匹夫老牛：小心“饮茶”！美国NSA网络攻击西工大事件细节曝光，这几点值得我们反思

lameihua

　　国家计算机病毒应急处理中心最新提醒：

　　小心“饮茶”！

　　这里的“饮茶”可不是咱们常喝的绿茶、红茶、奶茶，而是一款由美国国安局开发的网络战武器。

　　美国国安局下属的特定入侵行动办公室（TAO）利用这款武器对中国西北大学等机构开展窃密活动，被中国网络安全团队抓了“现行”。

　　美国国家安全局（NSA）总部

　　这事，还得从西北工业大学此前的一份声明说起。

　　今年6月，西北工业大学发布声明，称有境外组织向学校发动网络攻击，意图窃取保密信息，已向公安机关报案。

　　当时，国内网友普遍推测，是美国下的“黑手”。

　　毕竟西北工业大学很早就在美国政府那“挂上号”，是美国“实体清单”中最早“上榜”的中国高校之一。

　　作为“国防七子”之一的西北工业大学，在航空、航天、航海领域建树颇多，为国家培养了大批技术人才。

　　西北工业大学“为国铸剑，隐姓埋名”雕塑

　　美国“黑客帝国”名声在外，按网友们的说法，“那里有监听窃密，那里有大规模网络攻击，那里就一定有美国”，西工大遭网络攻击，先去查查美国所属的情报机构准没错。

　　虽然网友们的“推理”过程不慎严密，还带着极强的主观色彩，判断却是相当准确的，“真凶”就是美国！

　　案发后，国家计算机病毒应急处理中心和360公司联合组成技术团队，对此案进行全面技术分析工作。

　　技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头。

　　初步判明对西北工业大学实施网络攻击行动是NSA信息情报部（代号S）数据侦察局（代号S3）下属的特定入侵行动办公室TAO（代号S32）。

　　随后，国家计算机病毒应急处理中心发布《美国NSA网络武器“饮茶”分析报告》，把美国情报部门的这款网络战武器的源代码“切片研究”，做成分析报告挂在了官网上。

　　这波“实锤”，铁证如山！咱们外交部据此发声，要求美方给个说法，一向以互联网秩序维护者自居的美国，在这时候“龟壳一缩”，没声音了。

　　外交部发言人毛宁表示，中方已经通过多个渠道要求美方对恶意网络攻击作出解释，并立即停止不法行为，但是迄今还没有得到美方实质性的回应。

　　攻击行动代号“阻击XXXX”

　　美国军方给任务起代号的习惯由来已久，比较广为人知的如美国原子弹研制工程代号“曼哈顿计划”，美军发动海湾战争的行动代号是“沙漠盾牌/风暴”，对伊朗核设施发动网络攻击的行动代号是“震网”。

　　按美国人的思路，不管什么任务，先起个“高大上”的代号，哪怕“做贼”，也显得“专业”、“正规”。

　　据国家计算机病毒应急处理中心披露，此案在NSA内部攻击行动代号为“阻击XXXX”（shotXXXX）。

　　直接参与指挥与行动的主要包括TAO负责人罗伯特？乔伊斯，远程操作中心（主要负责操作武器平台和工具进入并控制目标系统或网络）以及任务基础设施技术处（负责开发与建立网络基础设施和安全监控平台，用于构建攻击行动网络环境与匿名网络）。

　　TAO组织架构

　　经技术分析与溯源，技术团队已厘清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术，还原了攻击过程和被窃取的文件，掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据。

　　技术团队还掌握并固定了多条相关证据链，涉及在美国国内对中国直接发起网络攻击的人员13名，以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份，电子文件170余份。

　　技术团队还原TAO攻击过程

　　从咱们技术团队披露的信息看，TAO的攻击行动蓄谋已久，组织策划严密。

　　为了“掩人耳目”，TAO利用其掌握的SunOS操作系统的两个“零日漏洞”，以中国周边国家日本、韩国等为跳板，对其教育机构、商业公司的服务器进行攻击，安装NOPEN木马程序，控制了大批“跳板机”。

