西北工業大學遭受美國NSA網路攻擊調查報告(之二)
2022年6月22日,西北工業大學釋出《公開宣告》稱,該校遭受境外網路攻擊。陝西省西安市公安局碑林分局隨即釋出《警情通報》,證實在西北工業大學的資訊網路中發現了多款源於境外的木馬和惡意程式樣本,西安警方已對此正式立案調查。
中國國家計算機病毒應急處理中心和360公司全程參與了此案的技術分析工作。技術團隊先後從西北工業大學的多個資訊系統和上網終端中提取到了木馬程式樣本,綜合使用國內現有資料資源和分析手段,並得到歐洲、東南亞部分國家合作伙伴的通力支援,全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關攻擊活動源自於美國國家安全域性(NSA)的“特定入侵行動辦公室”(即:Office of Tailored Access Operation,後文簡稱“TAO”)。
本系列研究報告將公佈TAO對西北工業大學發起的上千次網路攻擊活動中,某些特定攻擊活動的重要細節,為全球各國有效發現和防範TAO的後續網路攻擊行為提供可以借鑑的案例。
一、TAO攻擊滲透
西北工業大學的流程
TAO對他國發起的網路攻擊技戰術針對性強,採取半自動化攻擊流程,單點突破、逐步滲透、長期竊密。
一
單點突破、級聯滲透,
控制西北工業大學網路
經過長期的精心準備,TAO使用“酸狐狸”平臺對西北工業大學內部主機和伺服器實施中間人劫持攻擊,部署“怒火噴射”遠端控制武器,控制多臺關鍵伺服器。利用木馬級聯控制滲透的方式,向西北工業大學內部網路深度滲透,先後控制運維網、辦公網的核心網路裝置、伺服器及終端,並獲取了部分西北工業大學內部路由器、交換機等重要網路節點裝置的控制權,竊取身份驗證資料,並進一步實施滲透拓展,最終達成了對西北工業大學內部網路的隱蔽控制。
二
隱蔽駐留、“合法”監控,
竊取核心運維資料
TAO將作戰行動掩護武器“堅忍外科醫生”與遠端控制木馬NOPEN配合使用,實現程序、檔案和操作行為的全面“隱身”,長期隱蔽控制西北工業大學的運維管理伺服器,同時採取替換3個原系統檔案和3類系統日誌的方式,消痕隱身,規避溯源。TAO先後從該伺服器中竊取了多份網路裝置配置檔案。利用竊取到的配置檔案,TAO遠端“合法”監控了一批網路裝置和網際網路使用者,為後續對這些目標實施拓展滲透提供資料支援。
三
蒐集身份驗證資料、構建通道,
滲透基礎設施
TAO通過竊取西北工業大學運維和技術人員遠端業務管理的賬號口令、操作記錄以及系統日誌等關鍵敏感資料,掌握了一批網路邊界裝置賬號口令、業務裝置訪問許可權、路由器等裝置配置資訊、FTP伺服器文件資料資訊。根據TAO攻擊鏈路、滲透方式、木馬樣本等特徵,關聯發現TAO非法攻擊滲透中國境內的基礎設施運營商,構建了對基礎設施運營商核心資料網路遠端訪問的“合法”通道,實現了對中國基礎設施的滲透控制。
四
控制重要業務系統,
實施使用者資料竊取
TAO通過掌握的中國基礎設施運營商的思科PIX防火牆、天融信防火牆等裝置的賬號口令,以“合法”身份進入運營商網路,隨後實施內網滲透拓展,分別控制相關運營商的服務質量監控系統和簡訊閘道器伺服器,利用“魔法學校”等專門針對運營商裝置的武器工具,查詢了一批中國境內敏感身份人員,並將使用者資訊打包加密後經多級跳板回傳至美國國家安全域性總部。
二、竊取西北工業大學
和 中國運營商敏感資訊
(一)竊取西北工業大學遠端業務管理賬號口令、操作記錄等關鍵敏感資料
TAO通過在西北工業大學運維管理伺服器安裝嗅探工具“飲茶”,長期隱蔽嗅探竊取西北工業大學運維管理人員遠端維護管理資訊,包含網路邊界裝置賬號口令、業務裝置訪問許可權、路由器等裝置配置資訊等。
