41種網路武器，54臺跳板機掩蓋真實IP！西北工大如何被NAS攻擊

前言：41種網路武器，54臺跳板機掩蓋真實IP！西北工業大學遭受NAS攻擊

西北工業大學曾在6月22日釋出宣告，稱遭受境外網路攻擊，學校師生收到包含木馬程式的釣魚郵件，企圖竊取相關師生郵件資料和公民個人資訊。隨後，西安警方對該事件立案偵查。

 

西北工業大學坐落於陝西西安，隸屬於工業和資訊化部，是中國唯一一所以同時發展航空、航天、航海工程教育和科學研究為特色的全國重點大學。大家還記得2019年的建國70週年閱兵儀式嗎？這次盛況空前的“大閱兵”中西北工業大學就強勢宣稱：“天上飛的都被我們承包了。”

西北大學可不僅僅參加了只一次閱兵，2009年10月1日，由西北工業大學自主研製的三型10架無人機，參加國慶60週年閱兵；2017年7月30日，在慶祝中國人民解放軍建軍90週年閱兵式上，由西北工業大學自主研製的三型無人機系統編隊威武亮相；2015年9月3日，在紀念抗日戰爭勝利70週年大閱兵亮相的多種機型的研製。不僅是航空領域，西北工業大學在導彈、火箭等領域也頗有成就。

作為一所國防院校，西北工業大學的許多研究專案都與國防事業息息相關。從西北工業大學中，走出了65位共和國將軍、48位兩院院士，還有6位中國十大傑出青年，科技泰斗錢學森曾三次為西北大學致辭。可以說，西北大學是我國國防軍的一把利器，上可入天，下可進海，只不過為國鑄劍，隱姓埋名罷了。

而這次西北工業大學被境外網路攻擊的幕後黑手就是美國國家安全域性“特定入侵行動辦公室”TAO。為了竊取西北工業大學的重要資料，美國國家安全域性“特定入侵行動辦公室”TAO（Office of Tailored Access Operation）制定了此次行動，行動代號為“阻擊XXXX”（shotXXXX）。

 

TAO透過向西工大師生髮布釣魚郵件，引誘師生點選此郵件，從而入侵其內部系統。其中TAO在攻擊過程中使用NSA專屬網路攻擊武器使用了四十餘種，跳板機和代理伺服器54臺，後門工具“狡詐異端犯”（NSA命名）14個版等，持續對西北工業大學開展攻擊竊密，竊取該校關鍵網路裝置配置、網管資料、運維資料等核心技術資料。接下來我們一起詳細看一下NAS究竟是怎樣發動攻擊的。

一、相關網路攻擊基礎設施

為掩護其攻擊行動，TAO在開始行動前會進行較長時間的準備工作，主要進行匿名化攻擊基礎設施的建設。TAO利用其掌握的針對SunOS作業系統的兩個“零日漏洞”利用工具，選擇了中國周邊國家的教育機構、商業公司等網路應用流量較多的伺服器為攻擊目標；攻擊成功後，安裝NOPEN木馬程式，控制了大批跳板機。

TAO在針對西北工業大學的網路攻擊行動中先後使用了54臺跳板機和代理伺服器，主要分佈在日本、韓國、瑞典、波蘭、烏克蘭等17個國家，其中70%位於中國周邊國家，如日本、韓國等。

這些跳板機的功能僅限於指令中轉，即：將上一級的跳板指令轉發到目標系統，從而掩蓋美國國家安全域性發起網路攻擊的真實IP。目前已經至少掌握TAO從其接入環境（美國國內電信運營商）控制跳板機的四個IP地址，分別為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時，為了進一步掩蓋跳板機和代理伺服器與NSA之間的關聯關係，NSA使用了美國Register公司的匿名保護服務，對相關域名、證書以及註冊人等可溯源資訊進行匿名化處理，無法透過公開渠道進行查詢。

