信息：西工大遭網(wǎng)絡(luò )攻擊事件凸顯美網(wǎng)絡(luò )霸權行徑

2022年6月22日，西北工業(yè)大學(xué)發(fā)布《公開(kāi)聲明》稱(chēng)其遭受境外網(wǎng)絡(luò )攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報》，證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò )中發(fā)現了多款源于境外的木馬樣本，西安警方已對此正式立案調查。

本次調查發(fā)現，在近年里，美國國家安全局（NSA）下屬的特定入侵行動(dòng)辦公室（TAO）對中國國內的網(wǎng)絡(luò )目標實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò )攻擊，控制了數以萬(wàn)計的網(wǎng)絡(luò )設備（網(wǎng)絡(luò )服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò )交換機、電話(huà)交換機、路由器、防火墻等），竊取了超過(guò)140GB的高價(jià)值數據。TAO利用其網(wǎng)絡(luò )攻擊武器平臺、“零日漏洞”（0day）及其控制的網(wǎng)絡(luò )設備等，持續擴大網(wǎng)絡(luò )攻擊和范圍。

從技術(shù)角度看，在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò )攻擊中，TAO使用了40余種不同的NSA專(zhuān)屬網(wǎng)絡(luò )攻擊武器，持續對西北工業(yè)大學(xué)開(kāi)展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò )設備配置、網(wǎng)管數據、運維數據等核心技術(shù)數據。并且在攻擊過(guò)程中，TAO會(huì )根據目標環(huán)境對同一款網(wǎng)絡(luò )武器進(jìn)行靈活配置。研究人員將此次攻擊活動(dòng)中TAO使用的工具對應不同階段的攻擊，具體如下：

【資料圖】

1.僵尸網(wǎng)絡(luò )基礎設施構建

Extremeparr：針對SunOS操作系統的“零日漏洞”利用工具；EXTREMEPARR（CVE-2017-3622）和 EBBISLAND（CVE-2017-3623）是影子經(jīng)紀人組織拍賣(mài)的工具之一，這兩個(gè)工具包含針對 Solaris 操作系統的 0 day 漏洞。CVE-20 17-3622 利用 dtappgather 文件權限和 setuid 二進(jìn)制文件進(jìn)行提權，CVE-2017-3623 攻擊 RPC 服務(wù)并獲得遠程 shell。利用這兩個(gè)工具漏洞可以在 Solaris 上遠程獲取 root 訪(fǎng)問(wèn)權限。

Ebbshave（剃須刀）：此武器可針對開(kāi)放了指定RPC服務(wù)的X86和SPARC架構的Solaris系統實(shí)施遠程溢出攻擊，攻擊時(shí)可自動(dòng)探知目標系統服務(wù)開(kāi)放情況并智能化選擇合適版本的漏洞利用代碼，直接獲取對目標主機的完整控制權。

2.邊界突破

Ebbisland（孤島）：此武器可針對開(kāi)放了制定RPC服務(wù)的Solaris系統實(shí)施遠程溢出攻擊，直接獲取對目標主機的完整控制權。與“剃須刀”（ebbshave）工具不同之處在于此工具不具備自主探測目標服務(wù)開(kāi)放情況的能力，需由使用者手動(dòng)選擇欲打擊的目標服務(wù)。

3.準備內網(wǎng)二次突破Seconddate（二次約會(huì )）.此武器長(cháng)期駐留在網(wǎng)關(guān)服務(wù)器、邊界路由器等網(wǎng)絡(luò )邊界設備及服務(wù)器上，可針對海量數據流量進(jìn)行精準過(guò)濾與自動(dòng)化劫持，實(shí)現中間人攻擊功能。TAO在目標網(wǎng)絡(luò )的邊界設備上安置該武器，劫持流經(jīng)該設備的流量引導至“酸狐貍”平臺實(shí)施漏洞攻擊。

4.辦公內網(wǎng)突破Foxacid （酸狐貍）.此武器平臺部署在哥倫比亞，可結合“二次約會(huì )”seconddate中間人攻擊武器使用，可智能化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平臺上的主流瀏覽器開(kāi)展遠程溢出攻擊，獲取目標系統的控制權。

5.內網(wǎng)持久化DanderSpritz（怒火噴射）.此武器是一款基于Windows系統的支持多種操作系統和不同體系架構的控守型木馬，可根據目標系統環(huán)境定制化生成不同類(lèi)型的木馬服務(wù)端，服務(wù)端本身具備極強的抗分析、反調試能力。TAO主要使用該武器配合“酸狐貍”平臺對目標網(wǎng)絡(luò )中辦公網(wǎng)內部的個(gè)人主機實(shí)施持久化控制。SlyHeretic（狡詐異端犯）.此武器是一款輕量級的后門(mén)植入工具，運行后即自刪除，具備提權功能，持久駐留于目標設備上并可隨系統啟動(dòng)。TAO主要使用該武器實(shí)現持久駐留，以便在合適時(shí)機建立加密管道上傳NOPEN木馬，保障對目標網(wǎng)絡(luò )的長(cháng)期控制。

