“黑客帝国”实锤了!
今年6月,西北工业大学发布公开声明称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布警情通报证实,在西北工业大学的信息网络中发现了多款源于境外的木马程序样本,西安警方已对此正式立案调查。
随后,中国国家计算机病毒应急处理中心和360公司第一时间成立技术团队,对此次事件展开调查工作,配合警方进行此案的技术分析。
9月5日,国家计算机病毒应急处理中心和360公司正式对外发布了关于西北工业大学遭受境外网络攻击的调查报告,初步判明攻击活动源自美国国家安全局(NSA)旗下的“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO,另译“接入技术行动处”)。
报告中称,技术团队先后从多个信息系统和上网终端中捕获到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头。
最终,报告用完整的证据链证实了TAO对中国信息网络实施网络攻击和数据窃密的事实,披露了TAO在攻击活动中使用的网络资源、专用武器装备及具体手法。
美国为何会盯上西北工业大学?
参与此次调查的360公司网络安全专家告诉《中国经济周刊》记者,美国之所以会将西北工业大学作为网络攻击的目标,是因为西北工业大学是我国航空航天航海工程、教育和科学研究领域的重点大学,承担大量国家级重点科研项目科研,“地位十分特殊”。
但是,美国进行长期、大规模网络攻击的对象绝不仅仅只有西北工业大学,360公司网络安全专家告诉记者,2020年,360公司曾公开披露美国中央情报局CIA攻击组织(APT-C-39)对我国进行的长达11年的网络攻击渗透。在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。
今年3月,360还独家披露了美国国家安全局NSA为达到美国政府情报收集目的,针对全球发起大规模网络攻击,其中,我国是NSA组织的重点攻击目标之一。攻击对象包括政府、金融、科研院所、军工、航空航天、医疗行业等重要基础设施,潜伏渗透的时间长达近10年。
360公司网络安全专家还透露,在此次调查中,技术团队经过分析发现,TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),疑似窃取了高价值数据。
与此同时,美国NSA还利用其控制的网络攻击武器平台、“零日漏洞”(0day)和网络设备,长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。
长期监听中国人手机还实施上万次网络攻击的TAO是个什么机构?
据360公司网络安全专家介绍,TAO是美国国家安全局(NSA)的网络战情报收集部门,是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,可以说,TAO代表了当前全球网络攻击的最高水平。
以此次攻击西北工业大学为例,经技术团队溯源分析发现,美国国家安全局TAO部门对西北工业大学的网络攻击行动先后使用了49台跳板机,这些跳板机均经过精心挑选,所有IP均归属于非“五眼联盟”国家,而且大部分选择了中国周边国家(如日本、韩国等)的IP,约占70%。这些跳板机仅使用了中转指令,将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。
实际上,早在2013年“棱镜门”事件时,TAO就曾被曝出其运作信息,但至今其仍是一个非常神秘的机构。
据央视新闻、外交政策杂志、华盛顿邮报、德国《明镜周刊》等国内外媒体报道,TAO成立于1998年,其力量部署主要依托NSA在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是位于国安局马里兰州的米德堡总部、瓦湖岛的国安局夏威夷密码中心、戈登堡的国安局乔治亚密码中心、圣安东尼奥的国安局得克萨斯密码中心、丹佛马克利空军基地的国安局科罗拉罗密码中心和德国达姆施塔特美军基地的国安局欧洲密码中心。
TAO目前由2000多名军人和文职人员组成,下设远程操作中心、数据网络技术处、网络战小组等10个单位。而TAO的主要工作人员包括军事和民用计算机黑客、情报分析师、计算机硬件和软件设计师以及电气工程师,实行7×24小时轮班制。
据360公司网络安全专家介绍,TAO的主要职责是利用互联网秘密获取对手的内幕情报。具体包括秘密侵入目标国家的关键信息基础设施和重要互联网信息系统、破解窃取账号密码、突破或破坏对手计算机安全防护系统、监听网络流量、窃取隐私和敏感数据,获取通话内容、电子邮件、网络通信内容和手机短信等。
另外据掌握,TAO还担负一项重要职责,即当美国总统命令对他国通信或网络信息系统实施瘫痪或摧毁行动时,由TAO将相关网络攻击武器提供给到美国网络战司令部(U.S. Cyber Command),由该司令部具体组织实施网络攻击行动。
“黑客帝国”实锤,“国家级黑客”下场应如何应对?
今年6月,外交部发言人赵立坚曾在例行记者会上如是评论:“美国是名副其实的黑客帝国、窃听帝国、窃密帝国。”
实际上,从“棱镜门”、“怒角”计划,到“星风”计划、“电幕行动”,再到“蜂巢”平台、量子攻击系统……美国的“黑客帝国”已经被反复实锤。而此次TAO的“秘密”被爆再次反映出一个严峻的事实:“国家级黑客”已经下场。
在今年两会期间,全国政协委员,360公司创始人周鸿祎在接受《中国经济周刊》记者采访时就曾表示,近年来,网络攻击已经从虚拟世界影响到了现实世界,小蟊贼、小黑客已经成为历史,以国家级黑客组织为代表的高级别专业力量入场,关键基础设施、城市、大型企业成为网络攻击的首选目标,数据成为新的攻击对象。
而这就意味着,“对手变了,战场变了,后果也变了。”周鸿祎如是总结。
“甚至像华为这样的公司都被某大国入侵过,说明当别人用一个国家力量来进攻我们的企业、高校、科研院所,你根本没有足够的力量抵抗,甚至连发现的能力都没有。因此,中国在数字化安全应对上也必须要有顶层设计。”周鸿祎说。(记者孙冰)