久久久久精品免费福利电影,国产又黄又大又粗视频,A级毛片免费播放无码,人人妻人人爽人人澡欧美一区

國家計(jì)算機(jī)病毒應(yīng)急處理中心網(wǎng)站9月5日發(fā)布西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報告。

2022年6月22日，西北工業(yè)大學(xué)發(fā)布《公開聲明》稱，該校遭受境外網(wǎng)絡(luò)攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報》，證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬樣本，西安警方已對此正式立案調(diào)查。

國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成技術(shù)團(tuán)隊(duì)（以下簡稱“技術(shù)團(tuán)隊(duì)”），全程參與了此案的技術(shù)分析工作。技術(shù)團(tuán)隊(duì)先后從西北工業(yè)大學(xué)的多個信息系統(tǒng)和上網(wǎng)終端中提取到了多款木馬樣本，綜合使用國內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段，并得到了歐洲、南亞部分國家合作伙伴的通力支持，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關(guān)攻擊活動源自美國國家安全局（NSA）“特定入侵行動辦公室”（Office of Tailored Access Operation，后文簡稱TAO）。

一、攻擊事件概貌

本次調(diào)查發(fā)現(xiàn)，在近年里，美國NSA下屬TAO對中國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬次的惡意網(wǎng)絡(luò)攻擊，控制了數(shù)以萬計(jì)的網(wǎng)絡(luò)設(shè)備（網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等），竊取了超過140GB的高價值數(shù)據(jù)。TAO利用其網(wǎng)絡(luò)攻擊武器平臺、“零日漏洞”（0day）及其控制的網(wǎng)絡(luò)設(shè)備等，持續(xù)擴(kuò)大網(wǎng)絡(luò)攻擊和范圍。經(jīng)技術(shù)分析與溯源，技術(shù)團(tuán)隊(duì)現(xiàn)已澄清TAO攻擊活動中使用的網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施、專用武器裝備及技戰(zhàn)術(shù)，還原了攻擊過程和被竊取的文件，掌握了美國NSA及其下屬TAO對中國信息網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的相關(guān)證據(jù)，涉及在美國國內(nèi)對中國直接發(fā)起網(wǎng)絡(luò)攻擊的人員13名，以及NSA通過掩護(hù)公司為構(gòu)建網(wǎng)絡(luò)攻擊環(huán)境而與美國電信運(yùn)營商簽訂的合同60余份，電子文件170余份。

二、攻擊事件分析

在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中，TAO使用了40余種不同的NSA專屬網(wǎng)絡(luò)攻擊武器，持續(xù)對西北工業(yè)大學(xué)開展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。通過取證分析，技術(shù)團(tuán)隊(duì)累計(jì)發(fā)現(xiàn)攻擊者在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路多達(dá)1100余條、操作的指令序列90余個，并從被入侵的網(wǎng)絡(luò)設(shè)備中定位了多份遭竊取的網(wǎng)絡(luò)設(shè)備配置文件、遭嗅探的網(wǎng)絡(luò)通信數(shù)據(jù)及口令、其它類型的日志和密鑰文件以及其他與攻擊活動相關(guān)的主要細(xì)節(jié)。具體分析情況如下：

（一）相關(guān)網(wǎng)絡(luò)攻擊基礎(chǔ)設(shè)施

為掩護(hù)其攻擊行動，TAO在開始行動前會進(jìn)行較長時間的準(zhǔn)備工作，主要進(jìn)行匿名化攻擊基礎(chǔ)設(shè)施的建設(shè)。TAO利用其掌握的針對SunOS操作系統(tǒng)的兩個“零日漏洞”利用工具，選擇了中國周邊國家的教育機(jī)構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo)；攻擊成功后，安裝NOPEN木馬程序（詳見有關(guān)研究報告），控制了大批跳板機(jī)。

TAO在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動中先后使用了54臺跳板機(jī)和代理服務(wù)器，主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家，其中70%位于中國周邊國家，如日本、韓國等。

這些跳板機(jī)的功能僅限于指令中轉(zhuǎn)，即：將上一級的跳板指令轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng)，從而掩蓋美國國家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實(shí)IP。目前已經(jīng)至少掌握TAO從其接入環(huán)境（美國國內(nèi)電信運(yùn)營商）控制跳板機(jī)的四個IP地址，分別為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時，為了進(jìn)一步掩蓋跳板機(jī)和代理服務(wù)器與NSA之間的關(guān)聯(lián)關(guān)系，NSA使用了美國Register公司的匿名保護(hù)服務(wù)，對相關(guān)域名、證書以及注冊人等可溯源信息進(jìn)行匿名化處理，無法通過公開渠道進(jìn)行查詢。

技術(shù)團(tuán)隊(duì)通過威脅情報數(shù)據(jù)關(guān)聯(lián)分析，發(fā)現(xiàn)針對西北工業(yè)大學(xué)攻擊平臺所使用的網(wǎng)絡(luò)資源共涉及5臺代理服務(wù)器，NSA通過秘密成立的兩家掩護(hù)公司向美國泰瑞馬克（Terremark）公司購買了埃及、荷蘭和哥倫比亞等地的IP地址，并租用一批服務(wù)器。這兩家公司分別為杰克?史密斯咨詢公司（Jackson Smith Consultants）、穆勒多元系統(tǒng)公司（Mueller Diversified Systems）。同時，技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn)，TAO基礎(chǔ)設(shè)施技術(shù)處（MIT）工作人員使用“阿曼達(dá)?拉米雷斯（Amanda Ramirez）”的名字匿名購買域名和一份通用的SSL證書（ID：e42d3bea0a16111e67ef79f9cc2*****）。隨后，上述域名和證書被部署在位于美國本土的中間人攻擊平臺“酸狐貍”（Foxacid）上，對中國的大量網(wǎng)絡(luò)目標(biāo)開展攻擊。特別是，TAO對西北工業(yè)大學(xué)等中國信息網(wǎng)絡(luò)目標(biāo)展開了多輪持續(xù)性的攻擊、竊密行動。

