今天（5日），国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告，调查发现，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）多年来对我国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备，疑似窃取了高价值数据。

　　今年4月，西安市公安机关接到一起网络攻击的报警，西北工业大学的信息系统发现遭受网络攻击的痕迹。

　　西北工业大学信息化建设与管理处副处长兼信息中心主任宋强：近期我校系统发现木马程序，企图非法获取权限，这给我们学校的正常工作和生活秩序造成了重大的风险隐患。我校高度重视网络安全工作，已将该情况报警。

　　西安市公安机关对此高度重视，立即组织警力与网络安全技术专家成立联合专案组对此案进行立案侦查。国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Officeof Tailored Access Operation，简称TAO）。

　　本次调查还发现，在近年里，美国国家安全局（NSA）下属特定入侵行动办公室（TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，包括：网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等，窃取了超过140GB的高价值数据。

　　联合技术团队经过复杂的技术分析与溯源，还原了西北工业大学遭受网络攻击的过程和被窃取的文件，掌握了美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）对中国信息网络实施网络攻击和数据窃密的相关证据，涉及在美国国内对中国直接发起网络攻击的人员13名，以及美国国家安全局（NSA）通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份、电子文件170余份。

　　西安市公安局碑林分局副局长靳琪：目前，联合专案组已将相关调查结果上报国家有关部门。（总台央视记者 白央 陈雷 张岗 董良言 吴成轩 陈庆滨 刘功河 白龙飞）

　　中国媒体报道，调查单位在侦办中国西北工业大学被网络攻击案过程中，成功提取了由美国国家安全局开发的间谍软件样本。

　　中国央视新闻星期四（9月14日）报道，在国家计算机病毒应急处理中心同360公司配合侦办这起案件过程中，成功提取了“二次约会”间谍软件的多个样本，“并锁定了这起网络间谍行动背后美国国家安全局（NSA）工作人员的真实身份”。

　　报道称，国家计算机病毒应急处理中心和360公司对“二次约会”间谍软件进行了技术分析，并说软件是美国国家安全局开发的网络间谍武器。

　　技术分析报告显示，“二次约会”可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能，与其他恶意软件配合可以完成复杂的网络间谍活动。

　　报告称，国家计算机病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查，经层层溯源，发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及衍生版本。他们也发现，被美国国家安全局远程控制的跳板服务器，其中多数分布在德国、日本、韩国、印度和台湾。

　　中国去年指控美国国家安全局对西北工业大学发动网络攻击、窃取核心数据。

　　武汉公安局江汉分局今年7月通报，武汉应急管理局地震监测中心部分网络设备被网络攻击，并指攻击行动由境外具有政府背景的黑客组织和不法分子发起。（联合早报）

　　这是中国官方今年来第二次指控美国对其发起网络攻击。中国网络安全公司奇安盘古实验室今年2月发表报告，披露隶属美国国安局的黑客组织“方程式组织”对中国、俄罗斯、日本等45个国家和地区开展十多年的网络攻击。中国外交部随后表示“严重关切”，并要求美国立即停止此类活动。

　　报告称，由国家计算机病毒应急处理中心和网络安全企业360公司组成的联合技术团队，经过技术分析与溯源，掌握了TAO对中国实施网络攻击和数据窃密的相关证据，涉及在美国国内对直接发起网络攻击的人员13名，以及国安局为构建网络攻击环境与电信运营商签订的合同60余份、电子文件170余份。

　　360公司同天发布的调查报告则称，此次攻击活动之前，美国国安局已在多家大型知名互联网企业配合下，掌握了中国大量通信网络设备管理权限，并长期对中国手机用户进行无差别语音监听，非法窃取手机用户短信内容，进行无线定位。

RE: 西北工业大学遭美国国家安全局特定入侵办公室网络攻击

　　以假邮件“钓鱼”，美国国家安全局（NSA）持续对我国西北工业大学开展攻击窃密。 制图：李芸


　　图为位于马里兰州米德堡的美国国家安全局（National Security Agency，简写为NSA）

　　证据确凿，真凶就是美国国家安全局！

　　9月5日，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受美国国家安全局网络攻击的调查报告，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）使用了40余种不同的专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

