关于西北工业大学遭受美国NSA网络攻击调查报告(之二).pdf
《关于西北工业大学遭受美国NSA网络攻击调查报告(之二).pdf》由会员分享,可在线阅读,更多相关《关于西北工业大学遭受美国NSA网络攻击调查报告(之二).pdf(13页珍藏版)》请在冰点文库上搜索。
1录录1北业学遭受美国NSA络攻击调查报告(之)360数字安全360数字安全2022-09-2710:
19收录于合集#关于北业学发现美国NSA络攻击调查报告2个22022年622,北业学发布公开声明称,该校遭受境外络攻击。
陕省安市公安局碑林分局随即发布警情通报,证实在北业学的信息络中发现了多款源于境外的和恶意程序样本,安警已对此正式案调查。
中国国家计算机病毒应急处理中和360公司全程参与了此案的技术分析作。
技术团队先后从北业学的多个信息系统和上终端中提取到了程序样本,综合使国内现有数据资源和分析段,并得到欧洲、东南亚部分国家合作伙伴的通持,全还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源于美国国家安全局(NSA)的“特定侵动办公室”(即:
OfficeofTailoredAccessOperation,后简称“TAO”)。
本系列研究报告将公布TAO对北业学发起的上千次络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效发现和防范TAO的后续络攻击为提供可以借鉴的案例。
、TAO攻击渗透北业学的流程TAO对他国发起的络攻击技战术针对性强,采取半动化攻击流程,单点突破、逐步渗透、期窃密。
单点突破、级联渗透,控制北业学络经过期的精准备,TAO使“酸狐狸”平台对北业学内部主机和服务器实施中间劫持攻击,部署“怒喷射”远程控制武器,控制多台关键服务器。
利级联控制渗透的式,向北业学内部络深度渗透,先后控制运维、办公的核络设备、服务器及终端,并获取了部分北业学内部路由器、交换机等重要络节点设备的控制权,窃取身份验证数据,并进步实施渗透拓展,最终达成了对北业学内部络的隐蔽控制。
3隐蔽驻留、“合法”监控,窃取核运维数据TAO将作战动掩护武器“坚忍外科医”与远程控制NOPEN配合使,实现进程、件和操作为的全“隐身”,期隐蔽控制北业学的运维管理服务器,同时采取替换3个原系统件和3类系统志的式,消痕隐身,规避溯源。
TAO先后从该服务器中窃取了多份络设备配置件。
利窃取到的配置件,TAO远程“合法”监控了批络设备和互联户,为后续对这些标实施拓展渗透提供数据持。
三搜集身份验证数据、构建通道,渗透基础设施TAO通过窃取北业学运维和技术员远程业务管理的账号令、操作记录以及系统志等关键敏感数据,掌握了批络边界设备账号令、业务设备访问权限、路由器等设备配置信息、FTP服务器档资料信息。
根据TAO攻击链路、渗透式、样本等特征,关联发现TAO法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核数据络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。
四控制重要业务系统,实施户数据窃取TAO通过掌握的中国基础设施运营商的思科PIX防墙、天融信防墙等设备的账号令,以“合法”身份进运营商络,随后实施内渗透拓展,分别控制相关运营商的服务质量监控系统和短信关服务器,利“魔法学校”等专针对运营商设备的武器具,查询了批中国境内敏感身份员,并将户信息打包加密后经多级跳板回传美国国家安全局总部。
、窃取北业学和中国运营商敏感信息()窃取北业学远程业务管理账号令、操作记录等关键敏感数据TAO通过在北业学运维管理服务器安装嗅探具“饮茶”,期隐蔽嗅探窃取北业学4运维管理员远程维护管理信息,包含络边界设备账号令、业务设备访问权限、路由器等设备配置信息等。
遭到嗅探的络设备类型包括固定互联的接设备(路由器、认证服务器等)、核设备(核路由器、交换机、防墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),内容包括账号、令、设备配置、络配置等信息。
1、窃取核络设备账号令及配置信息北京时间20年12116时52分,TAO以位于本京都学的代理服务器(IP:
130.54.)为攻击跳板,法侵了北业学运维络的“telnet”管理服务器,上传并安装NOPEN,然后级联控制其内监控管理服务器,上述2台服务器事先均已被安装“饮茶”嗅探具。
TAO远程操控检索并下载被压缩加密的监听记录件,然后清痕退出。
窃取数据包括路由器、核设备(核路由器、交换机、防墙)管理账号、令、设备配置、络配置等信息。
2、多次窃取接认证设备账号令及配置信息5
(1)北京时间20年5300时28分,TAO以位于本的代理服务器(IP:
210.135.)为攻击跳板,法侵了北业学运维络“telnet”管理服务器,上传并安装NOPEN,然后级联控制其内监控管理服务器,这2台服务器事先均已被安装“饮茶”嗅探具,TAO远程操控检索并下载窃密记录件后清痕退出。
