西安碑林公安通报西工大遭境外网络攻击
2022年09月05日 14:46 环球网作者:环球网https://n.sinaimg.cn/news/transform/703/w550h953/20220905/a2dc-65194cc7705a8ed28423f1a2a9530710.jpg
更多报道 西北工业大学遭网络攻击事件调查报告发布:网络攻击源头系美国国家安全局(央视)https://p.ivideo.sina.com.cn/video/483/123/147/483123147.jpg
西北工业大学遭网络攻击事件调查报告发布:网络攻击源头系美国国家安全局
驻在平安夜前夕 发表于 2022-9-9 14:45
更多报道 西北工业大学遭网络攻击事件调查报告发布:网络攻击源头系美国国家安全局(央视)
西北工 ...
今天(5日),国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告,调查发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了相关网络设备,疑似窃取了高价值数据。 今年4月,西安市公安机关接到一起网络攻击的报警,西北工业大学的信息系统发现遭受网络攻击的痕迹。
驻在平安夜前夕 发表于 2022-9-9 14:45
今天(5日),国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击 ...
https://n.sinaimg.cn/news/crawl/59/w550h309/20220905/0389-b003cbe71ae6b158accc12ef89d80dd5.png
西北工业大学信息化建设与管理处副处长兼信息中心主任 宋强:近期我校系统发现木马程序,企图非法获取权限,这给我们学校的正常工作和生活秩序造成了重大的风险隐患。我校高度重视网络安全工作, 已将该情况报警。
驻在平安夜前夕 发表于 2022-9-9 14:49
西北工业大学信息化建设与管理处副处长兼信息中心主任 宋强:近期我校系统发现木马程序,企图非法 ...
https://n.sinaimg.cn/news/crawl/59/w550h309/20220905/2cf5-a1d95e03565c080c568479326fd42c73.png
西安市公安机关对此高度重视,立即组织警力与网络安全技术专家成立联合专案组对此案进行立案侦查。国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。
驻在平安夜前夕 发表于 2022-9-9 14:50
西安市公安机关对此高度重视,立即组织警力与网络安全技术专家成立联合专案组对此案进行立案侦 ...
本次调查还发现,在近年里,美国国家安全局(NSA)下属特定入侵行动办公室(TAO)对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括:网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取了超过140GB的高价值数据。https://n.sinaimg.cn/news/crawl/59/w550h309/20220905/648a-4fb1f9a8f7bf646e02d3a39136a68bbd.png
联合技术团队经过复杂的技术分析与溯源,还原了西北工业大学遭受网络攻击的过程和被窃取的文件,掌握了美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13 名,以及美国国家安全局(NSA)通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同 60 余份、电子文件 170余份。
驻在平安夜前夕 发表于 2022-9-9 14:50
本次调查还发现,在近年里,美国国家安全局(NSA)下属特定入侵行动办公室(TAO)对中国国内的网络目 ...
https://n.sinaimg.cn/news/crawl/59/w550h309/20220905/044f-d752b7f0c4e9a07469412de3dbe7428f.png
西安市公安局碑林分局副局长 靳琪:目前,联合专案组已将相关调查结果上报国家有关部门。 有关此事件的进展情况,总台将持续关注。 (总台央视记者 白央 陈雷 张岗 董良言 吴成轩 陈庆滨 刘功河 白龙飞)
驻在平安夜前夕 发表于 2022-9-9 14:50
西安市公安局碑林分局副局长 靳琪:目前,联合专案组已将相关调查结果上报国家有关部门。 有关 ...
此前报道 警方通报西北工业大学遭境外网络攻击:已立案侦查https://p.ivideo.sina.com.cn/video/474/594/628/474594628.jpg
西北工业大学遭境外网络攻击 反击画面曝光:黑客意图窃取数据
驻在平安夜前夕 发表于 2022-9-9 14:50
此前报道 警方通报西北工业大学遭境外网络攻击:已立案侦查
西北工业大学遭境外网络攻击 反击画 ...
中新网6月23日电 据陕西省西安市公安局碑林分局官方微博消息,针对西北工业大学电子邮件系统遭受境外网络攻击,西安市公安局23日发布警情通报称,已根据中华人民共和国《刑法》第285条之规定,对此案进行立案侦查,并对提取到的木马和钓鱼邮件样本进一步开展技术分析。初步判定,此事件为境外黑客组织和不法分子发起的网络攻击行为。 通报指,2022年4月12日15时许,西安市公安局碑林分局太白路派出所接到西北工业大学信息化建设与管理处报警称:该校电子邮件系统发现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序,引诱部分师生点击链接,非法获取师生电子邮箱登录权限,致使相关邮件数据出现被窃取风险,同时,部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。上述发送钓鱼邮件和发起网络攻击的行为对西北工业大学校内信息系统和广大师生的重要数据造成重大安全威胁。 接警后,西安市公安局碑林分局立即组织网安大队开展调查取证,初步掌握了相关事实,提取了木马程序和钓鱼邮件样本并依法固定了相关证据。 警方提示:网络安全无小事,任何个人和组织在遇到危害网络安全的行为时,有权依照《中华人民共和国网络安全法》第十四条之规定,向当地公安机关网安部门举报,公安机关将依法对相关违法犯罪行为予以坚决打击。
驻在平安夜前夕 发表于 2022-9-9 14:51
中新网6月23日电 据陕西省西安市公安局碑林分局官方微博消息,针对西北工业大学电子邮件系统遭受境外 ...