　　作为拥有最强大网络技术实力的国家，美国以“国家利益”为幌子，违反国际法和国际关系基本准则，无视基本道德信义，对他国实施大规模网络窃密与监听监控，严重损害他国国家安全和公民个人信息安全。“网络霸凌”大国的种种行径，暴露了美国才是全球网络空间不安全的罪魁祸首。

　　以假邮件“钓鱼”，美国使用41种网络武器攻击西工大

　　电子邮件，这一高校师生频繁使用的通信工具，竟被美国无底线地利用了。

　　今年4月，西北工业大学就电子邮件系统遭受钓鱼邮件攻击的情况报警称，发现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件，内含木马程序，引诱部分师生点击链接，非法获取师生电子邮箱登录权限，致使相关邮件数据出现被窃取风险。同时，部分教职工电脑也存在遭受网络攻击的痕迹。

　　西北工业大学位于陕西西安，隶属于工业和信息化部，是我国从事航空、航天、航海工程教育和科学研究领域的重点大学，拥有大量国家顶级科研团队和高端人才，承担国家多个重点科研项目。接到报警后，西安市公安机关高度重视，组织警力与网络安全技术专家成立联合专案组对此案进行立案侦查。国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了此案的技术分析工作。

　　技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头。调查显示，美国国家安全局持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。美方先后使用了41种专用网络攻击武器装备，仅后门工具“狡诈异端犯”就有14款不同版本。

　　技术团队将此次攻击活动中所使用的武器类别分为四大类，包括漏洞攻击突破类武器、持久化控制类武器、嗅探窃密类武器、隐蔽消痕类武器。

　　“最开始使用漏洞攻击突破类武器，突破之后投送第二类持久化控制类的武器工具。接着使用第三类嗅探窃密类武器，长期潜伏窃取我们重要的数据。当认为任务已经完成之后，开始使用第四类隐蔽消痕类武器，把现场清理干净，让被害人无法察觉。”国家计算机病毒应急处理中心高级工程师杜振华介绍。

　　美国国家安全局特定入侵行动办公室成立于1998年，是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成，下设10个处室。为了隐匿对西北工业大学等中国信息网络实施网络攻击的行为，美方做了长时间准备工作，并且进行了精心伪装。

　　调查显示，特定入侵行动办公室在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。其中，用以掩盖真实IP的跳板机都是精心挑选，所有IP均归属于非“五眼联盟”国家。

　　技术团队通过威胁情报数据关联分析，发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器，NSA通过秘密成立的杰克·史密斯咨询公司（Jackson Smith Consultants）、穆勒多元系统公司（Mueller Diversified Systems）两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP地址，并租用一批服务器。

　　“美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责，要求美方作出解释并立即停止不法行为。”外交部发言人毛宁表示。

　　美国在全球实施大规模、有组织、无差别的网络窃密、监控和攻击，是名副其实的“黑客帝国”“窃密帝国”

　　西北工业大学的遭遇，仅是美国对华大肆网络攻击窃密的一个缩影。长期以来，为达到美国政府情报收集目的，美国国家安全局针对全球发起大规模网络攻击，我国正是重点攻击目标之一。

　　2月23日，北京奇安盘古实验室披露了隶属于美国国安局的黑客组织“方程式”利用顶级后门对包括中国、俄罗斯等全球45个国家和地区开展长达十几年的“电幕行动”网络攻击，涉及的机构目标包括知名高校、科研机构、通信行业、政府部门等。3月2日，360公司发布的报告披露，美国国安局利用网络武器对中国等全球47个国家及地区的403个目标开展网络攻击，数十年不曾停歇。

　　此次关于西北工业大学遭受境外网络攻击的调查报告还发现，美国国家安全局还利用其控制的网络攻击武器平台、“零日漏洞”和网络设备，长期对中国的手机用户进行无差别的语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。

　　长期以来，美国滥用其技术优势，在全球范围内实施大规模、有组织、无差别的网络窃密、监控和攻击，手段包括利用模拟手机基站信号接入手机盗取数据，操控手机应用程序、侵入云服务器，通过海底光缆进行窃密，在美国近100所驻外使领馆内安装监听设备对驻在国进行窃密等等，是名副其实的“黑客帝国”“窃密帝国”。

　　2013年，美国防务承包商前雇员斯诺登曝光了美国政府大规模网络监控的丑闻。美国国家安全局代号为“棱镜”的全球秘密监听项目24小时运行，对电子邮件、脸谱网消息、谷歌聊天、Skype网络通话等进行监听监控。