窃取数据包括接认证设备的账号、令及配置信息。
(2)北京时间20年741时12分,TAO利位于德国莱锡技术经济和化学院的代理服务器(IP:
141.57.)作为攻击跳板,法侵北业学运维络“telnet”管理服务器,上传并安装NOPEN具,级联控制其内监控管理服务器等其他3台服务器,这4台服务器事先均已被安装“饮茶”嗅探具,TAO远程操控检索并下载窃密件后清痕退出。
(3)北京时间20年101110时35分,TAO利位于韩国尔国江原学的代理服务器(IP:
210.115.)作为攻击跳板,法侵北业学运维络监控管理服务器,上传并安装NOPEN具,然后级联控制其内备份服务器、认证服务器等其他4台服务器,这5台服务器事先均已被安装“饮茶”嗅探具,TAO远程操控分别检索并下载窃取记录件后清痕退出。
(4)北京时间20年10192时46分,TAO以位于韩国的等科学技术研究学院的代理服务器(IP:
143.248.)为攻击跳板,法侵北业学运维络“telnet”管理服务器,级联控制其内监管服务器等其他2台服务器,这3台服务器事先均已被安装“饮茶”嗅探具,TAO通过远程操控检索并下载窃密件,然后清痕退出。
()窃取北业学络设备运维配置件和志件美国国家安全局“特定侵动办公室”(TAO)期攻击侵北业学络运维管理服务器,秘密窃取络设备运维配置件和志件。
1、窃取北业学络运志件北京时间20年323时41分,TAO通过位于本的代理服务器(IP:
210.135.)法侵控制北业学1台络运维管理服务器。
3时49分,TAO从该运维管理服务器横向移动到另台运维监控服务器,以特定字符串为关键词检索志件并进窃取了批系统运志件和系统常检报告备份件。
2、窃取北业学服务器定期任务配置脚本6北京时间20年101110时41分,TAO通过位于韩国的代理服务器(IP:
210.115.)侵控制了北业学台内服务器。
10时48分,TAO经过两次横向移动,侵了另台内服务器,访问了特定录下的定期任务配置脚本,共检索到14个于定期执任务的配置件。
随后,次性窃取了这14个件,这些件可于执定期清理、备份、检查电源等操作。
3、窃取北业学公司服务器系统信息件北京时间20年661时27分,TAO通过位于韩国的代理服务器(IP:
222.122.)侵控制了北业学台内服务器。
2时4分,TAO经过两次横向移动,侵了另台内服务器,访问了录/var/下的系统件,窃取了60个常的系统信息件,被窃取的系统信息件内容包含系统发版本、户密码哈希、户权限、本地域名解析配置等。
(三)渗透控制中国基础设施核设备美国国家安全局“特定侵动办公室”(TAO)利窃取到的络设备账号令,以“合法”身份进中国某基础设施运营商服务络,控制相关服务质量监控系统,窃取户隐私数据。
1、窃取中国户隐私数据北京时间20年3722:
53,美国国家安全局“特定侵动办公室”(TAO)通过位于墨哥的攻击代理148.208.,攻击控制中国某基础设施运营商的业务服务器211.136.,通过两次内横向移动(10.223.140.、10.223.14.)后,攻击控制了户数据库服务器,法查询多名身份敏感员的户信息。
同15:
02,TAO将查询到的户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/录下,被打包回传攻击跳板,随后窃密过程中上传的渗透具、户数据等攻击痕迹被专具快速清除。
美国国家安全局“特定侵动办公室”(TAO)运同样的法,分别于北京时间20年11023时22分、1298时41分、32822时00分、6623时58分,攻击控制另外1家中国基础设施业务服务器,法多批次查询、导出、窃取多名身份敏感员的户信息。
2、渗透控制全球电信基础设施7据分析,美国国家安全局“特定侵动办公室”(TAO)以上述法,利相同的武器具组合,“合法”控制了全球不少于80个国家的电信基础设施络。
技术团队与欧洲和东南亚国家的合作伙伴通协作,成功提取并固定了上述武器具样本,并成功完成了技术分析,拟适时对外公布,协助全球共同抵御和防范美国国家安全局NSA的络渗透攻击。
三、TAO在攻击过程中暴露身份的相关情况美国国家安全局“特定侵动办公室”(TAO)在络攻击北业学过程中,暴露出多项技术漏洞,多次出现操作失误,相关证据进步证明对北业学实施络攻击窃密动的幕后即为美国国家安全局NSA。
兹摘要举例如下:
()攻击时间完全吻合美国作作息时间规律美国国家安全局“特定侵动办公室”(TAO)在使tipoff激活指令和远程控制NOPEN时,必须通过动操作,从这两类具的攻击时间可以分析出络攻击者的实际作时间。
先,根据对相关络攻击为的数据分析,对北业学的络攻击动98%集中在北京时间21时凌晨4时之间,该时段对应着美国东部时间9时16时,属于美国国内的作时间段。
其次,美国时间的全部周六、周中,均未发对北业学的络攻击动。
第三,分析美国特有的节假,发现美国的“阵亡将纪念”放假3天,美国“独”放假1天,在这四天中攻击没有实施任何攻击窃密动。