　　这些“跳板机”的功能仅限于指令中转，即：将上一级的跳板指令转发到目标系统，从而掩盖美国国家安全局发起网络攻击的真实IP。

　　美国国家安全局（NSA）对西北工业大学发动网络攻击

　　同时，为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系，NSA使用了美国Register公司的匿名保护服务，对相关域名、证书以及注册人等可溯源信息进行匿名化处理，无法通过公开渠道进行查询。

　　TOA的这些“小聪明”可瞒不过中国技术团队的“火眼金睛”。国家计算机病毒应急处理中心与360公司携手“追凶”，抽丝剥茧、追根溯源。

　　技术团队通过威胁情报数据关联分析，发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器，NSA通过秘密成立的两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP地址，并租用一批服务器。

　　同时，技术团队还发现，TAO基础设施技术处（MIT）工作人员使用“阿曼达？拉米雷斯”的名字匿名购买域名和一份通用的SSL证书（ID：e42d3bea0a16111e67ef79f9cc2*****）。

　　随后，上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”（Foxacid）上，对中国的大量网络目标开展攻击。

　　特别是，TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。

　　奇虎360公司在网络安全领域建树颇多

　　值得一提的是，奇虎360公司在这起案件侦破过程中发挥了重要作用。

　　虽然360旗下安全管家绑定“全家桶”、弹广告、难卸载，被网友骂了二十多年，但他们公司技术确实是业界顶尖，甚至得到了美国政府的“认可”。

　　2020年5月，奇虎360公司“荣登”美国出口管制“实体清单”。

　　美国制裁360公司的理由是其“具有采购相关物项用于中国军事最终用途的风险”，这理由一看就是典型的商业科研活动政治化，跟华为被制裁的借口类似。

　　其实360公司被制裁的真实原因并不难猜，在列入实体清单之前，发生过一件事。

　　2020年3月3日，360安全卫士官方微博发布了一条博文，首次证实了涉美CIA攻击组织（APT-C-39）对中国核心关键领域长达十一年的网络渗透攻击。

　　据360公司提供的报告，美国的攻击领域包括我国的航空航天、科研机构、石油行业、大型互联网公司以及政府机构等，意图窃取我国高新技术领域及敏感核心的政府数据。

　　报告中列举了大量关键性证据，把美国一边自诩网络安全维护者，一边大搞网络攻击、监听窃密的丑恶嘴脸打的砰砰响，这“梁子”可结大了。

　　这事发生不久，360就被美国列入了实体清单中，这其中关联不言而喻。虽然360的软件很“流氓”，但他家的安全团队这些年确实干了不少正事。

　　疫情期间，有境外黑客组织持续攻击我国卫生医疗机构网络，窃取新冠病毒的重要信息。也是360团队发现并反追踪到攻击者是越南黑客组织 APT32 “海莲花Oceanlotus”。

　　图源：360官网

　　据360公司官网介绍，2021年，该公司还取得了两项具有政府背书性质的科研成果：一个是“大数据协同国家工程研究中心”，另一个是“安全大脑—国家新一代人工智能开放创新平台”。

　　某种意义上讲，360公司的网络安全团队，已经被“国家队”“招安”了。这也就是为什么西工大案件爆发后，国家计算机病毒应急处理中心会在第一时间联系360团队，联手“追凶”。

　　西北工业大学“很有内涵”

　　此案的另一个关注点，“受害者”西北工业大学。这所藏身西北、在国内都算不上名声显赫的中国高校，会被TAO这帮“外贼”惦记上，美国究竟是想至这里“偷什么”？

　　西北工业大学校徽

　　西北工业大学名字虽“土”，来头可着实不小。“七七事变”后，大批高校西迁，其中清华、北大、南开等名校迁至昆明组建的“西南联大”最广为人知。与此同时，还有一批高校迁往陕西汉中，组建了国立西北联合大学。

　　1938年7月，国立西北联大改组为国立西北大学、国立西北工学院、国立西北师范学院、国立西北农学院和国立西北医学院五所独立的国立大学，而这正是西北工业大学的前身。

　　1946年，国立西北工学院迁至咸阳，新中国成立后更名为西北工学院。为适应新中国建设需要，西北工学院与西安航空学院合并成立西北工业大学。1970年，哈尔滨工程学院航空工程系整体并入西北工业大学，三脉汇聚、强强融合成为今天的西工大。