　　美国实施的是无差别监视监听，从竞争对手到盟友，无不在其监听范围之内。“维基揭秘”网站在2015年爆料，从上世纪90年代起，德国经济、财政和农业等部门就进入了美国的监听范围。2006年至2012年间，美国国家安全局对法国总统、多名部长、法国驻美国大使等政界要员进行监听，其中包括希拉克、萨科齐和奥朗德3任法国总统，以获取施政纲领、对外政策等情报。

　　2020年，“瑞士加密机”事件浮出水面。美国中央情报局(CIA)自二战后长期控制一家瑞士全球加密机公司，该公司售往全球一百多个国家的加密设备都被CIA植入了后门程序，用来破解各国发送加密信息的代码，借此窃取多国机密。

　　去年，丹麦媒体曝光了美国国家安全局利用同丹麦情报部门的合作关系，监听包括德国前总理默克尔在内的欧洲国家领导人和高级官员。

　　除了竞争对手和盟友，监控窃听的“天罗地网”连美国国内的民众也不放过。

　　近日，美国乔治城大学隐私与技术法律中心公布一份名为《美国的天罗地网：21世纪数据驱动下的驱逐》的报告。报告显示，美国入境和海关执法局精心设计了一张复杂而庞大的监视网络，可以监视生活在美国的大多数人，且无需获得许可。美国国家情报总监办公室今年4月发布的年度报告显示，过去一年，美国联邦调查局在没有搜查令的情况下，对美国民众的电子数据进行了多达340万次的搜查。

　　“今天美国人越来越多地把监控手段应用到全球其他地区。”美国凯斯西储大学法学教授科弗警告说：“现在我们面对的是监控工业复合体。”

　　美国热衷于实施“网络霸凌”，正是不择手段维护其霸权体系的表现之一

　　网络攻击、数字监控、窃听监视……美方用一次又一次的行动表明，美国才是全球网络安全领域的真正威胁。

　　“迄今，全球始终没有对美国的数字霸权形成一个有效的约束规制。未来，当讨论数字空间负责任的国家行为时，国际社会应该把美国作为一个典型案例分析，进而有针对性地对其数字霸权进行制约。”中国现代国际关系研究院科技与网络安全研究所执行所长李艳说。

　　一方面，美国肆无忌惮地监听全球、发动网络攻击；另一方面，却又贼喊捉贼、倒打一耙，指责别国发动网络攻击，极力把自己装扮成网络攻击受害者甚至是网络秩序维护者。近年来，美国多次联合欧盟、英国、澳大利亚等指责中国扶植黑客和情报企业对外发动大规模网络攻击，就网络安全问题向中国“泼脏水”，然而迄今为止却没有拿出任何证据。美国政客还大肆鼓动、胁迫他国加入其所谓“清洁网络”计划，企图在网络市场清除中国企业，这歧视性、排他性和政治化的“肮脏网络”，自然不得人心，应者寥寥。

　　在网络领域拥有巨大优势的美国，如此热衷于凭借技术优势实施“网络霸凌”，背后正是政治利益使然，是不择手段维护霸权体系的表现之一。

　　秉承着“美国第一，事事优先”的宗旨，美国谋求对他国信息领域的“单向透明”，罔顾别国国家安全，肆意发动攻击。西班牙《国家报》网站曾一针见血地指出，美国建立“黑客帝国”的原因，是为了谋求控制全球信息以扭转不可避免的颓势。通过监听整个世界精确跟踪民众的思想动态，成为美国在全球竞争中最重要的一种资源。

　　为了达成这一目的，美国这一最大的“黑客帝国”已经无所不用其极。而有赖于美国强大的经济与科研实力，其被曝光的肆意妄为，可能仅仅是“冰山一角”。

　　“目前，针对美国的这种霸权行径，包括中国、俄罗斯、欧盟、东盟在内，都加强了对自身网络主权的维护，共同抵御美国的网络霸权行径。”上海国际问题研究院网络空间国际治理研究中心秘书长、研究员鲁传颖表示，中国政府面向全球发出了《全球数据安全倡议》，这个倡议有助于抵御美国开展的网络情报收集，也得到了全球各国的拥护。“我们看到中国与阿拉伯国家联盟、中国与中亚五国先后以《全球数据安全倡议》为蓝本，开展了更进一步的合作，这为全球网络空间的发展与和平提供了一个非常好的基础，也是有力抵制美国网络霸权的武器。”