技術團隊透過威脅情報資料關聯分析，發現針對西北工業大學攻擊平臺所使用的網路資源共涉及5臺代理伺服器，NSA透過秘密成立的兩家掩護公司向美國泰瑞馬克（Terremark）公司購買了埃及、荷蘭和哥倫比亞等地的IP地址，並租用一批伺服器。這兩家公司分別為傑克•史密斯諮詢公司（Jackson Smith Consultants）、穆勒多元系統公司（Mueller Diversified Systems）。同時，技術團隊還發現，TAO基礎設施技術處（MIT）工作人員使用“阿曼達•拉米雷斯（Amanda Ramirez）”的名字匿名購買域名和一份通用的SSL證書（ID：e42d3bea0a16111e67ef79f9cc2*****）。隨後，上述域名和證書被部署在位於美國本土的中間人攻擊平臺“酸狐狸”（Foxacid）上，對中國的大量網路目標開展攻擊。特別是，TAO對西北工業大學等中國資訊網路目標展開了多輪持續性的攻擊、竊密行動。

二、相關網路攻擊武器

TAO在對西北工業大學的網路攻擊行動中，先後使用了41種NSA的專用網路攻擊武器裝備。並且在攻擊過程中，TAO會根據目標環境對同一款網路武器進行靈活配置。例如，對西北工業大學實施網路攻擊中使用的網路武器中，僅後門工具“狡詐異端犯”（NSA命名）就有14個不同版本。技術團隊將此次攻擊活動中TAO所使用工具類別分為四大類，具體包括：

1、漏洞攻擊突破類武器

TAO依託此類武器對西北工業大學的邊界網路裝置、閘道器伺服器、辦公內網主機等實施攻擊突破，同時也用來攻擊控制境外跳板機以構建匿名化網路作為行動掩護。此類武器共有3種：

“剃鬚刀”

此武器可針對開放了指定RPC服務的X86和SPARC架構的Solarise系統實施遠端漏洞攻擊，攻擊時可自動探知目標系統服務開放情況並智慧化選擇合適版本的漏洞利用程式碼，直接獲取對目標主機的完整控制權。此武器用於對日本、韓國等國家跳板機的攻擊，所控制跳板機被用於對西北工業大學的網路攻擊。

“孤島”

此武器同樣可針對開放了指定RPC服務的Solaris系統實施遠端溢位攻擊，直接獲取對目標主機的完整控制權。與“剃鬚刀”的不同之處在於此工具不具備自主探測目標服務開放情況的能力，需由使用者手動配置目標及相關引數。NSA使用此武器攻擊控制了西北工業大學的邊界伺服器。

“酸狐狸”武器平臺

此武器平臺部署在哥倫比亞，可結合“二次約會”中間人攻擊武器使用，可智慧化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平臺上的主流瀏覽器開展遠端溢位攻擊，獲取目標系統的控制權（詳見：國家計算機病毒應急處理中心《美國國家安全域性（NSA）“酸狐狸”漏洞攻擊武器平臺技術分析報告》）。TAO主要使用該武器平臺對西北工業大學辦公內網主機進行入侵。

2、持久化控制類武器

TAO依託此類武器對西北工業大學網路進行隱蔽持久控制，TAO行動隊可透過加密通道傳送控制指令操作此類武器實施對西北工業大學網路的滲透、控制、竊密等行為。此類武器共有6種：

“二次約會”

此武器長期駐留在閘道器伺服器、邊界路由器等網路邊界裝置及伺服器上，可針對海量資料流量進行精準過濾與自動化劫持，實現中間人攻擊功能。TAO在西北工業大學邊界裝置上安置該武器，劫持流經該裝置的流量引導至“酸狐狸”平臺實施漏洞攻擊。

“NOPEN”

此武器是一種支援多種作業系統和不同體系架構的遠控木馬，可透過加密隧道接收指令執行檔案管理、程式管理、系統命令執行等多種操作，並且本身具備許可權提升和持久化能力（詳見：國家計算機病毒應急處理中心《“NOPEN”遠控木馬分析報告》）。TAO主要使用該武器對西北工業大學網路內部的核心業務伺服器和關鍵網路裝置實施持久化控制。

“怒火噴射”

此武器是一款基於Windows系統的支援多種作業系統和不同體系架構的遠控木馬，可根據目標系統環境定製化生成不同型別的木馬服務端，服務端本身具備極強的抗分析、反除錯能力。TAO主要使用該武器配合“酸狐狸”平臺對西北工業大學辦公網內部的個人主機實施持久化控制。

