驻在平安夜前夕 发表于 2022-9-9 14:55
③“怒火喷射” 此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马,可根 ...
3、嗅探窃密类武器
TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种: ①“饮茶” 此武器可长期驻留在32位或64位的Solaris系统中,通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等,压缩加密存储后供NOPEN木马下载。 ②“敌后行动”系列武器 此系列武器是专门针对电信运营商特定业务系统使用的工具,根据被控业务设备的不同类型,“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。
驻在平安夜前夕 发表于 2022-9-9 14:55
3、嗅探窃密类武器
TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行 ...
4、隐蔽消痕类武器
TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。现已发现1种此类武器: “吐司面包” ,此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件,隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。
驻在平安夜前夕 发表于 2022-9-9 14:56
4、隐蔽消痕类武器
TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其 ...
三、攻击溯源
技术团队结合上述技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻击行动的是美国国家安全局(NSA)信息情报部(代号S)数据侦查局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是: 1、美国马里兰州米德堡的NSA总部; 2、美国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH); 3、美国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG); 4、美国得克萨斯州圣安东尼奥的NSA得克萨斯密码中心(NSAT); 5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC); 6、德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。
驻在平安夜前夕 发表于 2022-9-9 14:56
三、攻击溯源
技术团队结合上述技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻 ...
TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,其内设机构包括: 第一处:远程操作中心(ROC,代号S321),主要负责操作武器平台和工具进入并控制目标系统或网络。 第二处:先进/接入网络技术处(ANT,代号S322),负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。 第三处:数据网络技术处(DNT,代号S323),负责研发复杂的计算机软件工具,为TAO操作人员执行网络攻击任务提供支撑。 第四处:电信网络技术处(TNT,代号S324),负责研究电信相关技术,为TAO操作人员隐蔽渗透电信网络提供支撑。 第五处:任务基础设施技术处(MIT,代号S325),负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络。 第六处:接入行动处(ATO,代号S326),负责通过供应链,对拟送达目标的产品进行后门安装。
驻在平安夜前夕 发表于 2022-9-9 14:56
TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职 ...
第七处:需求与定位处(R&T,代号S327),接收各相关单位的任务,确定侦察目标,分析评估情报价值。 S32P:项目计划整合处(PPI,代号S32P),负责总体规划与项目管理。 NWT:网络战小组(NWT),负责与网络作战小队联络。 美国国家安全局(NSA)针对西北工业大学的攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的主要包括TAO负责人,S321和S325单位。 NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特•乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰斯•霍普金斯大学,获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全主管。
驻在平安夜前夕 发表于 2022-9-9 14:57
第七处:需求与定位处(R&T,代号S327),接收各相关单位的任务,确定侦察目标,分析评估情报价值。 ...
四、总结
本次报告基于国家计算机病毒应急处理中心与360公司联合技术团队的分析成果,揭露了美国NSA长期以来针对包括西北工业大学在内的中国信息网络用户和重要单位开展网络间谍活动的真相。后续技术团队还将陆续公布相关事件调查的更多技术细节。
驻在平安夜前夕 发表于 2022-9-9 14:56
TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职 ...
长期监听中国人手机的TAO,是一个什么样的机构?
2022年09月05日 18:45 长安街知事
9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告,初步判明攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。 这个简称为TAO的办公室,究竟是一个什么样的机构? TAO不仅对中国国内的各重点企业和机构实施恶意网络攻击,而且还长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。上述调查报告揭开了这个神秘组织的一角。 “特定入侵行动办公室”是NSA的网络战情报收集单位。据美国中央情报局第18任局长迈克尔·海登的说法,它从1998年开始活跃,但直到“2000年的最后几天”才被命名为TAO。https://n.sinaimg.cn/sinakd20220905s/243/w1024h819/20220905/b12b-f42e622b6889e7326d16bdf8daab6da2.jpg美国国家安全局(NSA)总部图源:IC photo
驻在平安夜前夕 发表于 2022-9-9 17:35
长期监听中国人手机的TAO,是一个什么样的机构?
