環(huán)球焦點！西工大遭網絡攻擊事件凸顯美網絡霸權行徑

2022-09-29 16:46:07來源：環(huán)球網

2022年6月22日，西北工業(yè)大學發(fā)布《公開聲明》稱其遭受境外網絡攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報》，證實在西北工業(yè)大學的信息網絡中發(fā)現了多款源于境外的木馬樣本，西安警方已對此正式立案調查。

(相關資料圖)

本次調查發(fā)現，在近年里，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）對中國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了數以萬計的網絡設備（網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火墻等），竊取了超過140GB的高價值數據。TAO利用其網絡攻擊武器平臺、“零日漏洞”（0day）及其控制的網絡設備等，持續(xù)擴大網絡攻擊和范圍。

從技術角度看，在針對西北工業(yè)大學的網絡攻擊中，TAO使用了40余種不同的NSA專屬網絡攻擊武器，持續(xù)對西北工業(yè)大學開展攻擊竊密，竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。并且在攻擊過程中，TAO會根據目標環(huán)境對同一款網絡武器進行靈活配置。研究人員將此次攻擊活動中TAO使用的工具對應不同階段的攻擊，具體如下：

1.僵尸網絡基礎設施構建

Extremeparr：針對SunOS操作系統(tǒng)的“零日漏洞”利用工具；EXTREMEPARR（CVE-2017-3622）和 EBBISLAND（CVE-2017-3623）是影子經紀人組織拍賣的工具之一，這兩個工具包含針對 Solaris 操作系統(tǒng)的 0 day 漏洞。CVE-20 17-3622 利用 dtappgather 文件權限和 setuid 二進制文件進行提權，CVE-2017-3623 攻擊 RPC 服務并獲得遠程 shell。利用這兩個工具漏洞可以在 Solaris 上遠程獲取 root 訪問權限。

Ebbshave（剃須刀）：此武器可針對開放了指定RPC服務的X86和SPARC架構的Solaris系統(tǒng)實施遠程溢出攻擊，攻擊時可自動探知目標系統(tǒng)服務開放情況并智能化選擇合適版本的漏洞利用代碼，直接獲取對目標主機的完整控制權。

2.邊界突破

Ebbisland（孤島）：此武器可針對開放了制定RPC服務的Solaris系統(tǒng)實施遠程溢出攻擊，直接獲取對目標主機的完整控制權。與“剃須刀”（ebbshave）工具不同之處在于此工具不具備自主探測目標服務開放情況的能力，需由使用者手動選擇欲打擊的目標服務。

3.準備內網二次突破Seconddate（二次約會）.此武器長期駐留在網關服務器、邊界路由器等網絡邊界設備及服務器上，可針對海量數據流量進行精準過濾與自動化劫持，實現中間人攻擊功能。TAO在目標網絡的邊界設備上安置該武器，劫持流經該設備的流量引導至“酸狐貍”平臺實施漏洞攻擊。

4.辦公內網突破Foxacid （酸狐貍）.此武器平臺部署在哥倫比亞，可結合“二次約會”seconddate中間人攻擊武器使用，可智能化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平臺上的主流瀏覽器開展遠程溢出攻擊，獲取目標系統(tǒng)的控制權。

5.內網持久化DanderSpritz（怒火噴射）.此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構的控守型木馬，可根據目標系統(tǒng)環(huán)境定制化生成不同類型的木馬服務端，服務端本身具備極強的抗分析、反調試能力。TAO主要使用該武器配合“酸狐貍”平臺對目標網絡中辦公網內部的個人主機實施持久化控制。SlyHeretic（狡詐異端犯）.此武器是一款輕量級的后門植入工具，運行后即自刪除，具備提權功能，持久駐留于目標設備上并可隨系統(tǒng)啟動。TAO主要使用該武器實現持久駐留，以便在合適時機建立加密管道上傳NOPEN木馬，保障對目標網絡的長期控制。

