技術團隊先後從西北工業大學的多個信息系統和上網終端中提取到了多款木馬樣本,綜合使用國內現有數據資源和分析手段,並得到了歐洲、南亞部分國家合作夥伴的通力支持,全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭。調查顯示,美國國家安全局持續對西北工業大學開展攻擊竊密,竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。美方先後使用了41種專用網絡攻擊武器裝備,僅後門工具“狡詐異端犯”就有14款不同版本。
技術團隊將此次攻擊活動中所使用的武器類別分為四大類,包括漏洞攻擊突破類武器、持久化控制類武器、嗅探竊密類武器、隱蔽消痕類武器。
“最開始使用漏洞攻擊突破類武器,突破之後投送第二類持久化控制類的武器工具。接著使用第三類嗅探竊密類武器,長期潛伏竊取我們重要的數據。當認為任務已經完成之後,開始使用第四類隱蔽消痕類武器,把現場清理乾淨,讓被害人無法察覺。”國家計算機病毒應急處理中心高級工程師杜振華介紹。
美國國家安全局特定入侵行動辦公室成立於1998年,是目前美國政府專門從事對他國實施大規模網絡攻擊竊密活動的戰術實施單位,由2000多名軍人和文職人員組成,下設10個處室。為了隱匿對西北工業大學等中國信息網絡實施網絡攻擊的行為,美方做了長時間準備工作,並且進行了精心偽裝。
調查顯示,特定入侵行動辦公室在針對西北工業大學的網絡攻擊行動中先後使用了54台跳板機和代理服務器,主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家,其中70%位於中國周邊國家,如日本、韓國等。其中,用以掩蓋真實IP的跳板機都是精心挑選,所有IP均歸屬於非“五眼聯盟”國家。
技術團隊通過威脅情報數據關聯分析,發現針對西北工業大學攻擊平台所使用的網絡資源共涉及5台代理服務器,NSA通過秘密成立的傑克·史密斯咨詢公司(Jackson Smith Consultants)、穆勒多元系統公司(Mueller Diversified Systems)兩家掩護公司向美國泰瑞馬克(Terremark)公司購買了埃及、荷蘭和哥倫比亞等地的IP地址,並租用一批服務器。
|
