首页 > 国内新闻 > 正文

西北工业大学遭美网络攻击,揭秘幕后黑手“特定入侵行动办公室”:曾上万次恶意攻击中国

↑TAO通过互联网入侵外国目标的电脑窃取数据,并监控通信来收集有关情报

↑TAO通过互联网入侵外国目标的电脑窃取数据,并监控通信来收集有关情报

据央视新闻5日报道,国家计算机病毒应急处理中心和360公司今日分别发布了关于西北工业大学遭受境外网络攻击的调查报告。

2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。对此,国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与了此案的技术分析工作。

技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。

调查还发现,在近年里,“特定入侵行动办公室(TAO)”对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。

西北工业大学遭美网络攻击,揭秘幕后黑手“特定入侵行动办公室”:曾上万次恶意攻击中国

↑位于马里兰州米德堡的NSA总部

中方强烈谴责:

对中国实施上万次恶意网络攻击

外交部:要求美方立即停止不法行为

根据国家计算机病毒应急处理中心9月5日发布的报告,美国国家安全局(NSA)针对西北工业大学的攻击行动代号为“阻击XXXX”(ShotXXXX)。

报告称,TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。

该行动由TAO负责人直接指挥,由任务基础设施技术处(S325)负责构建侦察环境、租用攻击资源;由需求与定位处(S327)负责确定攻击行动战略和情报评估;由先进/接入网络技术处(S322)、数据网络技术处(S323)、电信网络技术处(S324)负责提供技术支撑;由远程操作中心(S321)负责组织开展攻击侦察行动。

除此之外,调查还发现,在近年里,TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。

3月22日,360公司曾披露称,为达到美国政府情报收集目的,NSA组织对中国境内目标的攻击包括政府、金融、科研院所、军工、航空航天等行业,占比重较大的是高科技领域。其中,NSA还针对中国境内目标使用了其代表性网络武器——量子(QUANTUM)攻击平台。美国利用这一技术对世界各国访问美国社交媒体的互联网用户发起网络攻击,中国社交软件也是其攻击目标。

对此,外交部发言人汪文斌3月24日曾表示,“这意味着无论你是谁,无论你在世界的哪个角落,只要你使用网络社交平台,背后就都可能有个‘老大’在盯着你。”

汪文斌称,近年来,美方宣称构建所谓的“清洁网络”,酝酿成立所谓“未来互联网联盟”,以提升网络安全防范能力为由同多国加强网络安全合作。360公司的报告指出,许多与美国有合作的国家同样也是美国网络攻击的目标。

此前曝出的“脏盒”“棱镜门”“怒角计划”“电幕行动”等美国网络监控和攻击内幕也表明,连美国的盟友、伙伴都在美国的严密监控之列。可见,所谓的“清洁网络”不过是美方为方便其全球监控窃密摆下的“迷魂阵”,是“黑客帝国”为自己披上的“隐身衣”。汪文斌表示:“我们再次敦促美方在网络空间做一个负责任的国家,停止针对中国和全球的网络窃密和攻击。美方要求别国遵守的规则,自己首先应当遵守。”

9月5日,外交部发言人毛宁就此事回答记者问时表示,“美国国家安全局对中国实施网络攻击和数据窃密的证据链清晰完整,涉及在美国国内对中国直接发起网络攻击的人员13名,以及为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。报告显示,美方先后使用41种专用网络攻击武器装备,对西北工业大学发起攻击窃密行动上千次,窃取了一批核心技术数据。美方还长期对中国的手机用户进行无差别语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。”

毛宁指出,美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责,要求美方作出解释并立即停止不法行为。

西北工业大学遭美网络攻击,揭秘幕后黑手“特定入侵行动办公室”:曾上万次恶意攻击中国

美国情报界的“神童”

专门“获取不可获取的东西”

那么,这个“特定入侵行动办公室(TAO)”究竟是什么来头?

“特定入侵行动办公室(TAO)”是美国国家安全局(NSA)一个高度机密且极其重要的顶尖黑客团队,隶属于信息情报部(SID)数据侦察局(代号S3),其基地位于马里兰州米德堡的NSA总部内一个名为“远程操作中心(ROC)”的空间里。

据报道,TAO诞生于1998年,全球仅2%的人口可以上网之际。此后,该部门一直十分活跃,如今已发展成为NSA最为重要的部门之一,也被称为NSA的最高机密“武器”。但直到2013年斯诺登泄密事件后,这一绝密黑客团队才逐渐浮出水面,被众人所知。

这个部门究竟有多神秘?根据公开报道显示,对于NSA内部人士而言,TAO的存在也是一个谜。由于该部门的行动十分“机密”,只有很少一部分NSA官员能充分掌握TAO的信息。其位于NSA总部的办公室与其他部门也是完全隔离的,任何人想要踏进TAO的办公场所,都需要有特别的安全许可。

根据描述,通往这个“远程操作中心”的巨大铁门被武装警卫牢牢把守,只有输入正确的六位数密码,并通过视网膜扫描仪的认证后才能通过这扇门。

除了位于总部的基地外,这一黑客团队如今分散于美国夏威夷瓦胡岛、美国佐治亚州戈登堡、美国科罗拉罗州丹佛马克利空军基地、美国得克萨斯州圣安东尼奥及德国达姆施塔特美军基地。

据悉,TAO目前有2000多名现役军人、黑客、情报分析师、计算机工程师及电子工程师,总部代号“S321”,下设9个分支,24小时不间断轮班工作,通过互联网入侵外国目标的电脑窃取数据,并监控通信来收集有关外国目标的情报。