NOPEN：此武器是一種支持多種操作系統(tǒng)和不同體系架構的控守型木馬，可通過加密隧道接收指令執(zhí)行文件管理、進程管理、系統(tǒng)命令執(zhí)行等多種操作，并且本身具備權限提升和持久化能力。TAO主要使用該武器對目標網絡內部的核心業(yè)務服務器和關鍵網絡設備實施持久化控制。

6.防御繞過Stoicsurgeon（堅忍外科醫(yī)生）.此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種類型操作系統(tǒng)的后門，該武器可持久化運行于目標設備上，根據指令對目標設備上的指定文件、目錄、進程等進行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進程，避免其被監(jiān)控發(fā)現。該武器有很多版本，內核不同，使用的版本不同。

7.主機信息收集Suctionchar（飲茶）.此武器可長期駐留在32位或64位的Solaris系統(tǒng)中，通過嗅探進程間通信的方式獲取ssh、telnet、rlogin等多種遠程登錄方式下暴露的賬號口令。

8.內網信息收集Enemyrun（敵后行動）：此系列武器是專門針對運營商特定業(yè)務系統(tǒng)使用的工具，根據被控業(yè)務設備的不同類型，“敵后行動”會與不同的解析工具配合使用。比如可配合“魔法學?！薄ⅰ靶〕笫澄铩焙汀霸{咒之火”等針對運商的攻擊竊密工具。

9.痕跡清除Toast（吐司面包）.此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡。

早在此前，美國就頻繁地對其他國家發(fā)起網絡攻擊，卻還自稱是“網絡安全衛(wèi)士”，甚至給別國扣上“網絡安全威脅者”的帽子。

2010年，一種名為“震網”（Stuxnet）的蠕蟲病毒，利用系統(tǒng)安全漏洞，襲擊了伊朗的核設施，這是大國首次以極具侵略性的方式運用強大的網絡武器。在伊朗納坦茲鈾濃縮基地，至少有五分之一的離心機因為感染“震網”而遭到破壞?！罢鹁W”病毒危害巨大的一個重要原因，在于它所攻擊的是“零日漏洞”。2015年，路透社曾在報道中指出，美國政府是“零日漏洞”的最大買家。

美國國家安全局承包公司前雇員、曝光“棱鏡計劃”的斯諾登曾公布一份“絕密”文件，證實2010年5月TAO曾成功侵入墨西哥總統(tǒng)域名的關鍵電子郵件服務器，進入時任墨西哥總統(tǒng)卡爾德龍（Felipe Calderon）的電子郵箱。這個郵件域名也被墨西哥政府官員使用，包含外交、經濟信息以及領導人之間的通信。

斯諾登還爆料稱，2013年，英國情報機構曾成功入侵比利時電信公司Belgacom的員工計算機，背后也得到了TAO的技術支持。

2020年6月底至7月初，俄中央選舉委員會網站遭到來自美國及其盟友猛烈的網絡攻擊。當時俄羅斯憲法2020這個官網，每秒被訪問次數達到24萬次，而這些攻擊來自美國、德國、英國及烏克蘭。俄羅斯軍事專家列奧科夫指出，從2019年的委內瑞拉局勢動蕩到2020年的白俄羅斯騷亂，也都有美國網絡部隊的幕后操控。

國家計算機病毒應急處理中心報告顯示，在近年里，美國國家安全局下屬TAO對中國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了數以萬計的網絡設備，竊取了超過140GB的高價值數據。

美國國防部將網絡空間視為繼陸地、海洋、空中和太空之后的第五維戰(zhàn)場，試圖通過網絡間諜活動和網絡攻擊活動來維護其霸主地位，肆意破壞別國網絡，對全球的網絡安全造成了嚴重的威脅。面對美國的網絡霸權行為，越來越多的國家已經認清其本質，攜手構建網絡空間命運共同體，正逐漸成為全球共識。

標簽：