“狡詐異端犯”

此武器是一款輕量級的後門植入工具，執行後即自刪除，具備許可權提升能力，持久駐留於目標裝置上並可隨系統啟動。TAO主要使用該武器實現持久駐留，以便在合適時機建立加密管道上傳NOPEN木馬，保障對西北工業大學資訊網路的長期控制。

“堅忍外科醫生”

此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種型別作業系統的後門，該武器可持久化執行於目標裝置上，根據指令對目標裝置上的指定檔案、目錄、程式等進行隱藏。TAO主要使用該武器隱藏NOPEN木馬的檔案和程式，避免其被監控發現。技術分析發現，TAO在對西北工業大學的網路攻擊中，累計使用了該武器的12個不同版本。

3、嗅探竊密類武器

TAO依託此類武器嗅探西北工業大學工作人員運維網路時使用的賬號口令、命令列操作記錄，竊取西北工業大學網路內部的敏感資訊和運維資料等。此類武器共有兩種：

“飲茶”

此武器可長期駐留在32位或64位的Solaris系統中，透過嗅探程式間通訊的方式獲取ssh、telnet、rlogin等多種遠端登入方式下暴露的賬號口令。TAO主要使用該武器嗅探西北工業大學業務人員實施運維工作時產生的賬號口令、命令列操作記錄、日誌檔案等，壓縮加密儲存後供NOPEN木馬下載。

“敵後行動”系列武器

此係列武器是專門針對電信運營商特定業務系統使用的工具，根據被控業務裝置的不同型別，“敵後行動”會與不同的解析工具配合使用。TAO在對西北工業大學的網路攻擊中使用了“魔法學校”、“小丑食物”和“詛咒之火”等3類針對電信運營商的攻擊竊密工具。

4、隱蔽消痕類武器

TAO依託此類武器消除其在西北工業大學網路內部的行為痕跡，隱藏、掩飾其惡意操作和竊密行為，同時為上述三類武器提供保護。現已發現1種此類武器：

“吐司麵包” ，此武器可用於檢視、修改utmp、wtmp、lastlog等日誌檔案以清除操作痕跡。TAO主要使用該武器清除、替換被控西北工業大學上網裝置上的各類日誌檔案，隱藏其惡意行為。TAO對西北工業大學的網路攻擊中共使用了3款不同版本的“吐司麵包”。

三、攻擊溯源

技術團隊結合上述技術分析結果和溯源調查情況，初步判斷對西北工業大學實施網路攻擊行動的是美國國家安全域性（NSA）資訊情報部（代號S）資料偵察局（代號S3）下屬TAO（代號S32）部門。該部門成立於1998年，其力量部署主要依託美國國家安全域性（NSA）在美國和歐洲的各密碼中心。目前已被公佈的六個密碼中心分別是：

1、美國馬里蘭州米德堡的NSA總部；

2、美國夏威夷瓦胡島的NSA夏威夷密碼中心（NSAH）；

3、美國佐治亞州戈登堡的NSA佐治亞密碼中心（NSAG）；

4、美國德克薩斯州聖安東尼奧的NSA德克薩斯密碼中心（NSAT）；

5、美國科羅拉羅州丹佛馬克利空軍基地的NSA科羅拉羅密碼中心（NSAC）；

6、德國達姆施塔特美軍基地的NSA歐洲密碼中心（NSAE）。

NSA對西北工業大學攻擊竊密期間的TAO負責人是羅伯特•喬伊斯（Robert Edward Joyce）。在近年裡，美國NSA下屬TAO對中國國內的網路目標實施了上萬次的惡意網路攻擊，控制了數以萬計的網路裝置（網路伺服器、上網終端、網路交換機、電話交換機、路由器、防火牆等），竊取了超過140GB的高價值資料。網路是無形的戰場，沒有硝煙卻早已數次交鋒，從走進資訊化時代開始，攻防對戰便早已拉開序幕。

（部分資料來源於網路，如有侵權請聯絡刪除）