西北工业大学邮件系统遭境外网络攻击 校方报警 @西北工业大学 6月22日发布公开声明,近期,该校电子邮件系统遭受网络攻击,对学校正常教学生活造成负面影响。该校第一时间报警,经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。https://n.sinaimg.cn/news/transform/199/w550h449/20220905/ef1a-eaa1f63a1caef583bc750273c31ffed4.jpg
驻在平安夜前夕 发表于 2022-9-9 14:51
西北工业大学邮件系统遭境外网络攻击 校方报警 @西北工业大学 6月22日发布公开声明,近期,该校电 ...
公开声明如下:
此次网络攻击事件中,有来自境外的黑客组织和不法分子向我校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,给学校正常工作和生活秩序造成重大风险隐患。长期以来,我校高度重视网络安全工作,经常性开展网络安全宣传教育,定期开展网络安全检查和技术监测,明确主动防御策略,全面采取技术防护措施。全校师生网络安全意识和敏锐性逐年提高,来自境外的钓鱼邮件暂未造成重要数据泄露,暂未引发重大网络安全事件,校园网络安全和广大师生的个人信息安全得到有效维护。 为进一步查明事实,依法处理相关黑客组织和不法分子的网络攻击行为,采取有力措施筑牢校园网络安全屏障,维护广大师生合法权益,我校已就遭受境外网络攻击情况向公安机关报案,并保留进一步追诉的权利。 在此,我校提醒广大互联网用户:网络空间不是法外之地,发送钓鱼邮件、侵犯公民个人信息属于犯罪行为。请广大网民文明用网、规范用网,严格遵守《中华人民共和国网络安全法》,共同营造清朗网络空间。
美国国家安全局攻击中国网络上万次 窃取数据超140G
2022年09月05日 10:51 新京报
https://p.ivideo.sina.com.cn/video/483/123/147/483123147.jpg
西北工业大学遭网络攻击事件调查报告发布:网络攻击源头系美国国家安全局
驻在平安夜前夕 发表于 2022-9-9 14:52
美国国家安全局攻击中国网络上万次 窃取数据超140G
2022年09月05日 10:51 新京报
据央视新闻消息,2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。 国家计算机病毒应急处理中心和360公司联合组成技术团队(以下简称“技术团队”),全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO)。
驻在平安夜前夕 发表于 2022-9-9 14:52
据央视新闻消息,2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西 ...
一、攻击事件概貌
本次调查发现,在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。经技术分析与溯源,技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。
驻在平安夜前夕 发表于 2022-9-9 14:53
一、攻击事件概貌
本次调查发现,在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万 ...
二、攻击事件分析
在针对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。
驻在平安夜前夕 发表于 2022-9-9 14:53
二、攻击事件分析
在针对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击 ...
具体分析情况如下: (一)相关网络攻击基础设施 为掩护其攻击行动,TAO在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序(详见有关研究报告),控制了大批跳板机。 TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。 这些跳板机的功能仅限于指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为209.59.36。*、69.165.54。*、207.195.240。*和209.118.143。*。同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。 技术团队通过威胁情报数据关联分析,发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。同时,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达•拉米雷斯(Amanda Ramirez)”的名字匿名购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。
驻在平安夜前夕 发表于 2022-9-9 14:53
具体分析情况如下: (一)相关网络攻击基础设施 为掩护其攻击行动,TAO在开始行动前会进行较长时 ...
(二)相关网络攻击武器
TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。例如,对西北工业大学实施网络攻击中使用的网络武器中,仅后门工具“狡诈异端犯”(NSA命名)就有14个不同版本。技术团队将此次攻击活动中TAO所使用工具类别分为四大类,具体包括:
1、漏洞攻击突破类武器
TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。
驻在平安夜前夕 发表于 2022-9-9 14:54
(二)相关网络攻击武器
TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网 ...
此类武器共有3种: ①“剃须刀” 此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击,攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。 ②“孤岛” 此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击,直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力,需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。 ③“酸狐狸”武器平台 此武器平台部署在哥伦比亚,可结合“二次约会”中间人攻击武器使用,可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击,获取目标系统的控制权(详见:国家计算机病毒应急处理中心《美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告》)。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。
驻在平安夜前夕 发表于 2022-9-9 14:54
此类武器共有3种: ①“剃须刀” 此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实 ...
2、持久化控制类武器
TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有6种: ①“二次约会” 此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。 ②“NOPEN” 此武器是一种支持多种操作系统和不同体系架构的远控木马,可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力(详见:国家计算机病毒应急处理中心《“NOPEN”远控木马分析报告》)。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。
驻在平安夜前夕 发表于 2022-9-9 14:55
2、持久化控制类武器
TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO行动队可通过加 ...
③“怒火喷射” 此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马,可根据目标系统环境定制化生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。 ④“狡诈异端犯” 此武器是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留,以便在合适时机建立加密管道上传NOPEN木马,保障对西北工业大学信息网络的长期控制。 ⑤“坚忍外科医生” 此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。技术分析发现,TAO在对西北工业大学的网络攻击中,累计使用了该武器的12个不同版本。