又有新細節！網路攻擊西工大的TAO，身份是這樣暴露的

美國NSA對西工大發起網路攻擊事件，又有新的細節公開。

9月27日，國家計算機病毒應急處理中心釋出《西北工業大學遭美國NSA網路攻擊事件調查報告（之二）》，披露了美國國家安全域性（NSA）“特定入侵行動辦公室”（TAO）攻擊滲透西北工業大學的流程、竊取西北工業大學和中國運營商敏感資訊，公佈了TAO網路攻擊西北工業大學武器平臺IP列表及所用跳板IP列表。

TAO在攻擊過程中暴露身份的相關情況也被首次曝光。此外，研究團隊經過持續攻堅，發現了攻擊實施者的身份線索，併成功查明瞭13名攻擊者的真實身份。

截圖來源：國家計算機病毒應急處理中心官網

據調查報告，TAO對他國發起的網路攻擊技戰術針對性強，採取半自動化攻擊流程，單點突破、逐步滲透、長期竊密。具體包括：

單點突破、級聯滲透，控制西北工業大學網路；

隱蔽駐留、“合法”監控，竊取核心運維資料；

蒐集身份驗證資料、構建通道，滲透基礎設施；

控制重要業務系統，實施使用者資料竊取。

調查報告披露，TAO竊取西北工業大學和中國運營商敏感資訊，包括：

竊取西北工業大學遠端業務管理賬號口令、操作記錄等關鍵敏感資料；

竊取西北工業大學網路裝置運維配置檔案和日誌檔案；

滲透控制中國基礎設施核心裝置。

TAO利用竊取到的網路裝置賬號口令，以“合法”身份進入中國某基礎設施運營商服務網路，

控制相關服務質量監控系統，竊取使用者隱私資料。

據分析，TAO利用相同的武器工具組合，“合法”控制了全球不少於80個國家的電信基礎設施網路。我國技術團隊與歐洲和東南亞國家的合作伙伴通力協作，成功提取並固定了上述武器工具樣本，併成功完成了技術分析，擬適時對外公佈，協助全球共同抵禦和防範美國國家安全域性NSA的網路滲透攻擊。

圖源：視覺中國

調查報告還首次披露了TAO在攻擊過程中暴露身份的相關情況。

TAO在網路攻擊西北工業大學過程中，暴露出多項技術漏洞，多次出現操作失誤，相關證據進一步證明對西北工業大學實施網路攻擊竊密行動的幕後黑手即為美國國家安全域性（NSA）。例如：

攻擊時間完全吻合美國工作作息時間規律；

語言行為習慣與美國密切關聯；

武器操作失誤暴露工作路徑；

大量武器與遭曝光的NSA武器基因高度同源；

部分網路攻擊行為發生在“影子經紀人”曝光之前。

此外，在技術分析與溯源調查中，技術團隊發現了一批TAO在網路入侵西北工業大學的行動中託管所用相關武器裝備的伺服器IP地址及所用跳板IP列表。

調查報告指出，研究團隊經過持續攻堅，成功鎖定了TAO對西北工業大學實施網路攻擊的目標節點、多級跳板、主控平臺、加密隧道、攻擊武器和發起攻擊的原始終端，

發現了攻擊實施者的身份線索，併成功查明瞭13名攻擊者的真實身份。

（原標題：網路攻擊西工大的TAO，身份是這樣暴露的）

流程編輯：TF060