2022年09月05日 18:45 长安街知事
对于许多NSA的内部员工来说,TAO也是一个谜。 它隐藏在马里兰州米德堡NSA总部大楼内的超现代操作中心里,有一套与其他部门隔离的大办公室。通向办公室的钢质大门外有武装警卫把守,需要正确输入六位数密码才能进入,除了密码之外,大门旁还设置了视网膜扫描仪。 TAO的工作人员由军事和民用计算机黑客、情报分析师、计算机硬件和软件设计师以及电气工程师组成,实行每天24小时轮班制,每周工作7天。 一位前NSA官员在接受《外交政策》杂志采访时表示,TAO的任务很“单纯”,就是秘密入侵国外目标计算机和电信系统、破解密码、破坏目标计算机的安全系统、窃取存储数据、复制所有目标电子邮件和文本信息系统中的消息和数据等。 TAO拥有自己的小型秘密情报收集单位,被称为“Access Technologies Operations Branch”,其中包括由美国中央情报局(CIA)和联邦调查局(FBI)的借调人员,执行所谓的“网外行动”。 自成立以来,TAO因向美国情报界提供了一些绝密情报而享有盛名,这些情报涉及各种恐怖组织、外国政府针对美国的间谍活动、弹道导弹和全球大规模杀伤性武器的发展,以及全球最新的政治、军事和经济信息等。 专门研究NSA的历史学家Matthew Aid在接受德国《明镜周刊》采访时说,“得到难以获取的东西”是NSA对其TAO职责的定位。
驻在平安夜前夕 发表于 2022-9-9 17:36
对于许多NSA的内部员工来说,TAO也是一个谜。 它隐藏在马里兰州米德堡NSA总部大楼内的超现代 ...
经过长达20余年的运作,目前TAO已成为美国政府内专门从事对他国大规模网络攻击窃密活动的战术实施单位,团队壮大至2000多人。其力量部署主要依托NSA在美国和欧洲的各密码中心,目前已有六个密码中心被公布。https://n.sinaimg.cn/sinakd20220905s/88/w1080h608/20220905/6588-59564f6a320b1357f32a8f28dc0cfe85.jpg图源:央视新闻
驻在平安夜前夕 发表于 2022-9-9 17:36
经过长达20余年的运作,目前TAO已成为美国政府内专门从事对他国大规模网络攻击窃密活动的战术实施单 ...
2013年,爱德华·斯诺登向媒体披露了NSA的一批机密文件,包括“棱镜”项目在内的美国政府多个秘密情报监视项目曝光,这或许是TAO第一次进入大众视野。 据《华盛顿邮报》报道,一份描述TAO内部工作的机密文件称,其拥有多种软件模板,可以入侵“来自多个产品供应链的常见品牌和型号的路由器、交换机和防火墙”。TAO运用软件对植入物进行编码,使之可以抵御软件与设备的升级而持续存在,植入物能够复制存储数据、捕获信息并通过安全加密链路进入其他连接的网络。 TAO的“黑客”更喜欢对目标进行规模化入侵,而非仅仅攻击单台设备,而一台“受感染”的设备则会成为通向成百上千台设备的大门。 “你在某个地方撬开窗户,这样当你回来的时候,主人并不知道它没有上锁,而你可以在你想进去的时候进入。”一名不愿透露姓名的情报官员就相关问题接受《华盛顿邮报》采访时这样描述。 据前述调查报告披露,NSA此次针对西北工业大学的攻击窃密行动负责人是罗伯特·乔伊斯(Robert Edward Joyce)。他于1967年9月13日出生,1989年进入NSA工作,先后担任TAO副主任、主任,现任NSA网络安全主管。
驻在平安夜前夕 发表于 2022-9-9 17:36
2013年,爱德华·斯诺登向媒体披露了NSA的一批机密文件,包括“棱镜”项目在内的美国政府多个秘 ...