遭到嗅探的網路裝置型別包括固定網際網路的接入網裝置(路由器、認證伺服器等)、核心網裝置(核心路由器、交換機、防火牆等),也包括通訊基礎設施運營企業的重要裝置(資料服務平臺等),內容包括賬號、口令、裝置配置、網路配置等資訊。
1、竊取西工大核心網路裝置
賬號口令及配置資訊
北京時間20××年12月11日6時52分,TAO以位於日本京都大學的代理伺服器(IP:130.54.××.××)為攻擊跳板,非法入侵了西北工業大學運維網路的“telnet”管理伺服器,上傳並安裝NOPEN木馬,然後級聯控制其內網監控管理伺服器,上述2臺伺服器事先均已被安裝“飲茶”嗅探工具。TAO遠端操控木馬檢索並下載被壓縮加密的監聽記錄檔案,然後清痕退出。竊取資料包括路由器、核心網裝置(核心路由器、交換機、防火牆)管理賬號、口令、裝置配置、網路配置等資訊。
2、多次竊取接入網認證裝置
賬號口令及配置資訊
(1)北京時間20××年5月30日0時28分,TAO以位於日本的代理伺服器(IP:210.135.××.××)為攻擊跳板,非法入侵了西北工業大學運維網路“telnet”管理伺服器,上傳並安裝NOPEN木馬,然後級聯控制其內網監控管理伺服器,這2臺伺服器事先均已被安裝“飲茶”嗅探工具,TAO遠端操控木馬檢索並下載竊密記錄檔案後清痕退出。竊取資料包括接入網認證裝置的賬號、口令及配置資訊。
(2)北京時間20××年7月4日1時12分,TAO利用位於德國萊比錫技術經濟和文化學院的代理伺服器(IP:141.57.××.××)作為攻擊跳板,非法入侵西北工業大學運維網路“telnet”管理伺服器,上傳並安裝NOPEN木馬工具,級聯控制其內網監控管理伺服器等其他3臺伺服器,這4臺伺服器事先均已被安裝“飲茶”嗅探工具,TAO遠端操控木馬檢索並下載竊密檔案後清痕退出。
(3)北京時間20××年10月11日10時35分,TAO利用位於韓國首爾國立江原大學的代理伺服器(IP:210.115.××.××)作為攻擊跳板,非法入侵西北工業大學運維網路監控管理伺服器,上傳並安裝NOPEN木馬工具,然後級聯控制其內網備份伺服器、認證伺服器等其他4臺伺服器,這5臺伺服器事先均已被安裝“飲茶”嗅探工具,TAO遠端操控木馬分別檢索並下載竊取記錄檔案後清痕退出。
(4)北京時間20××年10月19日2時46分,TAO以位於韓國大田的高等科學技術研究學院的代理伺服器(IP:143.248.××.××)為攻擊跳板,非法入侵西北工業大學運維網路“telnet”管理伺服器,級聯控制其內網監管伺服器等其他2臺伺服器,這3臺伺服器事先均已被安裝“飲茶”嗅探工具,TAO通過遠端操控木馬檢索並下載竊密檔案,然後清痕退出。
(二)竊取西北工業大學網路裝置運維配置檔案和日誌檔案
美國國家安全域性“特定入侵行動辦公室”(TAO)長期攻擊入侵西北工業大學網路運維管理伺服器,祕密竊取網路裝置運維配置檔案和日誌檔案。
1、竊取西北工業大學
網路執行日誌檔案
北京時間20××年3月2日3時41分,TAO通過位於日本的代理伺服器(IP:210.135.××.××)非法入侵控制西北工業大學1臺網絡運維管理伺服器。3時49分,TAO從該運維管理伺服器橫向移動到另一臺運維監控伺服器,以特定字串為關鍵詞檢索日誌檔案並進行竊取了一批系統執行日誌檔案和系統日常自檢報告備份檔案。
2、竊取西北工業大學伺服器
定期任務配置指令碼
