|
|
|
|
||||||
|
2022/09/29 | |||||
|
偷刷“脸”卡 美国安局这样网攻西工
|
|
美国安局这样网攻西工大 美国国家安全局(NSA)对我国西北工业大学发起网络攻击事件,又有新的细节公开。 今年6月22日,西北工业大学发布公开声明称,该校遭受境外网络攻击,随后西安警方对此正式立案调查。中国国家计算机病毒应急处理中心和360公司联合组成技术团队全程参与了此案技术分析工作,并于9月5日发布了第一份西北工业大学遭受NSA网络攻击调查报告,调查报告指出此次网络攻击源头系NSA下属的特定入侵行动办公室(TAO)。 9月27日,技术团队再次发布相关网络攻击的调查报告。报告披露,TAO在对西北工业大学发起网络攻击过程中构建了对我国基础设施运营商核心数据网络远程访问的“合法”通道,实现了对我国基础设施的渗透控制。 怎么攻击? 单点突破逐步渗透长期窃密 TAO控制西工大多台服务器 此次调查报告显示,TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。 360公司网络安全专家边亮说:“通过漏洞的方式批量对网络中的设备或者一段IP进行投漏洞、投病毒,从而获取相关的权限,这可以做到自动化。后续需要进行潜伏,进行长期控制,并且需要有针对性地去窃取相关文件。这个过程背后需要有人来操作,来指定到底去窃取什么、去做什么以及最后在撤退的时候需要销毁什么,属于半自动化。” 技术团队发现,TAO经过长期的精心准备,使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。 国家计算机病毒应急处理中心高级工程师杜振华说:“进入到这些服务器后,它会对网络流量进行劫持,采用这种中间人攻击的方式,把其他的武器投送到西北工业大学内网的主机或者服务器上,投送成功之后,尤其是投送持久控制类武器之后,可以说获得了西北工业大学内网的访问权。在这个基础上,会对内网进行探测,去寻找高价值的服务器、高价值的主机,然后再向这些服务器和主机进行横向移动,成功进入之后,可以去部署嗅探窃密类武器。” 窃取什么? TAO偷刷西工大的“脸” 渗透控制中国基础设施 报告显示,TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。 360公司网络安全专家边亮说:“它控制了西北工大(相关设备)后,相当于利用西北工大再去对其他单位进行攻击,这个过程是一个打引号的合法。相当于我们数据库当中有类似于人脸识别这么一个防护机制。比如美国人来的话,直接给他拦住了,不让他进去,但是他刷了西工大的‘脸’,会认为他是一个正常的用户,那么,在网络数据中就对他放行了。但实际上西工大的相关服务器是被美国(TAO)所控制的,TAO随后进一步对其他单位进行攻击。” 技术团队根据TAO攻击链路、渗透方式、木马样本等特征,关联发现其非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。 报告显示,TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至NSA总部。 据央视新闻
|
|
|||
| 相关文章: |