美国网攻西工大目的曝光：渗透控制中国基础设施！

9月27日，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告（之二）》，公开新的细节。同时，揭露了美国对西北工业大学组织网络攻击的目的：渗透中国的基础设施，窃取中国境内敏感身份人员隐私数据，并将用户信息打包加密后，经多级跳板回传至美国国家安全局总部。

攻击详情

2022年6月22日，西北工业大学发布声明称，遭到境外网络攻击，随后西安警方对此正式立案调查，中国国家计算机病毒应急处理中心和360公司联合组成技术团队全程参与了此案的技术分析工作。9月5日，相关部门调查显示针对西北工业大学的网络攻击来自美国国家安全局（NSA）特定入侵行动办公室（TAO）。

TAO窃取西工大关键敏感数据

此次发布的第二份调查报告显示，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。

此外，技术团队还发现，特定入侵行动办公室（TAO）经过长期的精心准备，使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击，部署“怒火喷射”远程控制武器，控制多台关键服务器，进一步部署嗅探窃密类武器。

TAO利用窃取到的账号口令，渗透控制中国基础设施核心设备

最新报告显示，特定入侵行动办公室（TAO）通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据，掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。

不仅如此，技术团队根据特定入侵行动办公室（TAO）攻击链路、渗透方式、木马样本等特征，关联发现其非法攻击渗透中国境内的基础设施运营商，构建了对基础设施运营商核心数据网络远程访问的（所谓）“合法”通道，实现了对中国基础设施的渗透控制。

窃取中国境内敏感身份人员隐私数据

特定入侵行动办公室（TAO）通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令，以（所谓）“合法”身份进入运营商网络，随后实施内网渗透拓展，分别控制相关运营商的服务质量监控系统和短信网关服务器，利用“魔法学校”等专门针对运营商设备的武器工具，查询了一批中国境内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

入侵细节披露，人赃俱获

最新发布的报告公布了一系列细节进一步证明TAO实施网络攻击行为，其中包括其是在什么时间通过什么方式窃取中国用户隐私数据，相当于“人赃俱获”。

细节显示：北京时间20××年3月7日22:53，TAO通过位于墨西哥的攻击代理148.208.××.××，攻击控制中国某基础设施运营商的业务服务器211.136.××.××，通过两次内网横向移动（10.223.140.××、10.223.14.××）后，攻击控制了用户数据库服务器，非法查询多名身份敏感人员的用户信息。

同日15:02，TAO将查询到的用户数据保存在被攻击服务器“/var/tmp/.2e434fd8aeae73e1/erf/out/f/”目录下，被打包回传至攻击跳板，随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。

此外，TAO运用同样的手法，分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分，攻击控制另外一家中国基础设施业务服务器，非法多批次查询、导出、窃取多名身份敏感人员的用户信息。

美国仗着自己强大的技术优势，针对西北工业大学进行攻击，窃取用户隐私数据，还明目张胆地按照美国国内工作日的时间安排进行活动。对于攻击者肆无忌惮的行为，中国只有抓紧时间建立安全的网络监控架构，同时，培养大量的网络人才。并且，在被动防御的基础上，变守为攻，才能保护好国家信息安全，必要之时以彼之矛攻彼之盾也不失为一个很好的解决办法。