任陶副主任，2013年至2017年任陶主任。2017年10月开始担任美国 *** 国土安全顾问。2018年4月至5月，他担任白宫国家安全顾问，随后回到NSA担任国家安全局局长 *** 安全战略高级顾问，现在担任NSA *** 安全局局长。

技术团队全面还原攻击窃取过程:陶使用41件NSA专用 *** 攻击武器。

本次调查发现，近年来，美国NSA下属陶公司对我国 *** 目标实施了数万次恶意 *** 攻击，控制了数万台 *** 设备( *** 服务器、互联网终端、 *** 交换机、 *** 交换机、路由器、防火墙等。)，并窃取了超过140GB的高价值数据。

在技术分析中还发现，陶在攻击前与美国多家大型知名互联网公司合作，掌握了我国大量通信 *** 设备的管理权限，为NSA持续入侵我国重要信息 *** 打开了方便之门。

经过追查分析，目前技术团队已经完整还原了窃密过程:在针对西北工业大学的 *** 攻击中，陶使用了41种NSA专用的 *** 攻击武器，继续对西北工业大学进行窃密，窃取其 *** 设备配置、 *** 管理数据、运维数据等关键技术数据。技术团队理清了1100多个攻击链接，90多个操作指令序列，很多被盗的 *** 设备配置文件，嗅探了西北工业大学的 *** 通信数据和密码，其他类型的日志和关键文件，基本还原了每次攻击的主要细节。掌握并固定了多条相关证据链，涉及在美国直接对中国发动 *** 攻击的13人，以及NSA与美国电信运营商签订的60多份合同、170份电子文件，通过掩护公司构建 *** 攻击环境。

证据确凿:锁定四个IP地址。

为了掩盖其攻击，陶在攻击开始前做了长时间的准备，主要是构建匿名攻击基础设施。陶利用SunOS操作系统的两个“零日漏洞”工具，选取我国周边国家的教育机构、商业公司等高 *** 应用流量的服务器作为攻击目标；攻击成功后安装NOPEN木马(参与相关研究报告)，大量跳板机被控制。

据介绍，陶在针对西北工业大学的 *** 攻击中使用了54台跳板机和 *** 服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于日韩等中国周边国家。

这些跳板机的功能仅限于指令传递，即将之前的跳板指令转发到目标系统，从而掩盖了国家安全局发起的 *** 攻击的真实IP。目前从陶控制的跳板其接入环境(美国国内电信运营商)已知至少有四个IP地址，分别为209.59.36 *、69.165.54 *、207.195.240 *和209.118.143 *。同时，为了进一步掩盖跳板机和 *** 服务器与NSA的关系，NSA利用美国Register公司的匿名保护服务，对相关域名、证书、注册人等可追溯信息进行匿名化处理，无法通过公开渠道查询。

通过威胁情报数据的关联分析，团队发现西北工业大学攻击平台使用的 *** 资源涉及5台 *** 服务器。NSA通过两家秘密掩护公司从美国Terremark公司购买了埃及、荷兰和哥伦比亚的IP地址，并租用了一批服务器。这两家公司是杰克逊·史密斯顾问公司和穆勒多元化系统公司。同时，技术团队还发现，陶基础设施技术事业部(MIT)的工作人员以“Amanda Ramirez”的名义匿名购买了该域名和一个通用SSL证书(ID:e 42d 3 bea 0a 16111 e 67 ef 79 F9 cc 2 * * * *)。随后，上述域名和证书被部署在位于美国的中间人攻击平台Foxacid上，对中国的大量 *** 目标进行攻击。特别是陶对西北工业大学等国内信息 *** 目标发起了多轮持续攻击和窃密行动。

为了隐藏攻击的行踪，在对西北工业大学的 *** 攻击中，陶会根据目标环境灵活配置相同的 *** 武器。例如，在针对西北工业大学的 *** 攻击中使用的 *** 武器中，后门工具“狡猾的异端”(NSA命名)只有14种不同版本。

意义:打破美国对中国的“单向透明”优势。

据其介绍，美国国家安全局(NSA)长期以来一直针对龙头企业、 *** 、高校、医疗机构、科研机构甚至关系国计民生的重要信息基础设施运维单位进行秘密黑客活动。其行为可能对我国国防安全、关键基础设施安全、金融安全、社会安全、生产安全和公民个人信息造成严重危害。

此次，西北工业大学联合中国国家计算机病毒应急处理中心、360公司，完整还原了近年来美国NSA利用 *** 武器发动的一系列攻击，打破了美国对中国的“单向透明”优势。面对一个有国家背景的强大对手，首先要知道风险在哪里，是什么样的风险，在什么时候。这次美国的NSA攻击也可以证明，我们看不到他们就会挨打。这是三方集中力量攻克“看得见”难题的成功实践，帮助国家真正感知风险、看到威胁、抵御攻击，将境外黑客攻击暴露在阳光下。

此外，西北工业大学与相关部门联合行动，积极采取防御措施，值得世界各国NSA *** 攻击受害者借鉴，这将成为世界各国有效防范和抵御美国NSA后续 *** 攻击的有力参考。《环球时报》也将继续关注此事进展。