　　网络空间安全威胁是各国面临的共同挑战，维护网络安全是国际社会的共同责任。毫无疑问，美国在网络领域的种种霸道行径，已让自身站在了全球数据安全和技术发展的对立面。

　　当前，百年变局叠加世纪疫情，国际安全形势波诡云谲。在此背景下，中国倡导共同、综合、合作、可持续的新安全观，以尊重他国主权和安全为前提，坚持通过对话协商以和平方式解决国家间分歧和争端，谋求双赢、多赢和共赢，才是合乎维护全球和平安全的根本大道。美国应该认清：霸权主义和强权政治只会危害世界和平，集团对抗只会加剧安全挑战。只有以负责任的态度参与全球网络空间治理，为维护网络安全发挥建设性作用，方是正途。（来源：中央纪委国家监委网站）

RE: 西北工业大学遭美国国家安全局特定入侵办公室网络攻击

　　2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本，西安警方已对此正式立案调查。

　　国家计算机病毒应急处理中心和360公司联合组成技术团队（以下简称“技术团队”），全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Officeo fTailored Access Operation，后文简称TAO）。

　　一、攻击事件概貌

　　本次调查发现，在近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”（0day）及其控制的网络设备等，持续扩大网络攻击和范围。经技术分析与溯源，技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术，还原了攻击过程和被窃取的文件，掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据，涉及在美国国内对中国直接发起网络攻击的人员13名，以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份，电子文件170余份。

　　二、攻击事件分析

　　在针对西北工业大学的网络攻击中，TAO使用了40余种不同的NSA专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析，技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个，并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。具体分析情况如下：

　　（一）相关网络攻击基础设施

　　为掩护其攻击行动，TAO在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN木马程序（详见有关研究报告），控制了大批跳板机。

　　TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。

　　这些跳板机的功能仅限于指令中转，即：将上一级的跳板指令转发到目标系统，从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境（美国国内电信运营商）控制跳板机的四个IP地址，分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时，为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系，NSA使用了美国Register公司的匿名保护服务，对相关域名、证书以及注册人等可溯源信息进行匿名化处理，无法通过公开渠道进行查询。

　　技术团队通过威胁情报数据关联分析，发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器，NSA通过秘密成立的两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP地址，并租用一批服务器。这两家公司分别为杰克?史密斯咨询公司（Jackson Smith Consultants）、穆勒多元系统公司（Mueller Diversified Systems）。同时，技术团队还发现，TAO基础设施技术处（MIT）工作人员使用“阿曼达?拉米雷斯（Amanda Ramirez）”的名字匿名购买域名和一份通用的SSL证书（ID：e42d3bea0a16111e67ef79f9cc2*****）。随后，上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”（Foxacid）上，对中国的大量网络目标开展攻击。特别是，TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。

　　（二）相关网络攻击武器

　　TAO在对西北工业大学的网络攻击行动中，先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中，TAO会根据目标环境对同一款网络武器进行灵活配置。例如，对西北工业大学实施网络攻击中使用的网络武器中，仅后门工具“狡诈异端犯”（NSA命名）就有14个不同版本。技术团队将此次攻击活动中TAO所使用工具类别分为四大类，具体包括：

　　1、漏洞攻击突破类武器

　　TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有3种：

　　①“剃须刀”

　　此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击，攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击，所控制跳板机被用于对西北工业大学的网络攻击。

　　②“孤岛”

　　此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击，直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。

　　③“酸狐狸”武器平台

　　此武器平台部署在哥伦比亚，可结合“二次约会”中间人攻击武器使用，可智能化配置漏洞载荷针对IE、FireFox、Safari、AndroidWebkit等多平台上的主流浏览器开展远程溢出攻击，获取目标系统的控制权（详见：国家计算机病毒应急处理中心《美国国家安全局（NSA）“酸狐狸”漏洞攻击武器平台技术分析报告》）。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。

　　2、持久化控制类武器

　　TAO依托此类武器对西北工业大学网络进行隐蔽持久控制，TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有6种：

　　①“二次约会”

　　此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器，劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

　　②“NOPEN”

　　此武器是一种支持多种操作系统和不同体系架构的远控木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力（详见：国家计算机病毒应急处理中心《“NOPEN”远控木马分析报告》）。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

