中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、东南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自于美国国家安全局(NSA)的“特定入侵行动办公室”(即:Office of Tailored Access Operation,后文简称“TAO”)。
本系列研究报告将公布TAO对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。
一、TAO攻击渗透西北工业大学的流程
TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
一 单点突破、级联渗透,控制西北工业大学网络
二 隐蔽驻留、“合法”监控,窃取核心运维数据
三 搜集身份验证数据、构建通道,渗透基础设施
四 控制重要业务系统,实施用户数据窃取
二、窃取西北工业大学和中国运营商敏感信息
(一)窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据
遭到嗅探的网络设备类型包括固定互联网的接入网设备(路由器、认证服务器等)、核心网设备(核心路由器、交换机、防火墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),内容包括账号、口令、设备配置、网络配置等信息。
北京时间20××年12月11日6时52分,TAO以位于日本京都大学的代理服务器(IP:130.54.××.××)为攻击跳板,非法入侵了西北工业大学运维网络的“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件,然后清痕退出。窃取数据包括路由器、核心网设备(核心路由器、交换机、防火墙)管理账号、口令、设备配置、网络配置等信息。
(1)北京时间20××年5月30日0时28分,TAO以位于日本的代理服务器(IP:210.135.××.××)为攻击跳板,非法入侵了西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,这2台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括接入网认证设备的账号、口令及配置信息。
(3)北京时间20××年10月11日10时35分,TAO利用位于韩国首尔国立江原大学的代理服务器(IP:210.115.××.××)作为攻击跳板,非法入侵西北工业大学运维网络监控管理服务器,上传并安装NOPEN木马工具,然后级联控制其内网备份服务器、认证服务器等其他4台服务器,这5台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。
(4)北京时间20××年10月19日2时46分,TAO以位于韩国大田的高等科学技术研究学院的代理服务器(IP:143.248.××.××)为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,级联控制其内网监管服务器等其他2台服务器,这3台服务器事先均已被安装“饮茶”嗅探工具,TAO通过远程操控木马检索并下载窃密文件,然后清痕退出。
(二)窃取西北工业大学网络设备运维配置文件和日志文件
北京时间20××年3月2日3时41分,TAO通过位于日本的代理服务器(IP:210.135.××.××)非法入侵控制西北工业大学1台网络运维管理服务器。3时49分,TAO从该运维管理服务器横向移动到另一台运维监控服务器,以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。
北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。
北京时间20××年6月6日1时27分,TAO通过位于韩国的代理服务器(IP:222.122.××.××)入侵控制了西北工业大学一台内网服务器。2时4分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了目录/var/下的系统文件,窃取了60个常用的系统信息文件,被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。
(三)渗透控制中国基础设施核心设备
1、窃取中国用户隐私数据
同日15:02,TAO将查询到的用户数据保存在被攻击服务器 /var/tmp/.2e434fd8aeae73e1/erf/out/f/ 目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。
美国国家安全局“特定入侵行动办公室”(TAO)运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外1家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。
2、渗透控制全球电信基础设施
三、TAO在攻击过程中暴露身份的相关情况
(一)攻击时间完全吻合美国工作作息时间规律
首先,根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。
其次,美国时间的全部周六、周日中,均未发生对西北工业大学的网络攻击行动。
第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。
