网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

主页 > 业界资讯 > 网络渗透测试

明查|拆解西北工业大学遭美国NSA网络攻击事件

点击进入澎湃新闻全球事实核查平台

事件背景

2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击,已于第一时间报警。次日,陕西省西安市公安局碑林分局发布《警情通报》,证实该局于4月12日15时许接到西北工业大学信息化建设与管理处报案,发现该校电子邮件系统中出现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序。同时,部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。

9月5日,西安市公安局碑林分局官方微博就此事再发《警情通报》称:“经过百余天艰苦攻关,案件侦查工作取得了重要进展。”同一日,中国国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》[后文简称《调查报告(之一)》],明确国家计算机病毒应急处理中心和360公司联合组成的技术团队全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,且在欧洲、南亚部分国家合作伙伴的支持下,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)下属“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO)。

9月25日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之二)》[后文简称《调查报告(之二)》],在《调查报告(之一)》基础上,对TAO攻击渗透西北工业大学的流程、TAO在攻击过程中暴露身份的相关情况、TAO网络攻击西北工业大学武器平台IP和 TAO网络攻击西北工业大学所用跳板IP进行了揭露。

“澎湃明查”在参考上述两份调查报告基础上,综合开源情报,对西北工业大学遭受网络攻击事件中的重要信息进行了梳理。

明查

与美国NSA的关联

国家计算机病毒应急处理中心发布第一篇溯源报告时,距西安市公安局碑林分局太白路派出所接到西北工业大学的报警已过去近5月。一篇发布在网络安全产业门户网站Freebuf上的文章谈及此事,对网络攻击溯源的成本和难度进行了讨论,指出网络攻击溯源的效率主要取决于攻守双方的能力和水平,即攻击方的反溯源能力和被攻击方的安全建设能力。如果入侵者狡猾,使用跳板机掩盖其真实地址、不断变化IP、删除日志,就会增加取证的难度,而这正是西北工业大学遭受网络攻击事件可能面临的状况。

《调查报告(之一)》提到,针对西北工业大学的网络攻击先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本和韩国。如此大规模、长路径的跳板攻击并非易事。这意味着攻击者具备高超的技术,能够控制多国计算机。但究竟谁有这种动机和能力,可以将多国主机作为跳板,向西北工业大学发起攻击?

今年2月,北京奇安盘古实验室科技有限公司在一份研究报告中指出,一种被命名为Bvp47的后门程序在十几年间控制了超过45个国家的287个目标,受害者包括日本、韩国、巴基斯坦等多个中国周边邻国,且有受害主机被当作跳板,用以进一步开展网络攻击。

奇安盘古实验室在报告中列出了其辨认出的受害者域名、详细信息及IP地址,其中有多家机构,如日本京都大学、德国不来梅大学的名称也出现在了《调查报告(之二)》的TAO网络攻击西北工业大学所用跳板IP列表中。“澎湃明查”向日本京都大学、德国不莱梅大学、韩国科学技术院等机构发送了问询邮件 ,但截至发稿仍未收到回复。

Bvp47受害者与西北工业大学遭受攻击时所用的跳板机主体有所重叠。

9月13日,奇安盘古实验室发布了后续报告,指出Bvp47中含有一种“饮茶”工具,在此次西北工业大学遇袭事件中同样被使用。同一日,国家计算机病毒应急处理中心援引奇安盘古实验室的研究成果发布了一份对“饮茶”工具的分析报告,提到这种网络武器是一种“嗅探窃密类武器”,主要针对Unix/Linux平台,可对目标主机上的远程访问账号密码进行窃取。而根据《调查报告(之二)》内容,“饮茶”长期被用于隐蔽嗅探窃取西北工业大学运维管理人员的远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。这意味着,Bvp47背后的操纵者与西北工业大学网络的入侵者间可能存在某种联系。

(责任编辑:admin)