证据确凿！顶尖传感器大学西工大遭网络攻击?：美国国家安全局下的手！

今日（9月5日），国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学（简称“西工大”）遭受境外网络攻击的调查报告。

本次报告揭露了西工大网络攻击世界的幕后黑手是美国国家安全局（NSA），并且近年来NSA对中国重点目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，窃取了超过140GB的高价值数据。本次攻击汇总NSA动用了4大类共计41种专用网络攻击武器装备！

西北工业大学是“国防七子”之一，是以航空、航天、航海为特色的高等院校，也是中国传感器顶尖研究机构，国家重大工程运-20、直-8等关键传感器技术的突破，均来自西工大！

西工大为什么会成为被攻击的目标？本次攻击有什么资料损失？本次攻击西工大的网络武器有哪些？攻击方式怎样?

事情起源，为什么西工大成攻击目标？

西北工业大学的攻击事件，始于今年4月份，西安市公安机关接到一起网络攻击的报警，西北工业大学的信息系统发现遭受网络攻击的痕迹。

到了6月22日，西北工业大学在其官方微信上发布一则声明，声明表示学校电子邮件遭受境外网络攻击，对学校正常教学生活造成负面影响。

至此，西工大被境外“黑客组织”大规模攻击的事情，开始被媒体大规模曝光，大家纷纷猜测攻击源头来自哪里？有什么企图?

次日（6月23日），陕西省西安市公安局碑林分局发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马程序样本。

初步判定，此事件为境外黑客组织和不法分子发起的网络攻击行为，并正式立案调查。

剑指西工大：航天航空航海重要院校，深度参与歼20等国家重大工程

西北工业大学是工信部直属的7所重要国防工业高等院校之一，俗称“国防七所”，西工大以航天、航空、航海“三航”为特色。

在学校官网，西北工业大学这样介绍自己：“书写了新中国历史上的多个“第一”，为武器装备研制、国防领域关键核心技术自主安全可控和西部建设提供了有力支撑，是连续两次被中共中央、国务院、中央军委联合授予“重大贡献奖”的唯一高校。”

据媒体统计，国家重大工程中，“歼20”总设计师杨伟、“运20”总设计师唐长红，均来自西北工业大学。西工大在国防、航空航天科技领域，有着深厚实力，深度参与了国内航空航天领域内的顶尖科研成果！

传感器在航空航天、国防工业中有着重要的作用，现代武器、航空航天设备，离不开传感器的支撑，具体信息可参看《总算明白了，现代战争，打的都是传感器》内容。

西北工业大学也是中国传感器领域顶尖大学之一，拥有陕西省光信息技术重点实验室、柔性电子研究院等多个国家级研究平台，在光纤传感器、柔性传感器、MEMS传感器等多个传感领域有重要、突破性成果。更多中国传感器领域主要大学信息，请参看《30所顶尖大学传感器科研信息汇总》内容。

目前中国最大型的军用飞机——运20的飞控系统关键传感器余度管理技术；蛟龙-600、直-8的数字式自动驾驶仪等传感系统，都是西北工业大学所开发。

因此，西工大深厚的国防、航空航天背景，以及深度参与我国多项国家重大工程和科研成果，成为许多“境外组织”觊觎的目标。

控制数以万计设备，窃取超140G数据！美国国安局怎么实施攻击？

“境外组织”是谁？成为了公众的疑问，而今日，终于解开了！

经技术分析和网上溯源调查发现，此次网络攻击行动是美国国家安全局（NSA）信息情报部（代号S）数据侦察局（代号S3）下属TAO（代号S32）部门。

并且在近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。

图：参与网络攻击的TAO部门的下属单位，来源：环球网

美国国家安全局TAO部门的S325单位，通过层层掩护，构建了由49台跳板机和5台代理服务器组成的匿名网络，购买专用网络资源，架设攻击平台。

这些跳板机均经过精心挑选，所有IP均归属于非「五眼联盟」国家（五眼联盟包括美国、英国、加拿大、澳大利亚和新西兰），而且大部分选择了中国周边国家（如日本、韩国等）的IP，约占70%。

根据溯源分析，本次窃密行动共选用了其中的49台跳板机，这些跳板机仅使用了中转指令，将上一级的跳板指令转发到目标系统，从而掩盖美国国家安全局发起网络攻击的真实IP。