第四,时间对攻击为密切跟踪发现,在历年圣诞节期间,所有络攻击活动都处于静默状态。
依据上述作时间和节假安排进判断,针对北业学的攻击窃密者都是按照美国国内作的时间安排进活动的,肆忌惮,毫不掩饰。
()语为习惯与美国密切关联技术团队在对络攻击者时间追踪和反渗透过程中(略)发现,攻击者具有以下语特征:
是攻击者有使美式英语的习惯;是与攻击者相关联的上设备均安装英操作系统及各类英版应程序;三是攻击者使美式键盘进输。
8(三)武器操作失误暴露作路径20年5165时36分(北京时间),对北业学实施络攻击员利位于韩国的跳板机(IP:
222.122.),并使NOPEN再次攻击北业学。
在对北业学内实施第三级渗透后试图侵控制台络设备时,在运上传PY脚本具时出现为失误,未修改指定参数。
脚本执后返回出错信息,信息中暴露出攻击者上终端的作录和相应的件名,从中可知控制端的系统环境为Linux系统,且相应录名“/etc/autoutils”系TAO络攻击武器具录的专名称(autoutils)。
出错信息如下:
Quantifierfollowsnothinginregex;markedby-HEREinm/*-HERE.log/at./etc/autoutilsline4569(四)量武器与遭曝光的NSA武器基因度同源此次被捕获的、对北业学攻击窃密中所的41款不同的络攻击武器具中,有16款具与“影经纪”曝光的TAO武器完全致;有23款具虽然与“影经纪”曝光的具不完全相同,但其基因相似度达97%,属于同类武器,只是相关配置不相同;另有2款具法与“影经纪”曝光具进对应,但这2款具需要与TAO的其它络攻击武器具配合使,因此这批武器具明显具有同源性,都归属于TAO。
(五)部分络攻击为发在“影经纪”曝光之前技术团队综合分析发现,在对中国标实施的上万次络攻击,特别是对北业学发起的上千次络攻击中,部分攻击过程中使的武器攻击,在“影经纪”曝光NSA武器装备前便完成了植。
按照NSA的为习惯,上述武器具概率由TAO雇员使。
四、TAO络攻击北业学武器平台IP列表技术分析与溯源调查中,技术团队发现了批TAO在络侵北业学的动中托管所相关武器装备的服务器IP地址,举例如下:
序号IP地址国家说明1190.242.哥伦构建酸狐狸中间9比亚人攻击平台281.31.捷克木马信息回传平台380.77.埃及木马信息回传平台483.98.荷兰木马信息回传平台582.103.丹麦木马信息回传平台五、TAO络攻击北业学所跳板IP列表序号IP地址归属地1211.119.韩国2210.143.日本3211.119.韩国4210.143.日本5211.233.韩国6143.248.韩国大田高等科学技术研究学院7210.143.日本8211.233.韩国9210.135.日本10210.143.日本11210.115.韩国首尔国立江原大学12222.122.韩国KT电信1389.96.意大利伦巴第米兰1014210.135.日本东京15147.32.捷克布拉格16132.248.墨西哥17195.162.瑞士18213.130.卡塔尔19210.228.日本20211.233.韩国21134.102.德国不莱梅大学22129.187.德国慕尼黑23210.143.日本2491.217.芬兰25211.233.韩国2684.88.西班牙巴塞罗那27130.54.日本京都大学28132.248.墨哥29195.251.希腊30222.122.韩国31192.167.意大利32218.232.韩国首尔33148.208.墨西哥3461.115.日本35130.241.瑞典3661.1.印度37210.143.日本38202.30.韩国3985.13.奥地利40220.66.韩国1141220.66.韩国42222.122.韩国43141.57.德国莱比锡技术经济和文化学院44212.109.波兰45210.135.日本东京46212.51.波兰4782.148.卡塔尔4846.29.乌克兰49143.248.韩国大田高等科学技术研究学院六、结综合此次美国国家安全局“特定侵动办公室”(TAO)针对北业学的络侵径,其为对我国国防安全、关键基础设施安全、社会安全、公个信息安全造成严重危害,值得我们深思与警惕:
对美国NSA对我国实施期潜伏与持续渗透的攻击为,我国政府、各中企业、学、医疗机构、科研机构以及重要信息基础设施运维单位等都应做好防范准备:
各业、企业应尽快开展APT攻击查作,另要着实现以“看”为核的全系统化防治。
对国家级背景的强对,先要知道险在哪,是什么样的险,什么时候的险。
因此,各单位要逐步提升感知能、看能、处置能,在攻击做出破坏之前及时斩断“杀伤链”,变事后发现为事前捕获,真正实现感知险、看威胁、抵御攻击。
往期推荐01360砥砺探索数字安全中国案点击阅读1202数字安全业唯,360上榜福布斯中国数字经济100强点击阅读03软通动与360达成战略合作协议推动数字安全新跨越点击阅读04360EDR:
数字时代新终端防御利器点击阅读13
升级会员 