　　③“怒火喷射”

　　此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。

　　④“狡诈异端犯”

　　此武器是一款轻量级的后门植入工具，运行后即自删除，具备权限提升能力，持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留，以便在合适时机建立加密管道上传NOPEN木马，保障对西北工业大学信息网络的长期控制。

　　⑤“坚忍外科医生”

　　此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程，避免其被监控发现。技术分析发现，TAO在对西北工业大学的网络攻击中，累计使用了该武器的12个不同版本。

　　3、嗅探窃密类武器

　　TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种：

　　①“饮茶”

　　此武器可长期驻留在32位或64位的Solaris系统中，通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等，压缩加密存储后供NOPEN木马下载。

　　②“敌后行动”系列武器

　　此系列武器是专门针对电信运营商特定业务系统使用的工具，根据被控业务设备的不同类型，“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。

　　4、隐蔽消痕类武器

　　TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。现已发现1种此类武器：

　　“吐司面包”，此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件，隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。

　　三、攻击溯源

　　技术团队结合上述技术分析结果和溯源调查情况，初步判断对西北工业大学实施网络攻击行动的是美国国家安全局（NSA）信息情报部（代号S）数据侦察局（代号S3）下属TAO（代号S32）部门。该部门成立于1998年，其力量部署主要依托美国国家安全局（NSA）在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是：

　　1、美国马里兰州米德堡的NSA总部；

　　2、美国夏威夷瓦胡岛的NSA夏威夷密码中心（NSAH）；

　　3、美国佐治亚州戈登堡的NSA佐治亚密码中心（NSAG）；

　　4、美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心（NSAT）；

　　5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心（NSAC）；

　　6、德国达姆施塔特美军基地的NSA欧洲密码中心（NSAE）。

　　TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成，其内设机构包括：

　　第一处：远程操作中心（ROC，代号S321），主要负责操作武器平台和工具进入并控制目标系统或网络。

　　第二处：先进/接入网络技术处（ANT，代号S322），负责研究相关硬件技术，为TAO网络攻击行动提供硬件相关技术和武器装备支持。

　　第三处：数据网络技术处（DNT，代号S323），负责研发复杂的计算机软件工具，为TAO操作人员执行网络攻击任务提供支撑。

　　第四处：电信网络技术处（TNT，代号S324），负责研究电信相关技术，为TAO操作人员隐蔽渗透电信网络提供支撑。

　　第五处：任务基础设施技术处（MIT，代号S325），负责开发与建立网络基础设施和安全监控平台，用于构建攻击行动网络环境与匿名网络。

　　第六处：接入行动处（ATO，代号S326），负责通过供应链，对拟送达目标的产品进行后门安装。

　　第七处：需求与定位处（R&T，代号S327），接收各相关单位的任务，确定侦察目标，分析评估情报价值。

　　S32P：项目计划整合处（PPI，代号S32P），负责总体规划与项目管理。

　　NWT：网络战小组（NWT），负责与网络作战小队联络。

　　美国国家安全局（NSA）针对西北工业大学的攻击行动代号为“阻击XXXX”（shotXXXX）。该行动由TAO负责人直接指挥，由MIT（S325）负责构建侦察环境、租用攻击资源；由R&T（S327）负责确定攻击行动战略和情报评估；由ANT（S322）、DNT（S323）、TNT（S324）负责提供技术支撑；由ROC（S321）负责组织开展攻击侦察行动。由此可见，直接参与指挥与行动的主要包括TAO负责人，S321和S325单位。

　　NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特·乔伊斯（Robert Edward Joyce）。此人于1967年9月13日出生，曾就读于汉尼拔高中，1989年毕业于克拉克森大学，获学士学位，1993年毕业于约翰斯?霍普金斯大学，获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任，2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月，担任美国白宫国务安全顾问，后回到NSA担任美国国家安全局局长网络安全战略高级顾问，现担任NSA网络安全主管。

　　四、总结

　　本次报告基于国家计算机病毒应急处理中心与360公司联合技术团队的分析成果，揭露了美国NSA长期以来针对包括西北工业大学在内的中国信息网络用户和重要单位开展网络间谍活动的真相。后续技术团队还将陆续公布相关事件调查的更多技术细节。（来源：国家计算机病毒应急处理中心）