今年6月22日，西北工業大學發布《公開聲明》稱，該校遭受境外網絡攻擊，隨后西安警方對此正式立案調查，中國國家計算機病毒應急處理中心和360公司聯合組成技術團隊全程參與了此案的技術分析工作，并于9月5日發布了第一份“西北工業大學遭受美國NSA網絡攻擊調查報告”，調查報告指出此次網絡攻擊源頭系美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）。今天（27日），技術團隊再次發布相關網絡攻擊的調查報告，報告披露，特定入侵行動辦公室（TAO）在對西北工業大學發起網絡攻擊過程中構建了對我國基礎設施運營商核心數據網絡遠程訪問的（所謂）“合法”通道，實現了對我國基礎設施的滲透控制。

多項證據顯示幕后黑手為美國國家安全局（NSA）

(資料圖)

此次調查報告披露，美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）在網絡攻擊西北工業大學過程中，暴露出多項技術漏洞，多次出現操作失誤，相關證據進一步證明對西北工業大學實施網絡攻擊竊密行動的幕后黑手即為美國國家安全局（NSA）。

調查發現，美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）在使用tipoff激活指令和遠程控制NOPEN木馬時，必須通過手動操作，從這兩類工具的攻擊時間可以分析出網絡攻擊者的實際工作時間。

首先，根據對相關網絡攻擊行為的大數據分析，對西北工業大學的網絡攻擊行動98%集中在北京時間21時至凌晨4時之間，該時段對應著美國東部時間9時至16時，屬于美國國內的工作時間段。其次，美國時間的全部周六、周日中，均未發生對西北工業大學的網絡攻擊行動。第三，分析美國特有的節假日，發現美國的“陣亡將士紀念日”放假3天，美國“獨立日”放假1天，在這四天中攻擊方沒有實施任何攻擊竊密行動。第四，長時間對攻擊行為密切跟蹤發現，在歷年圣誕節期間，所有網絡攻擊活動都處于靜默狀態。依據上述工作時間和節假日安排進行判斷，針對西北工業大學的攻擊竊密者都是按照美國國內工作日的時間安排進行活動的，肆無忌憚，毫不掩飾。

國家計算機病毒應急處理中心高級工程師 杜振華：TAO對西北工業大學的這次網絡攻擊當中，它體現出這種技術復雜度比較高，攻擊的周期比較長，人工的這種操作的工作量是比較多，那么在這種條件下，出現人為失誤，人為錯誤的這種概率，也是相對比較高。那么這些失誤，可以被我們用來進行這種歸因的分析，根據歸因的分析，比如說這次它在事故當中泄露出的指令的字符串，還有代碼中的一些特征的字符串，那么它反映出的這種自然語言的特征，它是符合這種英語母語國家的特點。

技術團隊在對網絡攻擊者長時間追蹤和反滲透過程中發現，攻擊者具有以下語言特征：一是攻擊者有使用美式英語的習慣；二是與攻擊者相關聯的上網設備均安裝英文操作系統及各類英文版應用程序；三是攻擊者使用美式鍵盤進行輸入。

360公司網絡安全專家 邊亮：比如說我們抓到了一次，它在攻擊的過程中，它發送腳本的命令是有錯的，發錯了，寫錯了，然后它這個工具會對攻擊者進行提示，哪里出錯會把出錯信息返回給攻擊者，給他以提示，這個信息里邊就包括了攻擊者他當前操作系統的環境，這樣一來其實就暴露了攻擊者相關的信息是美國的作戰辦公室（TAO）。

技術團隊發現，北京時間20××年5月16日5時36分，對西北工業大學實施網絡攻擊人員利用位于韓國的跳板機（IP:222.122.××.××），并使用NOPEN木馬再次攻擊西北工業大學。在對西北工業大學內網實施第三級滲透后試圖入侵控制一臺網絡設備時，在運行上傳PY腳本工具時出現人為失誤，未修改指定參數。腳本執行后返回出錯信息，信息中暴露出攻擊者上網終端的工作目錄和相應的文件名，從中可知木馬控制端的系統環境為Linux系統，且相應目錄名“/etc/autoutils”系特定入侵行動辦公室（TAO）網絡攻擊武器工具目錄的專用名稱（autoutils）。