图：美国国家安全局（NSA）对西北工业大学实施网络攻击，来源：环球网

此外，美国国家安全局NSA为了保护其身份安全，使用了美国Register公司的匿名保护服务，相关域名和证书无明确指向，无关联人员。

得到美国互联网巨头鼎力支持，四大类41种网络武器攻击西工大！

根据技术分析的结果，TAO已于此次攻击活动开始前，在美国多家大型知名互联网企业的配合下，掌握了中国大量通信网络设备的管理权限，为NSA持续侵入中国国内的重要信息网络大开方便之门。

有了这个前提条件，S321单位运用40余种不同的NSA专属网络攻击武器，持续对我国开展攻击窃密，窃取了关键网络设备配置、网管数据、运维数据等核心技术数据，窃密活动持续时间长，覆盖范围广。

TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具（已提取样本），工具名称分别为EXTREMEPARR（NSA命名）和EBBISLAND（NSA命名），选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN（NSA命名，已提取样本）后门，控制了大批跳板机。

总体而言，美国国家安全局TAO的网络攻击武器装备针对性强，得到了美国互联网巨头的鼎力支持。

据报告显示，共计有4大类多达41种网络武器被使用在这次对西北工业大学的网络攻击中。

在这使用的41款装备中，仅后门工具“狡诈异端犯”（NSA命名）在对西北工业大学的网络攻击中就有14款不同版本，我们来看看这些武器：

1、漏洞攻击突破类武器

TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有3种：

①“剃须刀”

此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击，攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击，所控制跳板机被用于对西北工业大学的网络攻击。

②“孤岛”

此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击，直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。

③“酸狐狸”武器平台

此武器平台部署在哥伦比亚，可结合“二次约会”中间人攻击武器使用，可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击，获取目标系统的控制权（详见：国家计算机病毒应急处理中心《美国国家安全局（NSA）“酸狐狸”漏洞攻击武器平台技术分析报告》）。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。

2、持久化控制类武器

TAO依托此类武器对西北工业大学网络进行隐蔽持久控制，TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有6种：

①“二次约会”

此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器，劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

②“NOPEN”

此武器是一种支持多种操作系统和不同体系架构的远控木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力（详见：国家计算机病毒应急处理中心《“NOPEN”远控木马分析报告》）。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

③“怒火喷射”

此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。

④“狡诈异端犯”

此武器是一款轻量级的后门植入工具，运行后即自删除，具备权限提升能力，持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留，以便在合适时机建立加密管道上传NOPEN木马，保障对西北工业大学信息网络的长期控制。

⑤“坚忍外科医生”

此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程，避免其被监控发现。技术分析发现，TAO在对西北工业大学的网络攻击中，累计使用了该武器的12个不同版本。

3、嗅探窃密类武器

TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种：

①“饮茶”

此武器可长期驻留在32位或64位的Solaris系统中，通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等，压缩加密存储后供NOPEN木马下载。

②“敌后行动”系列武器

此系列武器是专门针对电信运营商特定业务系统使用的工具，根据被控业务设备的不同类型，“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。

4、隐蔽消痕类武器

TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。现已发现1种此类武器：

“吐司面包” ，此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件，隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。

代号“阻击XXXX”，美国国家安全局网络安全主管带队共计西工大

可以说，TAO代表了全球网络攻击的最高水平，以他们所掌握的网络攻击武器而言，就如同有了一把能够打开互联网中任何目标设备的万能钥匙。

美国国家安全局（NSA）针对西北工业大学的攻击行动代号为“阻击XXXX”（shotXXXX）。NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特?乔伊斯（Robert Edward Joyce）。

此人于1967年9月13日出生，曾就读于汉尼拔高中，1989年毕业于克拉克森大学，获学士学位，1993年毕业于约翰斯?霍普金斯大学，获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任，2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月，担任美国白宫国务安全顾问，后回到NSA担任美国国家安全局局长网络安全战略高级顾问，现担任NSA网络安全主管。

对于被攻击事件，西北工业大学刚刚发表声明：

结       语

毫无疑问，这次对美国国家安全局对西北工业大学的攻击事件，让中国的网络安全问题浮现。与传感器、芯片等实打实的卡脖子技术难题一样，虚拟的网络武器同样致命且可怕。

而这仅是冰山一角，我国各行业龙头企业、政府、大学、医疗机构、科研机构其实都是美国国安局攻击对象，然而更多的是，我们被攻击、被窃取、被控制，却茫然不知，这才更应该引起我们的警惕！

同时，随着万物互联的到来，各式各样的传感器充斥着我们周围，我们处于一个极端透明的时代，这些数以亿计的物联网传感器的安全问题，也值得我们思考。

您对本文有什么看法？欢迎留言分享！顺手转发&点击在看，将中国传感产业动态传递给更多人了解！