（二）相關(guān)網(wǎng)絡(luò)攻擊武器

TAO在對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動中，先后使用了41種NSA的專用網(wǎng)絡(luò)攻擊武器裝備。并且在攻擊過程中，TAO會根據(jù)目標(biāo)環(huán)境對同一款網(wǎng)絡(luò)武器進(jìn)行靈活配置。例如，對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊中使用的網(wǎng)絡(luò)武器中，僅后門工具“狡詐異端犯”（NSA命名）就有14個不同版本。技術(shù)團(tuán)隊(duì)將此次攻擊活動中TAO所使用工具類別分為四大類，具體包括：

1、漏洞攻擊突破類武器

TAO依托此類武器對西北工業(yè)大學(xué)的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器、辦公內(nèi)網(wǎng)主機(jī)等實(shí)施攻擊突破，同時也用來攻擊控制境外跳板機(jī)以構(gòu)建匿名化網(wǎng)絡(luò)作為行動掩護(hù)。此類武器共有3種：

①“剃須刀”

此武器可針對開放了指定RPC服務(wù)的X86和SPARC架構(gòu)的Solarise系統(tǒng)實(shí)施遠(yuǎn)程漏洞攻擊，攻擊時可自動探知目標(biāo)系統(tǒng)服務(wù)開放情況并智能化選擇合適版本的漏洞利用代碼，直接獲取對目標(biāo)主機(jī)的完整控制權(quán)。此武器用于對日本、韓國等國家跳板機(jī)的攻擊，所控制跳板機(jī)被用于對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊。

②“孤島”

此武器同樣可針對開放了指定RPC服務(wù)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊，直接獲取對目標(biāo)主機(jī)的完整控制權(quán)。與“剃須刀”的不同之處在于此工具不具備自主探測目標(biāo)服務(wù)開放情況的能力，需由使用者手動配置目標(biāo)及相關(guān)參數(shù)。NSA使用此武器攻擊控制了西北工業(yè)大學(xué)的邊界服務(wù)器。

③“酸狐貍”武器平臺

此武器平臺部署在哥倫比亞，可結(jié)合“二次約會”中間人攻擊武器使用，可智能化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平臺上的主流瀏覽器開展遠(yuǎn)程溢出攻擊，獲取目標(biāo)系統(tǒng)的控制權(quán)（詳見：國家計(jì)算機(jī)病毒應(yīng)急處理中心《美國國家安全局（NSA）“酸狐貍”漏洞攻擊武器平臺技術(shù)分析報告》）。TAO主要使用該武器平臺對西北工業(yè)大學(xué)辦公內(nèi)網(wǎng)主機(jī)進(jìn)行入侵。

2、持久化控制類武器

TAO依托此類武器對西北工業(yè)大學(xué)網(wǎng)絡(luò)進(jìn)行隱蔽持久控制，TAO行動隊(duì)可通過加密通道發(fā)送控制指令操作此類武器實(shí)施對西北工業(yè)大學(xué)網(wǎng)絡(luò)的滲透、控制、竊密等行為。此類武器共有6種：

①“二次約會”

此武器長期駐留在網(wǎng)關(guān)服務(wù)器、邊界路由器等網(wǎng)絡(luò)邊界設(shè)備及服務(wù)器上，可針對海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過濾與自動化劫持，實(shí)現(xiàn)中間人攻擊功能。TAO在西北工業(yè)大學(xué)邊界設(shè)備上安置該武器，劫持流經(jīng)該設(shè)備的流量引導(dǎo)至“酸狐貍”平臺實(shí)施漏洞攻擊。

②“NOPEN”

此武器是一種支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬，可通過加密隧道接收指令執(zhí)行文件管理、進(jìn)程管理、系統(tǒng)命令執(zhí)行等多種操作，并且本身具備權(quán)限提升和持久化能力（詳見：國家計(jì)算機(jī)病毒應(yīng)急處理中心《“NOPEN”遠(yuǎn)控木馬分析報告》）。TAO主要使用該武器對西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制。

③“怒火噴射”

此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬，可根據(jù)目標(biāo)系統(tǒng)環(huán)境定制化生成不同類型的木馬服務(wù)端，服務(wù)端本身具備極強(qiáng)的抗分析、反調(diào)試能力。TAO主要使用該武器配合“酸狐貍”平臺對西北工業(yè)大學(xué)辦公網(wǎng)內(nèi)部的個人主機(jī)實(shí)施持久化控制。

④“狡詐異端犯”

此武器是一款輕量級的后門植入工具，運(yùn)行后即自刪除，具備權(quán)限提升能力，持久駐留于目標(biāo)設(shè)備上并可隨系統(tǒng)啟動。TAO主要使用該武器實(shí)現(xiàn)持久駐留，以便在合適時機(jī)建立加密管道上傳NOPEN木馬，保障對西北工業(yè)大學(xué)信息網(wǎng)絡(luò)的長期控制。