出錯信息如下：

Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569

技術團隊發現，此次被捕獲的、對西北工業大學攻擊竊密中所用的41款不同的網絡攻擊武器工具中，有16款工具與（2016年）“影子經紀人”曝光的TAO武器完全一致；有23款工具雖然與“影子經紀人”曝光的工具不完全相同，但其基因相似度高達97%，屬于同一類武器，只是相關配置不相同；另有2款工具無法與“影子經紀人”曝光工具進行對應，但這2款工具需要與TAO的其它網絡攻擊武器工具配合使用，因此這批武器工具明顯具有同源性，都歸屬于TAO。

360公司網絡安全專家 邊亮：每個程序開發者或者說每個作者他都會有他的相關習慣，比如說類似于我們寫字一樣筆體一樣，這個習慣他不會說一兩天就很輕易去更改，那么程序也是這個道理，它里邊有很多這種邏輯，它的算法包括它的這種數據結構，所以我們會通過我們分析去抓它這個習慣，從而進行綜合的對比，來找它到底是不是屬于同一類型或者同一個家族同一個基因的這么一套攻擊武器。

技術團隊綜合分析發現，在對中國目標實施的上萬次網絡攻擊，特別是對西北工業大學發起的上千次網絡攻擊中，部分攻擊過程中使用的武器攻擊，在（2016年）“影子經紀人”曝光NSA武器裝備前便完成了木馬植入。按照NSA的行為習慣，上述武器工具大概率由TAO雇員自己使用。

NSA侵入我國基礎設施相關設備 竊取用戶隱私數據

據了解，技術團隊通過相關技術手段，對西北工業大學遭受網絡攻擊的痕跡和現場環境進行了取證分析，判斷出了美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）當時攻擊的手法和時間，并且披露了其中相關網絡攻擊的典型案例。

1、竊取西北工業大學遠程業務管理賬號口令、操作記錄等關鍵敏感數據

調查報告顯示，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）通過在西北工業大學運維管理服務器安裝嗅探工具“飲茶”，長期隱蔽嗅探竊取西北工業大學運維管理人員遠程維護管理信息，包含網絡邊界設備賬號口令、業務設備訪問權限、路由器等設備配置信息等。

技術團隊發現，西北工業大學遭到嗅探的網絡設備類型包括固定互聯網的接入網設備（路由器、認證服務器等）、核心網設備（核心路由器、交換機、防火墻等），也包括通信基礎設施運營企業的重要設備（數據服務平臺等），內容包括賬號、口令、設備配置、網絡配置等信息。

北京時間20××年12月11日6時52分，TAO以位于日本京都大學的代理服務器（IP：130.54.××.××）為攻擊跳板，非法入侵了西北工業大學運維網絡的“telnet”管理服務器，上傳并安裝NOPEN木馬，然后級聯控制其內網監控管理服務器，上述2臺服務器事先均已被安裝“飲茶”嗅探工具。TAO遠程操控木馬檢索并下載被壓縮加密的監聽記錄文件，然后清痕退出。竊取數據包括路由器、核心網設備（核心路由器、交換機、防火墻）管理賬號、口令、設備配置、網絡配置等信息。

2、竊取西北工業大學網絡設備運維配置文件和日志文件

美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）長期攻擊入侵西北工業大學網絡運維管理服務器，秘密竊取網絡設備運維配置文件和日志文件。

北京時間20××年10月11日10時41分，TAO通過位于韓國的代理服務器（IP：210.115.××.××）入侵控制了西北工業大學一臺內網服務器。10時48分，TAO經過兩次橫向移動，入侵了另一臺內網服務器，訪問了特定目錄下的定期任務配置腳本，共檢索到14個用于定期執行任務的配置文件。隨后，一次性竊取了這14個文件，這些文件可用于執行定期清理、備份、檢查電源等操作。

3、滲透控制中國基礎設施核心設備

美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）利用竊取到的網絡設備賬號口令，以“合法”身份進入中國某基礎設施運營商服務網絡，控制相關服務質量監控系統，竊取用戶隱私數據。

