國家計算機病毒應急處理中心網站截圖。
陝西省西安市公安機關今年4月接到報警,稱西北工業大學的信息系統發現遭受網絡攻擊的痕跡。西安市公安機關對此高度重視,國家計算機病毒應急處理中心和360公司聯合組成技術團隊,全程參與此案的技術分析工作。今(5)日,國家計算機病毒應急處理中心和360公司分別發布調查報告,指技術團隊先後從西北工業大學的多個信息系統和上網終端中提取到了多款木馬樣本,綜合使用國內現有數據資源和分析手段,並得到了歐洲、南亞部分國家合作夥伴的通力支持,全面還原了相關攻擊事件的總體概貌、技術特徵、攻擊武器、攻擊路徑和攻擊源頭,初步判明相關攻擊活動源自美國國家安全局(NSA)下屬「特定入侵行動辦公室」(Office of Tailored Access Operation,簡稱TAO)。
本次調查發現,美國國家安全局(NSA)利用大量網絡攻擊武器,針對中國國內各行業龍頭企業、政府、大學、醫療、科研等機構長期進行秘密黑客攻擊活動。在近年內,特定入侵行動辦公室(TAO)對中國國內的網絡目標實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡設備,包括:網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火牆等,竊取了超過140GB的高價值數據。
調查報告還披露,美國國家安全局為了隱匿其對西北工業大學等中國信息網絡實施網絡攻擊的行為,做了長時間準備工作,並且進行了精心偽裝。特定入侵行動辦公室在針對西北工業大學的網絡攻擊行動中先後使用了54台跳板機和代理服務器,主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家,其中70%位於中國周邊國家,如日本、韓國等。其中,用以掩蓋真實IP的跳板機都是精心挑選,所有IP均歸屬於非「五眼聯盟」國家。調查報告顯示,美國國家安全局在對西北工業大學的網絡攻擊行動中,先後使用了41種專用網絡攻擊武器裝備,僅後門工具「狡詐異端犯」( NSA 命名)就有14款不同版本。
聯合技術團隊經過複雜的技術分析與溯源,還原了西北工業大學遭受網絡攻擊的過程和被竊取的文件,掌握了特定入侵行動辦公室對中國信息網絡實施網絡攻擊和數據竊密的相關證據,涉及在美國國內對中國直接發起網絡攻擊的人員13名,以及美國國家安全局通過掩護公司為構建網絡攻擊環境而與美國電信運營商簽訂的合同60餘份、電子文件170餘份。
西安市公安局碑林分局副局長靳琪表示,目前,聯合專案組已將相關調查結果上報國家有關部門。據靳琪介紹,西北工業大學是中國從事航空、航天、航海工程教育和科學研究領域的重點大學,擁有大量國家頂級科研團隊和高端人才,承擔國家多個重點科研項目,地位十分特殊,網絡安全十分關鍵。由於其所具有的特殊地位和從事的敏感科學研究,所以才成為此次網絡攻擊的針對性目標。(編輯部)