北京時間20××年10月11日10時41分,TAO通過位於韓國的代理伺服器(IP:210.115.××.××)入侵控制了西北工業大學一臺內網伺服器。10時48分,TAO經過兩次橫向移動,入侵了另一臺內網伺服器,訪問了特定目錄下的定期任務配置指令碼,共檢索到14個用於定期執行任務的配置檔案。隨後,一次性竊取了這14個檔案,這些檔案可用於執行定期清理、備份、檢查電源等操作。
3、竊取西北工業大學公司伺服器
系統資訊檔案
北京時間20××年6月6日1時27分,TAO通過位於韓國的代理伺服器(IP:222.122.××.××)入侵控制了西北工業大學一臺內網伺服器。2時4分,TAO經過兩次橫向移動,入侵了另一臺內網伺服器,訪問了目錄/var/下的系統檔案,竊取了60個常用的系統資訊檔案,被竊取的系統資訊檔案內容包含系統發行版本、使用者密碼雜湊、使用者許可權、本地域名解析配置等。
(三)滲透控制中國基礎設施核心裝置
美國國家安全域性“特定入侵行動辦公室”(TAO)利用竊取到的網路裝置賬號口令,以“合法”身份進入中國某基礎設施運營商服務網路,控制相關服務質量監控系統,竊取使用者隱私資料。
1、竊取中國使用者隱私資料
北京時間20××年3月7日22:53,美國國家安全域性“特定入侵行動辦公室”(TAO)通過位於墨西哥的攻擊代理148.208.××.××,攻擊控制中國某基礎設施運營商的業務伺服器211.136.××.××,通過兩次內網橫向移動(10.223.140.××、10.223.14.××)後,攻擊控制了使用者資料庫伺服器,非法查詢多名身份敏感人員的使用者資訊。
同日15:02,TAO將查詢到的使用者資料儲存在被攻擊伺服器 /var/tmp/.2e434fd8aeae73e1/erf/out/f/ 目錄下,被打包回傳至攻擊跳板,隨後竊密過程中上傳的滲透工具、使用者資料等攻擊痕跡被專用工具快速清除。
美國國家安全域性“特定入侵行動辦公室”(TAO)運用同樣的手法,分別於北京時間20××年1月10日23時22分、1月29日8時41分、3月28日22時00分、6月6日23時58分,攻擊控制另外1家中國基礎設施業務伺服器,非法多批次查詢、匯出、竊取多名身份敏感人員的使用者資訊。
2、滲透控制全球電信基礎設施
據分析,美國國家安全域性“特定入侵行動辦公室”(TAO)以上述手法,利用相同的武器工具組合,“合法”控制了全球不少於80個國家的電信基礎設施網路。技術團隊與歐洲和東南亞國家的合作伙伴通力協作,成功提取並固定了上述武器工具樣本,併成功完成了技術分析,擬適時對外公佈,協助全球共同抵禦和防範美國國家安全域性NSA的網路滲透攻擊。
三、TAO在攻擊過程中
暴露身份的相關情況
美國國家安全域性“特定入侵行動辦公室”(TAO)在網路攻擊西北工業大學過程中,暴露出多項技術漏洞,多次出現操作失誤,相關證據進一步證明對西北工業大學實施網路攻擊竊密行動的幕後黑手即為美國國家安全域性NSA。茲摘要舉例如下:
(一)攻擊時間完全吻合美國工作作息時間規律
美國國家安全域性“特定入侵行動辦公室”(TAO)在使用tipoff啟用指令和遠端控制NOPEN木馬時,必須通過手動操作,從這兩類工具的攻擊時間可以分析出網路攻擊者的實際工作時間。
首先,根據對相關網路攻擊行為的大資料分析,對西北工業大學的網路攻擊行動98%集中在北京時間21時至凌晨4時之間,該時段對應著美國東部時間9時至16時,屬於美國國內的工作時間段。
其次,美國時間的全部週六、週日中,均未發生對西北工業大學的網路攻擊行動。
第三,分析美國特有的節假日,發現美國的“陣亡將士紀念日”放假3天,美國“獨立日”放假1天,在這四天中攻擊方沒有實施任何攻擊竊密行動。