北京時間20××年3月7日22:53，美國國家安全局“特定入侵行動辦公室”（TAO）通過位于墨西哥的攻擊代理148.208.××.××，攻擊控制中國某基礎設施運營商的業務服務器211.136.××.××，通過兩次內網橫向移動（10.223.140.××、10.223.14.××）后，攻擊控制了用戶數據庫服務器，非法查詢多名身份敏感人員的用戶信息。

同日15:02，TAO將查詢到的用戶數據保存在被攻擊服務器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目錄下，被打包回傳至攻擊跳板，隨后竊密過程中上傳的滲透工具、用戶數據等攻擊痕跡被專用工具快速清除。

國家計算機病毒應急處理中心高級工程師 杜振華：TAO在這次針對西北工業大學的攻擊中使用了很多類的這種網絡武器，具體來說比如酸狐貍，那么它屬于典型的漏洞突破類的武器，它通過這種中間人的攻擊的方式，可以向內網的被受害的主機去投送其他的網絡武器，像怒火噴射、絕不公開這種持久控制類武器，它就可以根據這種TAO遠程發送的這種控制指令來實施在內網的進一步的攻擊滲透，橫向移動，可以部署像嗅探竊密類的武器，通過嗅探竊密類武器，像飲茶，它可以竊取更多的遠程管理主機賬號密碼。

360公司網絡安全專家 邊亮：飲茶這種武器，它類似于我們戰爭中的間諜，它可以在網絡當中去竊聽我們的流量數據。它通過網絡數據這種監聽，就可以竊取到我們相關的這種敏感的數據和信息，就類似于我們兩個人聊天當中可能有第三者進行隔墻有耳這種監聽一樣。

據技術團隊分析，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）以上述手法，利用相同的武器工具組合，“合法”控制了全球不少于80個國家的電信基礎設施網絡。技術團隊與歐洲和東南亞國家的合作伙伴通力協作，成功提取并固定了上述武器工具樣本，并成功完成了技術分析，擬適時對外公布，協助全球共同抵御和防范美國國家安全局NSA的網絡滲透攻擊。

維護網絡安全是國際社會的共同責任

技術團隊經過持續攻堅，成功鎖定了美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）對西北工業大學實施網絡攻擊的目標節點、多級跳板、主控平臺、加密隧道、攻擊武器和發起攻擊的原始終端，發現了攻擊實施者的身份線索，并成功查明了13名攻擊者的真實身份。

報告顯示，國家計算機病毒應急處理中心和360公司聯合組成技術團隊，全程參與了此案的技術分析工作，技術團隊得到歐洲、東南亞部分國家合作伙伴的通力支持，全面還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關攻擊活動源自美國國家安全局（NSA）的特定入侵行動辦公室（TAO）。本系列研究報告將為全球各國有效發現和防范TAO的后續網絡攻擊行為提供可以借鑒的案例。

中國科技大學公共事務學院 網絡空間安全學院教授 左曉棟：由于網絡攻擊它是跨國界的，所以網絡攻擊的溯源，無論是在技術上，還是在程序上，都有巨大的難度。

專家表示，網絡空間是人類的共同家園，網絡攻擊是全球面臨的共同威脅，維護網絡安全是國際社會的共同責任。針對此類網絡攻擊，更需要相關國家通力合作才能揪出幕后黑手。

9月8日，外交部美大司司長楊濤就美國對我西北工業大學實施網絡攻擊竊密向美國駐華使館提出嚴正交涉。

楊濤指出，日前，中國國家計算機病毒應急處理中心和360公司發布美國國家安全局下屬部門對中國西北工業大學實施網絡攻擊的調查報告，有關事實清清楚楚，證據確鑿充分。這不是美國政府第一次對中國機構實施網絡攻擊和竊密敏感信息。美方行徑嚴重侵犯中國有關機構的技術秘密，嚴重危害中國關鍵基礎設施、機構和個人信息安全，必須立即停止。

（總臺央視記者 侯軍 陳雷 張崗 董良言 陳慶濱 韓汝旭）