當前位置：新聞 > 中國新聞 > 正文

西北工業(yè)大學遭網(wǎng)絡攻擊，源頭系美國國家安全局(4)

2022-09-05 11:09:45 來源：新聞聯(lián)播 A+A-

TAO在針對西北工業(yè)大學的網(wǎng)絡攻擊行動中先后使用了54臺跳板機和代理服務器，主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家，其中70%位于中國周邊國家，如日本、韓國等。

這些跳板機的功能僅限于指令中轉，即：將上一級的跳板指令轉發(fā)到目標系統(tǒng)，從而掩蓋美國國家安全局發(fā)起網(wǎng)絡攻擊的真實IP。目前已經(jīng)至少掌握TAO從其接入環(huán)境（美國國內電信運營商）控制跳板機的四個IP地址，分別為209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同時，為了進一步掩蓋跳板機和代理服務器與NSA之間的關聯(lián)關系，NSA使用了美國Register公司的匿名保護服務，對相關域名、證書以及注冊人等可溯源信息進行匿名化處理，無法通過公開渠道進行查詢。

技術團隊通過威脅情報數(shù)據(jù)關聯(lián)分析，發(fā)現(xiàn)針對西北工業(yè)大學攻擊平臺所使用的網(wǎng)絡資源共涉及5臺代理服務器，NSA通過秘密成立的兩家掩護公司向美國泰瑞馬克（Terremark）公司購買了埃及、荷蘭和哥倫比亞等地的IP地址，并租用一批服務器。這兩家公司分別為杰克?史密斯咨詢公司（Jackson Smith Consultants）、穆勒多元系統(tǒng)公司（Mueller Diversified Systems）。同時，技術團隊還發(fā)現(xiàn)，TAO基礎設施技術處（MIT）工作人員使用“阿曼達?拉米雷斯（Amanda Ramirez）”的名字匿名購買域名和一份通用的SSL證書（ID：e42d3bea0a16111e67ef79f9cc2*****）。隨后，上述域名和證書被部署在位于美國本土的中間人攻擊平臺“酸狐貍”（Foxacid）上，對中國的大量網(wǎng)絡目標開展攻擊。特別是，TAO對西北工業(yè)大學等中國信息網(wǎng)絡目標展開了多輪持續(xù)性的攻擊、竊密行動。

（二）相關網(wǎng)絡攻擊武器

TAO在對西北工業(yè)大學的網(wǎng)絡攻擊行動中，先后使用了41種NSA的專用網(wǎng)絡攻擊武器裝備。并且在攻擊過程中，TAO會根據(jù)目標環(huán)境對同一款網(wǎng)絡武器進行靈活配置。例如，對西北工業(yè)大學實施網(wǎng)絡攻擊中使用的網(wǎng)絡武器中，僅后門工具“狡詐異端犯”（NSA命名）就有14個不同版本。技術團隊將此次攻擊活動中TAO所使用工具類別分為四大類，具體包括：

首頁上一頁 1 2 345 6 7...全文共 8 頁下一頁