网络攻击西工大的TAO，身份是这样暴露的

长安街知事微信公众号 | 记者 蒙江

美国NSA对西工大发起网络攻击事件，又有新的细节公开。

9月27日，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告（之二）》，披露了美国国家安全局（NSA）“特定入侵行动办公室”（TAO）攻击渗透西北工业大学的流程、窃取西北工业大学和中国运营商敏感信息，公布了TAO网络攻击西北工业大学武器平台IP列表及所用跳板IP列表。

TAO在攻击过程中暴露身份的相关情况也被首次曝光。此外，研究团队经过持续攻坚，发现了攻击实施者的身份线索，并成功查明了13名攻击者的真实身份。

截图来源：国家计算机病毒应急处理中心官网

据调查报告，TAO对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。具体包括：

• 单点突破、级联渗透，控制西北工业大学网络；
• 隐蔽驻留、“合法”监控，窃取核心运维数据；
• 搜集身份验证数据、构建通道，渗透基础设施；
• 控制重要业务系统，实施用户数据窃取。

调查报告披露，TAO窃取西北工业大学和中国运营商敏感信息，包括：

• 窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据；
• 窃取西北工业大学网络设备运维配置文件和日志文件；
• 渗透控制中国基础设施核心设备。

TAO利用窃取到的网络设备账号口令，以“合法”身份进入中国某基础设施运营商服务网络，控制相关服务质量监控系统，窃取用户隐私数据。

据分析，TAO利用相同的武器工具组合，“合法”控制了全球不少于80个国家的电信基础设施网络。我国技术团队与欧洲和东南亚国家的合作伙伴通力协作，成功提取并固定了上述武器工具样本，并成功完成了技术分析，拟适时对外公布，协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。

图源：视觉中国

调查报告还首次披露了TAO在攻击过程中暴露身份的相关情况。

TAO在网络攻击西北工业大学过程中，暴露出多项技术漏洞，多次出现操作失误，相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局（NSA）。例如：

• 攻击时间完全吻合美国工作作息时间规律；
• 语言行为习惯与美国密切关联；
• 武器操作失误暴露工作路径；
• 大量武器与遭曝光的NSA武器基因高度同源；
• 部分网络攻击行为发生在“影子经纪人”曝光之前。

此外，在技术分析与溯源调查中，技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址及所用跳板IP列表。

调查报告指出，研究团队经过持续攻坚，成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端，发现了攻击实施者的身份线索，并成功查明了13名攻击者的真实身份。

调查报告全文请见链接。