第四,長時間對攻擊行為密切跟蹤發現,在歷年聖誕節期間,所有網路攻擊活動都處於靜默狀態。依據上述工作時間和節假日安排進行判斷,針對西北工業大學的攻擊竊密者都是按照美國國內工作日的時間安排進行活動的,肆無忌憚,毫不掩飾。
(二)語言行為習慣與美國密切關聯
技術團隊在對網路攻擊者長時間追蹤和反滲透過程中(略)發現,攻擊者具有以下語言特徵:一是攻擊者有使用美式英語的習慣;二是與攻擊者相關聯的上網裝置均安裝英文作業系統及各類英文版應用程式;三是攻擊者使用美式鍵盤進行輸入。
(三)武器操作失誤暴露工作路徑
20××年5月16日5時36分(北京時間),對西北工業大學實施網路攻擊人員利用位於韓國的跳板機(IP:222.122.××.××),並使用NOPEN木馬再次攻擊西北工業大學。在對西北工業大學內網實施第三級滲透後試圖入侵控制一臺網路裝置時,在執行上傳PY指令碼工具時出現人為失誤,未修改指定引數。指令碼執行後返回出錯資訊,資訊中暴露出攻擊者上網終端的工作目錄和相應的檔名,從中可知木馬控制端的系統環境為Linux系統,且相應目錄名“/etc/autoutils”系TAO網路攻擊武器工具目錄的專用名稱(autoutils)。
出錯資訊如下:
Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569
(四)大量武器與遭曝光的NSA武器基因高度同源
此次被捕獲的、對西北工業大學攻擊竊密中所用的41款不同的網路攻擊武器工具中,有16款工具與“影子經紀人”曝光的TAO武器完全一致;有23款工具雖然與“影子經紀人”曝光的工具不完全相同,但其基因相似度高達97%,屬於同一類武器,只是相關配置不相同;另有2款工具無法與“影子經紀人”曝光工具進行對應,但這2款工具需要與TAO的其它網路攻擊武器工具配合使用,因此這批武器工具明顯具有同源性,都歸屬於TAO。
(五)部分網路攻擊行為發生在“影子經紀人”曝光之前
技術團隊綜合分析發現,在對中國目標實施的上萬次網路攻擊,特別是對西北工業大學發起的上千次網路攻擊中,部分攻擊過程中使用的武器攻擊,在“影子經紀人”曝光NSA武器裝備前便完成了木馬植入。按照NSA的行為習慣,上述武器工具大概率由TAO僱員自己使用。
四、TAO網路攻擊西北工業大學
武器平臺IP列表
技術分析與溯源調查中,技術團隊發現了一批TAO在網路入侵西北工業大學的行動中託管所用相關武器裝備的伺服器IP地址,舉例如下:
| 序號 |
IP 地址 |
國家 |
說明 |
| 1 |
190.242.××.×× |
哥倫比亞 |
構建酸狐狸中間人攻擊平臺 |
| 2 |
81.31.××.×× |
捷克 |
木馬資訊回傳平臺 |
| 3 |
80.77.××.×× |
埃及 |
木馬資訊回傳平臺 |
| 4 |
83.98.××.×× |
荷蘭 |
木馬資訊回傳平臺 |
| 5 |
82.103.××.×× |
丹麥 |
木馬資訊回傳平臺 |
五、TAO網路攻擊西北工業大學
所用跳板IP列表
| 序號 |
IP 地址 |
歸屬地 |
| 1 |
211.119.××.×× |
韓國 |
| 2 |
210.143.××.×× |
日本 |
| 3 |
211.119.××.×× |
韓國 |
| 4 |
210.143.××.×× |
日本 |
| 5 |
211.233.××.×× |
韓國 |
| 6 |
143.248.××.×× |
韓國大田高等科學技術研究學院 |
| 7 |
210.143.××.×× |
日本 |
| 8 |
211.233.××.×× |
韓國 |
| 9 |
210.135.××.×× |
