工业和信息化部主管 中国电子报社主办
收藏本站投稿

产业新闻

美国网攻西工大另一关键图谋曝光!

美国网攻西工大另一图谋曝光:查询中国境内敏感身份人员信息

《环球时报》记者27日获得的最新调查报告进一步揭露了美国对西北工业大学组织网络攻击的目的:渗透控制中国基础设施核心设备,窃取中国用户隐私数据,入侵过程中还查询一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

6月份西北工业大学曾发布声明称,有来自境外的黑客组织对西北工业大学服务器实施攻击。9月份,相关部门调查显示针对西北工业大学的网络攻击来自美国国家安全局(NSA)特定入侵行动办公室(TAO)。

中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析。研究团队经过持续攻坚,成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端,发现了攻击实施者的身份线索,并成功查明了13名攻击者的真实身份。

最新的调查报告进一步表明,TAO长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换原系统文件和擦除系统日志的方式消痕隐身,规避溯源。网络安全技术人员根据TAO攻击西北工业大学的隐蔽链路、渗透工具、木马样本等特征关联发现,TAO对我国基础设施运营商核心数据网络实施了渗透控制。

不仅如此,TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

入侵细节披露,人赃俱获

最新发布的报告公布了一系列细节进一步证明TAO实施网络攻击行为,其中包括其是在什么时间通过什么方式窃取中国用户隐私数据,相当于“人赃俱获”。

细节显示:北京时间20××年3月7日22:53,TAO通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。

同日15:02,TAO将查询到的用户数据保存在被攻击服务器“/var/tmp/.2e434fd8aeae73e1/erf/out/f/”目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。

此外,TAO运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外一家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。

TAO在攻击过程中操作失误暴露工作路径

针对西北工业大学遭受TAO网络攻击的技术分析行动中,中国打破了一直以来美国对我国的“单向透明”优势,掌握了美国实施网络攻击的充分证据。

值得一提的是,TAO在实施网络攻击中因操作失误暴露工作路径。根据介绍, 20××年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称(autoutils)。

640.jpg


TAO网络攻击西北工业大学所用跳板IP列表

此外,技术分析还发现,美国仰仗自己强大的技术优势,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。

根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。其次,美国时间的全部周六、周日时间内均未发生对西北工业大学的网络攻击行动。第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。

技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址,举例如下:

微信截图_20220927173557.png

责任编辑:赵强


声明

1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。

相关链接

视频

广告

专题

第5届中国—东盟信息港论坛

2022年9月16日,由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、广西壮族自治区人民政府联合主办的第五届中国—东盟信息港论坛将在广西南宁开幕。该论坛主要围绕数字经济发展和智能互联、数据互通、合作互利等开展交流研讨、建言献策,进一步推进互联网经贸服务、人文交流和技术合作。

2022“三品”全国行

为贯彻落实《国务院关于印发扎实稳住经济一揽子政策措施的通知》要求,加快推进数字化助力消费品工业“三品”战略实施,进一步提振消费信心、挖掘消费潜力,巩固增强消费对经济发展的基础性作用,工业和信息化部近期组织开展2022“三品”全国行活动。中国电子报特开辟2022“三品”全国行专栏,报道活动进展、专家观点、政策解读,敬请关注。

聚焦2022年全国两会

北京3月5日电 第十三届全国人民代表大会第五次会议5日上午在北京人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。人民大会堂万人大礼堂气氛隆重热烈,主席台帷幕正中的国徽在鲜艳的红旗映衬下熠熠生辉。

2021年中国家电市场报告

3月3日,中国电子信息产业发展研究院(又称赛迪研究院) 发布了《2021年中国家电市场报告》(以下简称《报告》)。《报告》显示,2021年,我国家电市场全面复苏,零售规模达到8811亿元,同比增长5.7%,整体基本恢复至疫情前2019年的水平。

落实工作会精神 推动高质量发展

2022年要聚焦制造强国和网络强国建设目标,把工业稳增长摆在最重要的位置,统筹推进强链补链、技术攻关、数字化转型和绿色低碳发展,加大对中小企业支持,提升信息通信服务供给能力。工业和信息化部政务新媒体“工信微报”推出“落实工作会精神 推动高质量发展”栏目,刊发工信系统2022年工作新思路,敬请关注。

广告
世界超高清视频(4K/8K)产业发展大会

会议

2022CITE第十届中国电子信息博览会开幕峰会

8月16日,第十届中国电子信息博览会(CITE 2022)在深圳举办。深圳市人民政府副市长张华,广东省工业和信息化厅党组成员、副厅长曲晓杰,工业和信息化部电子信息司副司长史惠康出席开幕式并先后致辞。

2021世界VR产业大会云峰会

10月19日—20日,由工业和信息化部和江西省人民政府共同主办的2021世界VR产业大会云峰会在南昌举办。国务委员王勇出席大会开幕式并发表讲话,江西省委书记易炼红,工业和信息化部副部长王志军,江西省委常委、南昌市委书记李红军出席开幕式并致辞。

2021世界显示产业大会

6月17日,由工业和信息化部、安徽省人民政府共同主办的2021世界显示产业大会在合肥市开幕。安徽省委书记李锦斌出席开幕式并宣布大会开幕,安徽省省长王清宪、上海合作组织秘书长弗拉基米尔·诺罗夫、工业和信息化部副部长王志军出席开幕式并先后致辞。

2021世界超高清视频(4K/8K)产业发展大会

5月8日-10日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2021世界超高清视频(4K/8K)产业发展大会在广州召开。5月9日,广东省委书记李希出席开幕式,广东省省长马兴瑞、国家广播电视总局副局长孟冬、中央广播电视总台编务会议成员姜文波出席开幕式并致辞。

世界显示产业大会

本周排行