(二)语言行为习惯与美国密切关联
(三)武器操作失误暴露工作路径
出错信息如下:
Quantifier follows nothing in regex; marked by <– HERE in m/* <– HERE .log/ at ../etc/autoutils line 4569
(四)大量武器与遭曝光的NSA武器基因高度同源
此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TAO武器完全一致;有23款工具虽然与“影子经纪人”曝光的工具不完全相同,但其基因相似度高达97%,属于同一类武器,只是相关配置不相同;另有2款工具无法与“影子经纪人”曝光工具进行对应,但这2款工具需要与TAO的其它网络攻击武器工具配合使用,因此这批武器工具明显具有同源性,都归属于TAO。
(五)部分网络攻击行为发生在“影子经纪人”曝光之前
技术团队综合分析发现,在对中国目标实施的上万次网络攻击,特别是对西北工业大学发起的上千次网络攻击中,部分攻击过程中使用的武器攻击,在“影子经纪人”曝光NSA武器装备前便完成了木马植入。按照NSA的行为习惯,上述武器工具大概率由TAO雇员自己使用。
四、TAO网络攻击西北工业大学
武器平台IP列表
技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址,举例如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
五、TAO网络攻击西北工业大学所用跳板IP列表
序号 | IP地址 | 归属地 |
1 | 211.119.××.×× | 韩国 |
2 | 210.143.××.×× | 日本 |
3 | 211.119.××.×× | 韩国 |
4 | 210.143.××.×× | 日本 |
5 | 211.233.××.×× | 韩国 |
6 | 143.248.××.×× | 韩国大田高等科学技术研究学院 |
7 | 210.143.××.×× | 日本 |
8 | 211.233.××.×× | 韩国 |
9 | 210.135.××.×× | 日本 |
10 | 210.143.××.×× | 日本 |
11 | 210.115.××.×× | 韩国首尔国立江原大学 |
12 | 222.122.××.×× | 韩国KT电信 |
13 | 89.96.××.×× | 意大利伦巴第米兰 |
14 | 210.135.××.×× | 日本东京 |
15 | 147.32.××.×× | 捷克布拉格 |
16 | 132.248.××.×× | 墨西哥 |
17 | 195.162.××.×× | 瑞士 |
18 | 213.130.××.×× | 卡塔尔 |
19 | 210.228.××.×× | 日本 |
20 | 211.233.××.×× | 韩国 |
21 | 134.102.××.×× | 德国不莱梅大学 |
22 | 129.187.××.×× | 德国慕尼黑 |
23 | 210.143.××.×× | 日本 |
24 | 91.217.××.×× | 芬兰 |
25 | 211.233.××.×× | 韩国 |
26 | 84.88.××.×× | 西班牙巴塞罗那 |
27 | 130.54.××.×× | 日本京都大学 |
28 | 132.248.××.×× | 墨西哥 |
29 | 195.251.××.×× | 希腊 |
30 | 222.122.××.×× | 韩国 |
31 | 192.167.××.×× | 意大利 |
32 | 218.232.××.×× | 韩国 首尔 |
33 | 148.208.××.×× | 墨西哥 |
34 | 61.115.××.×× | 日本 |
35 | 130.241.××.×× | 瑞典 |
36 | 61.1.××.×× | 印度 |
37 | 210.143.××.×× | 日本 |
38 | 202.30.××.×× | 韩国 |
39 | 85.13.××.×× | 奥地利 |
40 | 220.66.××.×× | 韩国 |
41 | 220.66.××.×× | 韩国 |
42 | 222.122.××.×× | 韩国 |
43 | 141.57.××.×× | 德国莱比锡技术经济和文化学院 |
44 | 212.109.××.×× | 波兰 |
45 | 210.135.××.×× | 日本东京 |
46 | 212.51.××.×× | 波兰 |
47 | 82.148.××.×× | 卡塔尔 |
48 | 46.29.××.×× | 乌克兰 |
49 | 143.248.××.×× | 韩国大田高等科学技术研究学院 |
六、小结
综合此次美国国家安全局“特定入侵行动办公室”(TAO)针对西北工业大学的网络入侵行径,其行为对我国国防安全、关键基础设施安全、社会安全、公民个人信息安全造成严重危害,值得我们深思与警惕:
面对美国NSA对我国实施长期潜伏与持续渗透的攻击行为,我国政府、各大中小企业、大学、医疗机构、科研机构以及重要信息基础设施运维单位等都应做好防范准备:一方面各行业、企业应尽快开展APT攻击自查工作,另一方面要着力实现以“看见”为核心的全面系统化防治。
面对国家级背景的强大对手,首先要知道风险在哪,是什么样的风险,什么时候的风险。
因此,各大单位要逐步提升感知能力、看见能力、处置能力,在攻击做出破坏之前及时斩断“杀伤链”,变事后发现为事前捕获,真正实现感知风险、看见威胁、抵御攻击。