https://n.sinaimg.cn/sinakd20220905s/631/w916h515/20220905/97ff-40c7cf44f4c6e942c497d339796a7ce6.png罗伯特·乔伊斯(Robert Edward Joyce)图源:华盛顿邮报
“为了第一次破解,我们会四处寻找(方法)。”2016年,乔伊斯曾在Usenix Enigma会议上公开露面,解释破解目标的关键是找到薄弱环节。“它(TAO)被称为高级持续威胁是有原因的,我们会不停地尝试、试探,直到最终进入(目标)。” “如果你真的想保护你的网络,那你就必须了解它,包括其中的所有设备和技术,”他说,“在许多情况下,我们比设计和运行它们的人更了解网络。”
驻在平安夜前夕 发表于 2022-9-9 17:37
罗伯特·乔伊斯(Robert Edward Joyce)图源:华盛顿邮报
“为了第一次破解,我们会四处寻找(方法 ...
TAO是如此了解网络世界,而对于这个机构,我们却知之甚少。
据《外交政策》报道,关于TAO的一切都被列为最高机密,即使在高度保密的NSA内部也是如此。在成立后十几年中,TAO的名字只公开出现过几次,美国高级情报官员礼貌但非常坚决地警告少数敢于打听它的记者,不要描述它的工作,因为担心这可能会危及它“仍在不断进行的努力”。 “TAO认为,人们对它的了解越少越好。”一位熟悉情况的美国高级国防官员表示。 9月5日,中国外交部发言人毛宁在回应西工大遭网络攻击时表示,美方的行径严重危害中国国家安全和公民个人信息安全。中方对此强烈谴责,我们要求美方作出解释,并立即停止不法行为。 毛宁强调,网络空间安全是世界各国面临的共同问题,作为拥有最强大网络技术实力的国家,美国应该立即停止利用自身优势对他国进行窃密和攻击,以负责任的态度参与全球网络空间治理,为维护网络安全发挥建设性作用。 资料来源:央视新闻、外交政策杂志、华盛顿邮报、德国《明镜周刊》等
驻在平安夜前夕 发表于 2022-9-9 17:35
长期监听中国人手机的TAO,是一个什么样的机构?
2022年09月05日 18:45 长安街知事
美国为何盯上了西北工业大学?细节披露
2022年09月06日 19:56 中央政法委长安剑
5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。报告显示,网络攻击源头系美国国家安全局(NSA)。 报告一经发出,立即引发舆论关注,也将西北工业大学和美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)带入了公众视野。那么,美国究竟为何盯上西北工业大学?幕后黑手TAO又是一个什么样的机构?一起来看—— NSA使用41种网络攻击武器窃取数据 此次遭受攻击的西北工业大学位于陕西西安,是目前我国从事航空、航天、航海工程教育和科学研究领域的重点大学,拥有大量国家顶级科研团队和高端人才,承担国家多个重点科研项目。警方表示,由于西北工业大学所具有特殊地位和从事敏感科学研究,所以成为此次网络攻击的针对性目标。 调查报告显示,美国国家安全局持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。先后使用了41种专用网络攻击武器装备,仅后门工具“狡诈异端犯”(NSA命名)就有14款不同版本。
驻在平安夜前夕 发表于 2022-9-10 11:31
美国为何盯上了西北工业大学?细节披露
2022年09月06日 19:56 中央政法委长安剑
通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其他类型的日志和密钥文件以及其他与攻击活动相关的主要细节。https://n.sinaimg.cn/news/crawl/60/w550h310/20220906/9319-f77f9b370307301156b99166cd8d768a.png
驻在平安夜前夕 发表于 2022-9-10 11:32
通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序 ...