　　1961年，西北工业大学划归国防部国防科学技术委员会管理，被大家称为“国防七子”之一。

　　2009年，国庆阅兵式上展出了西工大设计的无人机

　　历史上，铸造、航空宇航制造工程、飞行力学、航空发动机、火箭发动机等6个学科的全国第一位工学博士，均由西工大培养。

　　在航天领域，西工大曾重点参与载人航天与探月、神舟系列飞船研制等航天项目，是“为中国首次载人航天飞行作出贡献单位”的两所高校之一；在航空领域，一半以上的重大型号总师、副总师是西工大校友，西工大也被社会誉为“总师摇篮”。

　　歼20战机总设计师杨伟院士毕业于西工大

　　7月4日，一则消息从西工大传来：由该校航天学院空天组合动力创新团队牵头研制的“飞天一号”火箭冲压组合动力在西北某基地成功发射。

　　不少网友据此推测，TAO对西工大发动网络攻击，意在窃取中国“高超声速武器”的相关技术研发进展和核心机密。

　　可以肯定的是，西北工业大学在科研方面拥有强大实力，某些方面的技术水平甚至领先于美国，这才让其成为美国的肉中刺、眼中钉。

　　为了掌握这所高校的一举一动，获取相关技术研发进展和核心机密，美国再次暴露出“黑客帝国”“窃密帝国”的真面目。

　　网络安防防线需全民共建

　　美国为了巩固其全球霸主地位，利用技术资源优势，经常打着‘国家安全’‘人权保护’的幌子，自诩为国际社会的‘网络卫士’‘人权卫士’。但实际上，美国从未停止过对他国政府、企业、个人的无差别监听、窃密与攻击。

　　从近些年告破的网络攻击案例分析，美国窃密的黑手早已伸向中国民间。掌握前瞻科技走向的中国高校、科研院所、科技企业等机构是“重点打击对象”，而不少明见机构的网络安防意识相当薄弱，亟待加强。

　　不久前，中国科学技术大学在校内开展了一场大规模网安演练，趁着中秋节到来之际，给全校师生发了一封“漏洞颇多”的“钓鱼邮件”。

　　邮件内容就是学校定制的月饼礼盒供不应求，邮箱管理中心部门特地采购了一批，以抽奖的形式回馈给大家。

　　结果，4 万封钓鱼邮件，有 3500 名师生成功上当，填写了个人信息。提交后他们才发现自己真中奖了——原地上了一堂的课。

　　其实这类“抽奖邮件”的“钓鱼”手法并不新颖，而中科大发的这封邮件，还故意留了相当多的“破绽”。

　　比如中科大邮件地址是 ustc.edu.cn ，不是钓鱼邮件里的 vstc.edu.cn 。甚至，中科大压根没有发送钓鱼邮件的 “ 邮件管理中心部门 ”。

　　如果仔细核对邮件中的联系电话，还会发现真的中科大电话都是 6360 开头的，而钓鱼邮件上是 “ 36309527 ”。

　　尾号 9527 在玩周星驰的电影梗

　　就是这样一个“破绽百出”的“钓鱼邮件”，居然有三千多名师生“咬钩”了。如果这是境外势力发动的网络攻击，而这三千多人中又刚好有前瞻科技领域的关键岗位技术人员，造成的泄密风险让人不寒而栗。

　　美国的网络攻击行为不仅能窃取他国情报，还能破坏电力、水利、电信、交通、能源等关键基础设施，甚至对公共数据、公共通信网络、公共交通网络、公共服务造成灾难性后果。

　　为避免西北工业大学遭袭类似事件，有网络安全专家建议在信息化建设过程中，建议选用国产化产品和“零信任”安全解决方案（“零信任”即默认不信任企业网络内外的任何人、设备和系统）。

　　如今，网络活动能轻易跨越国境，网络攻击已经成为当代持续性斗争的先导。网络安全是国家安全的一部分，咱们必须需建立起属于中国的、独立自主的网络防护和对抗能力。

　　这就需要每一位公民都深刻认识到自身就是防线中的一份子，在全社会树立网络安全意识，全民共建网络安全“铜墙铁壁”，携手抵御外敌！