NOPEN：此武器是一種支持多種操作系統和不同體系架構的控守型木馬，可通過(guò)加密隧道接收指令執行文件管理、進(jìn)程管理、系統命令執行等多種操作，并且本身具備權限提升和持久化能力。TAO主要使用該武器對目標網(wǎng)絡(luò )內部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò )設備實(shí)施持久化控制。

6.防御繞過(guò)Stoicsurgeon（堅忍外科醫生）.此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種類(lèi)型操作系統的后門(mén)，該武器可持久化運行于目標設備上，根據指令對目標設備上的指定文件、目錄、進(jìn)程等進(jìn)行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進(jìn)程，避免其被監控發(fā)現。該武器有很多版本，內核不同，使用的版本不同。

7.主機信息收集Suctionchar（飲茶）.此武器可長(cháng)期駐留在32位或64位的Solaris系統中，通過(guò)嗅探進(jìn)程間通信的方式獲取ssh、telnet、rlogin等多種遠程登錄方式下暴露的賬號口令。

8.內網(wǎng)信息收集Enemyrun（敵后行動(dòng)）：此系列武器是專(zhuān)門(mén)針對運營(yíng)商特定業(yè)務(wù)系統使用的工具，根據被控業(yè)務(wù)設備的不同類(lèi)型，“敵后行動(dòng)”會(huì )與不同的解析工具配合使用。比如可配合“魔法學(xué)?！?、“小丑食物”和“詛咒之火”等針對運商的攻擊竊密工具。

9.痕跡清除Toast（吐司面包）.此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡。

早在此前，美國就頻繁地對其他國家發(fā)起網(wǎng)絡(luò )攻擊，卻還自稱(chēng)是“網(wǎng)絡(luò )安全衛士”，甚至給別國扣上“網(wǎng)絡(luò )安全威脅者”的帽子。

2010年，一種名為“震網(wǎng)”（Stuxnet）的蠕蟲(chóng)病毒，利用系統安全漏洞，襲擊了伊朗的核設施，這是大國首次以極具侵略性的方式運用強大的網(wǎng)絡(luò )武器。在伊朗納坦茲鈾濃縮基地，至少有五分之一的離心機因為感染“震網(wǎng)”而遭到破壞?！罢鹁W(wǎng)”病毒危害巨大的一個(gè)重要原因，在于它所攻擊的是“零日漏洞”。2015年，路透社曾在報道中指出，美國政府是“零日漏洞”的最大買(mǎi)家。

美國國家安全局承包公司前雇員、曝光“棱鏡計劃”的斯諾登曾公布一份“絕密”文件，證實(shí)2010年5月TAO曾成功侵入墨西哥總統域名的關(guān)鍵電子郵件服務(wù)器，進(jìn)入時(shí)任墨西哥總統卡爾德龍（Felipe Calderon）的電子郵箱。這個(gè)郵件域名也被墨西哥政府官員使用，包含外交、經(jīng)濟信息以及領(lǐng)導人之間的通信。

斯諾登還爆料稱(chēng)，2013年，英國情報機構曾成功入侵比利時(shí)電信公司Belgacom的員工計算機，背后也得到了TAO的技術(shù)支持。

2020年6月底至7月初，俄中央選舉委員會(huì )網(wǎng)站遭到來(lái)自美國及其盟友猛烈的網(wǎng)絡(luò )攻擊。當時(shí)俄羅斯憲法2020這個(gè)官網(wǎng)，每秒被訪(fǎng)問(wèn)次數達到24萬(wàn)次，而這些攻擊來(lái)自美國、德國、英國及烏克蘭。俄羅斯軍事專(zhuān)家列奧科夫指出，從2019年的委內瑞拉局勢動(dòng)蕩到2020年的白俄羅斯騷亂，也都有美國網(wǎng)絡(luò )部隊的幕后操控。

國家計算機病毒應急處理中心報告顯示，在近年里，美國國家安全局下屬TAO對中國國內的網(wǎng)絡(luò )目標實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò )攻擊，控制了數以萬(wàn)計的網(wǎng)絡(luò )設備，竊取了超過(guò)140GB的高價(jià)值數據。

美國國防部將網(wǎng)絡(luò )空間視為繼陸地、海洋、空中和太空之后的第五維戰場(chǎng)，試圖通過(guò)網(wǎng)絡(luò )間諜活動(dòng)和網(wǎng)絡(luò )攻擊活動(dòng)來(lái)維護其霸主地位，肆意破壞別國網(wǎng)絡(luò )，對全球的網(wǎng)絡(luò )安全造成了嚴重的威脅。面對美國的網(wǎng)絡(luò )霸權行為，越來(lái)越多的國家已經(jīng)認清其本質(zhì)，攜手構建網(wǎng)絡(luò )空間命運共同體，正逐漸成為全球共識。

免責聲明：本文不構成任何商業(yè)建議，投資有風(fēng)險，選擇需謹慎！本站發(fā)布的圖文一切為分享交流，傳播正能量，此文不保證數據的準確性，內容僅供參考

關(guān)鍵詞： 網(wǎng)絡(luò )攻擊 網(wǎng)絡(luò )設備 操作系統