技术团队将此次攻击活动中所使用的武器类别分为四大类,具体包括: · 漏洞攻击突破类武器 · 持久化控制类武器 · 嗅探窃密类武器 · 隐蔽消痕类武器 此次调查报告披露,美国国家安全局利用大量网络攻击武器,针对我国各行业龙头企业、政府、大学、医疗、科研等机构长期进行秘密黑客攻击活动。 调查同时发现,美国国家安全局还利用其控制的网络攻击武器平台、“零日漏洞”(Oday)和网络设备,长期对中国的手机用户进行无差别的语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。
驻在平安夜前夕 发表于 2022-9-10 11:32
技术团队将此次攻击活动中所使用的武器类别分为四大类,具体包括: · 漏洞攻击突破类武器 ...
掩盖真实IP,精心伪装网络攻击痕迹 此次调查报告披露,美国国家安全局为了隐匿其对西北工业大学等中国信息网络实施网络攻击的行为,做了长时间准备工作,并且进行了精心伪装。
https://n.sinaimg.cn/news/crawl/12/w550h262/20220906/00a4-16d2669730992077490460abd2baf305.jpg
驻在平安夜前夕 发表于 2022-9-10 11:33
掩盖真实IP,精心伪装网络攻击痕迹 此次调查报告披露,美国国家安全局为了隐匿其对西北工业大学等 ...
技术团队分析发现,美国国家安全局下属的特定入侵行动办公室(TAO)在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。“特定入侵行动办公室”利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,即安装NOPEN木马程序,控制了大批跳板机。
“特定入侵行动办公室”在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。其中,用以掩盖真实IP的跳板机都是精心挑选,所有IP均归属于非“五眼联盟”国家。 技术团队还发现,相关网络攻击活动开始前,美国国家安全局在美国多家大型知名互联网企业配合下,将掌握的中国大量通信网络设备的管理权限,提供给美国国家安全局等情报机构,为持续侵入中国国内的重要信息网络大开方便之门。
驻在平安夜前夕 发表于 2022-9-10 11:33
技术团队分析发现,美国国家安全局下属的特定入侵行动办公室(TAO)在开始行动前会进行较长时间 ...
“特定入侵行动办公室”到底是什么机构? 那么,“特定入侵行动办公室部门”到底是什么机构? 据了解,“特定入侵行动办公室”成立于1998年,是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,其力量部署主要依托美国国家安全局在美国和欧洲的各密码中心,下设10个单位。https://n.sinaimg.cn/news/crawl/16/w550h266/20220906/52f5-51012a5425446fcde75d6b03b6f83585.jpg
驻在平安夜前夕 发表于 2022-9-10 11:33
“特定入侵行动办公室”到底是什么机构? 那么,“特定入侵行动办公室部门”到底是什么机构? ...
针对西北工业大学的攻击窃密行动的负责人是罗伯特·乔伊斯。此人于1967年9月13日出生,1989年进入美国国家安全局工作。曾经担任过“特定入侵行动办公室”副主任、主任,现担任美国国家安全局NSA网络安全主管。https://n.sinaimg.cn/news/crawl/30/w550h280/20220906/4c01-a8f88ee8a6d682e014f2b03fc275adc6.jpg
驻在平安夜前夕 发表于 2022-9-10 11:33
针对西北工业大学的攻击窃密行动的负责人是罗伯特·乔伊斯。此人于1967年9月13日出生,1989年进入美 ...
网络安全专家表示,据了解,入侵行动办公室代表了全球网络攻击的最高水平,他们所掌握的大量的攻击武器,相当于有了互联网当中的万能钥匙,可以任意进出它想要的目标设备,从而窃取情报,或进行破坏。 调查报告显示,一直以来,美国国家安全局针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害,值得我们深思与警惕。 调查报告认为,西北工业大学此次公开发布遭受境外网络攻击的声明,积极采取防御措施的行动值得遍布全球的美国国家安全局网络攻击活动受害者学习,将成为世界各国有效防范抵御美国国家安全局后续网络攻击行为的有力借鉴。