日本 |
| 10 |
210.143.××.×× |
日本 |
| 11 |
210.115.××.×× |
韓國首爾國立江原大學 |
| 12 |
222.122.××.×× |
韓國 KT 電信 |
| 13 |
89.96.××.×× |
義大利倫巴第米蘭 |
| 14 |
210.135.××.×× |
日本東京 |
| 15 |
147.32.××.×× |
捷克布拉格 |
| 16 |
132.248.××.×× |
墨西哥 |
| 17 |
195.162.××.×× |
瑞士 |
| 18 |
213.130.××.×× |
卡達 |
| 19 |
210.228.××.×× |
日本 |
| 20 |
211.233.××.×× |
韓國 |
| 21 |
134.102.××.×× |
德國不萊梅大學 |
| 22 |
129.187.××.×× |
德國慕尼黑 |
| 23 |
210.143.××.×× |
日本 |
| 24 |
91.217.××.×× |
芬蘭 |
| 25 |
211.233.××.×× |
韓國 |
| 26 |
84.88.××.×× |
西班牙巴塞羅那 |
| 27 |
130.54.××.×× |
日本京都大學 |
| 28 |
132.248.××.×× |
墨西哥 |
| 29 |
195.251.××.×× |
希臘 |
| 30 |
222.122.××.×× |
韓國 |
| 31 |
192.167.××.×× |
義大利 |
| 32 |
218.232.××.×× |
韓國 首爾 |
| 33 |
148.208.××.×× |
墨西哥 |
| 34 |
61.115.××.×× |
日本 |
| 35 |
130.241.××.×× |
瑞典 |
| 36 |
61.1.××.×× |
印度 |
| 37 |
210.143.××.×× |
日本 |
| 38 |
202.30.××.×× |
韓國 |
| 39 |
85.13.××.×× |
奧地利 |
| 40 |
220.66.××.×× |
韓國 |
| 41 |
220.66.××.×× |
韓國 |
| 42 |
222.122.××.×× |
韓國 |
| 43 |
141.57.××.×× |
德國萊比錫技術經濟和文化學院 |
| 44 |
212.109.××.×× |
波蘭 |
| 45 |
210.135.××.×× |
日本東京 |
| 46 |
212.51.××.×× |
波蘭 |
| 47 |
82.148.××.×× |
卡達 |
| 48 |
46.29.××.×× |
烏克蘭 |
| 49 |
143.248.××.×× |
韓國大田高等科學技術研究學院 |
六、小結
綜合此次美國國家安全域性“特定入侵行動辦公室”(TAO)針對西北工業大學的網路入侵行徑,其行為對我國國防安全、關鍵基礎設施安全、社會安全、公民個人資訊保安造成嚴重危害,值得我們深思與警惕:
面對美國NSA對我國實施長期潛伏與持續滲透的攻擊行為,我國政府、各大中小企業、大學、醫療機構、科研機構以及重要資訊基礎設施運維單位等都應做好防範準備: 一方面各行業、企業應儘快開展APT攻擊自查工作,另一方面要著力實現以“看見”為核心的全面系統化防治。
面對國家級背景的強大對手,首先要知道風險在哪,是什麼樣的風險,什麼時候的風險。
因此,各大單位要逐步提升 感知能力、看見能力、處置能力 ,在攻擊做出破壞之前及時斬斷“殺傷鏈”,變事後發現為事前捕獲,真正實現 感知風險、看見威脅、抵禦攻擊。