专门研究NSA历史的历史学家马修·艾德表示,TAO类似于“美国情报界的神童”,“获取不可获取的东西”是NSA内部对其职责的描述。据介绍,TAO可以在不被发现的情况下访问“最难被间谍技术渗透”的情报目标,其任务将是“通过对全球网络的普遍、持久访问,支持将计算机网络攻击作为军事行动的一个组成部分”。

“重要的不是情报的数量,而是情报的质量。”一位前情报总监描述道。一名美国官员曾透露,该黑客团队的行动已经获得了“美国有史以来最重要的一些情报”。

↑TAO负责人是罗伯特·乔伊斯

↑TAO负责人是罗伯特·乔伊斯

参与众多美情报机构秘密行动

曾是美国击毙本·拉丹的“功臣”

据悉,TAO目前的负责人是罗伯特·乔伊斯,出生于1967年9月13日,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰斯·霍普金斯大学,获硕士学位。1989年进入美国国家安全局(NSA)工作。

乔伊斯于2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全主管。

据报道,与传统的黑客和破坏活动不同,TAO的攻击更加精细,可以在正常的网络流量中操纵、分析和破坏任何网络通信和文件传输,可以远程关闭或破坏目标的关键信息基础设施和水、电、气等民生设施。

此外,该团队还有一项重要任务,即开发网络攻击程序,一旦美国总统下令对他国通讯或网络信息系统实施瘫痪或摧毁行动时,TAO将相关网络攻击武器提供给到美国网络战司令部,由该司令部具体组织实施网络攻击行动。

据美国国家安全局内部文件,TAO就像随叫随到的“数字管道工”,参与了美国情报机构众多秘密行动,从反恐行动、网络攻击到传统的间谍活动均有涉足。

据公开报道,TAO曾在美国“追杀”基地组织领导人本·拉丹的过程中也“立下了大功”。内部文件显示,TAO通过追踪特定通话模式识别的手机通话,侵入了基地组织成员间的保密通信渠道,“使NSA能够从基地组织特工和其他追捕本·拉丹的‘相关人员’使用的手机中收集情报。”

然后,美国中央情报局(CIA)的分析人员借此确定了其中一部手机的地理位置,并将其与巴基斯坦阿伯塔巴德的院落联系起来。再通过其他情报得以最终认定,这个院落正是本·拉丹的藏身之处。

西北工业大学遭美网络攻击,揭秘幕后黑手“特定入侵行动办公室”:曾上万次恶意攻击中国

对全球各国发动网络攻击

全球最强黑客组织之一被传与其关系密切

据报道,NSA多年来一直通过TAO对全球各国发动网络攻击,并持续对全球互联网用户实施无差别数据窃密。从相邻的墨西哥到结盟的英国、欧盟各国,再到石油输出国组织、“东南亚-中东-西欧4”光纤通信系统,都没能逃过TAO的“魔爪”。

据斯诺登2013年披露的内幕情报,仅在2011年,NSA就组织实施了至少231次网络攻击行动,攻击行动的主要目标包括中国、俄罗斯、伊朗和朝鲜等国家。而2022年最新的报道揭露,NSA过去10年至少对全球47个国家实施了恶意网络攻击,并曾在短短30天内远程窃取了970亿条全球互联网数据和1240亿条电话记录。

↑NSA过去10年至少对全球47个国家实施了恶意网络攻击。图据《环球时报》英文版

↑NSA过去10年至少对全球47个国家实施了恶意网络攻击。图据《环球时报》英文版

截至目前,TAO已有超过500个网络攻击和数据窃密行动代号被公开披露。其中,最知名的无疑是代号为“震网(STUXNET)”的行动,该行动通过一个计算机蠕虫病毒摧毁了伊朗用于铀浓缩活动的离心机。据报道,“震网(STUXNET)”病毒是全球首个专门针对工业控制系统编写的破坏性病毒,而这一事件也被认为是史上第一次“有据可查的网络战”,也是点燃全球网络攻击武器军备竞赛的导火索。

此外,被称为全球最强黑客组织之一的“方程式组织(Equation Group)”,一直被传与TAO有着密切的关系。2015年,卡巴斯基实验室发布了一份报告指出,“方程式组织”可能是“震网(STUXNET)”病毒、“火焰(Flame)”病毒等众多网络攻击的幕后操纵者。引发了这一“臭名昭著”的黑客团体隶属于NSA的猜测。

2016年,一个名为“(影子经纪人)The Shadow Brokers”的黑客组织声称,他们成功入侵了“方程式组织”的计算机系统,并将获取到的部分工具及机密信息全部上传到了互联网。该黑客组织表示,这其中包括NSA此前曾使用过来进行间谍活动的黑客工具。

其中,“方程式组织”的一些黑客工具代号与斯诺登泄密文件中记载的名称相同,例如“BANANAGLEE”和“EPICBANANA”。因此,外界普遍怀疑该组织与NSA有关联,甚至猜测“方程式组织”就是NSA下属部门TAO的一部分。

很多安全研究专家也表示,“方程式组织”所拥有的技术无论是从复杂程度还是从其先进程度来看,都已经超越了目前绝大多数的黑客团体,而且该黑客组织已经活跃了20多年。

红星新闻记者徐缓

责任编辑:陈琰 SN225

石棉县人民医院救治5名伤员 省医院第二批小分队抵达石棉 交通运输部启动三级应急响应应对四川甘孜州泸定县6.8级地震