西北工業大學遭境外網路攻擊，已確認攻擊源頭系美國國家安全域性

今年6月，西北工業大學釋出了一則宣告，稱有境外駭客組織向該學校師生髮送包含木馬附件的釣魚郵件。隨後，陝西省西安警方釋出《警情通報》，證實在西北工業大學的資訊網路中發現了多款源於境外的木馬樣本，並正式對此進行立案調查。

西北工業大學，中華人民共和國工業和資訊化部直屬，中國唯一一所以同時發展航空、航天、航海工程教育和科學研究為特色的全國重點大學，位列國家“雙一流”、“985工程”、“211工程”。

與此同時，中國國家計算機病毒應急處理中心和360公司第一時間聯合組成技術團隊，全程參與此案件的技術分析工作。調查期間提取到多款木馬樣本，在歐洲、南亞部分國家合作伙伴的支援下，綜合利用各種手段對其進行分析，全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭，初步判明瞭相關攻擊活動源自美國國家安全域性（NSA）下屬的“特定入侵行動辦公室” （Office of Tailored Access Operation，後文簡稱TAO）。

TAO成立於1998年，是目前美國政府專門從事對他國實施大規模網路攻擊竊密活動的戰術實施單位，由2000多名軍人和文職人員組成。經技術分析與溯源，技術團隊現已掌握了美國NSA及其下屬TAO對中國資訊網路實施網路攻擊和資料竊密的相關證據，比如實施攻擊的人員13人，NSA透過掩護公司為構建網路攻擊環境而與美國電信運營商簽訂的合同60餘份、電子檔案170餘份。

為隱藏自身身份，TAO利用其掌握的針對SunOS作業系統的兩個“零日漏洞”利用工具，選擇了中國周邊國家的教育機構、商業公司等網路應用流量較多的伺服器為攻擊目標；攻擊成功後，安裝NOPEN木馬程式，控制了大批跳板機。

TAO在針對西北工業大學的網路攻擊行動中先後使用了54臺跳板機和代理伺服器，主要分佈在日本、韓國、瑞典、波蘭、烏克蘭等17個國家。

在針對西北工業大學的網路攻擊中，TAO使用了40餘種不同的NSA專屬網路攻擊武器，持續對西北工業大學開展攻擊竊密，竊取該校關鍵網路裝置配置、網管資料、運維資料等核心技術資料。透過取證分析，技術團隊從被入侵的網路裝置中定位了多份遭竊取的網路裝置配置檔案、遭嗅探的網路通訊資料及口令、其它型別的日誌和金鑰檔案以及其他與攻擊活動相關的主要細節。

根據調查結果，近些年美國NSA下屬TAO對中國國內的網路目標實施了上萬次的惡意網路攻擊，控制了數以萬計的網路裝置，竊取了超過140GB的高價值資料。

官方報告連結：

https://www.cverc.org.cn/head/zhaiyao/news20220905-NPU.htm

編輯：左右裡

資訊來源：中國國家計算機病毒應急處理中心

轉載請註明出處和本文連結

每日漲知識

網頁篡改

一種利用木馬等病毒程式，篡改網頁內容的駭客技術。具有傳播速度快、複製容易、事後消除影響難和實時防範難的特點。

﹀

﹀

﹀