西工大遭網絡攻擊事件凸顯美網絡霸權行徑

中國青年網 發佈 2022-09-29T13:12:16.796797+00:00

2022年6月22日,西北工業大學發布《公開聲明》稱其遭受境外網絡攻擊。陝西省西安市公安局碑林分局隨即發布《警情通報》,證實在西北工業大學的信息網絡中發現了多款源於境外的木馬樣本,西安警方已對此正式立案調查。

2022年6月22日,西北工業大學發布《公開聲明》稱其遭受境外網絡攻擊。陝西省西安市公安局碑林分局隨即發布《警情通報》,證實在西北工業大學的信息網絡中發現了多款源於境外的木馬樣本,西安警方已對此正式立案調查。

本次調查發現,在近年裡,美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)對中國國內的網絡目標實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡設備(網絡伺服器、上網終端、網絡交換機、電話交換機、路由器、防火牆等),竊取了超過140GB的高價值數據。TAO利用其網絡攻擊武器平台、「零日漏洞」(0day)及其控制的網絡設備等,持續擴大網絡攻擊和範圍。

從技術角度看,在針對西北工業大學的網絡攻擊中,TAO使用了40餘種不同的NSA專屬網絡攻擊武器,持續對西北工業大學開展攻擊竊密,竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。並且在攻擊過程中,TAO會根據目標環境對同一款網絡武器進行靈活配置。研究人員將此次攻擊活動中TAO使用的工具對應不同階段的攻擊,具體如下:

1.殭屍網絡基礎設施構建

Extremeparr:針對SunOS作業系統的「零日漏洞」利用工具;EXTREMEPARR(CVE-2017-3622)和 EBBISLAND(CVE-2017-3623)是影子經紀人組織拍賣的工具之一,這兩個工具包含針對 Solaris 作業系統的 0 day 漏洞。CVE-20 17-3622 利用 dtappgather 文件權限和 setuid 二進位文件進行提權,CVE-2017-3623 攻擊 RPC 服務並獲得遠程 shell。利用這兩個工具漏洞可以在 Solaris 上遠程獲取 root 訪問權限。

Ebbshave(剃鬚刀):此武器可針對開放了指定RPC服務的X86和SPARC架構的Solaris系統實施遠程溢出攻擊,攻擊時可自動探知目標系統服務開放情況並智能化選擇合適版本的漏洞利用代碼,直接獲取對目標主機的完整控制權。

2.邊界突破

Ebbisland(孤島):此武器可針對開放了制定RPC服務的Solaris系統實施遠程溢出攻擊,直接獲取對目標主機的完整控制權。與「剃鬚刀」(ebbshave)工具不同之處在於此工具不具備自主探測目標服務開放情況的能力,需由使用者手動選擇欲打擊的目標服務。

3.準備內網二次突破Seconddate(二次約會).此武器長期駐留在網關伺服器、邊界路由器等網絡邊界設備及伺服器上,可針對海量數據流量進行精準過濾與自動化劫持,實現中間人攻擊功能。TAO在目標網絡的邊界設備上安置該武器,劫持流經該設備的流量引導至「酸狐狸」平台實施漏洞攻擊。

4.辦公內網突破Foxacid (酸狐狸).此武器平台部署在哥倫比亞,可結合「二次約會」seconddate中間人攻擊武器使用,可智能化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平台上的主流瀏覽器開展遠程溢出攻擊,獲取目標系統的控制權。

5.內網持久化DanderSpritz(怒火噴射).此武器是一款基於Windows系統的支持多種作業系統和不同體系架構的控守型木馬,可根據目標系統環境定製化生成不同類型的木馬服務端,服務端本身具備極強的抗分析、反調試能力。TAO主要使用該武器配合「酸狐狸」平台對目標網絡中辦公網內部的個人主機實施持久化控制。SlyHeretic(狡詐異端犯).此武器是一款輕量級的後門植入工具,運行後即自刪除,具備提權功能,持久駐留於目標設備上並可隨系統啟動。TAO主要使用該武器實現持久駐留,以便在合適時機建立加密管道上傳NOPEN木馬,保障對目標網絡的長期控制。

NOPEN:此武器是一種支持多種作業系統和不同體系架構的控守型木馬,可通過加密隧道接收指令執行文件管理、進程管理、系統命令執行等多種操作,並且本身具備權限提升和持久化能力。TAO主要使用該武器對目標網絡內部的核心業務伺服器和關鍵網絡設備實施持久化控制。

6.防禦繞過Stoicsurgeon(堅忍外科醫生).此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種類型作業系統的後門,該武器可持久化運行於目標設備上,根據指令對目標設備上的指定文件、目錄、進程等進行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進程,避免其被監控發現。該武器有很多版本,內核不同,使用的版本不同。

7.主機信息收集Suctionchar(飲茶).此武器可長期駐留在32位或64位的Solaris系統中,通過嗅探進程間通信的方式獲取ssh、telnet、rlogin等多種遠程登錄方式下暴露的帳號口令。

8.內網信息收集Enemyrun(敵後行動):此系列武器是專門針對運營商特定業務系統使用的工具,根據被控業務設備的不同類型,「敵後行動」會與不同的解析工具配合使用。比如可配合「魔法學校」、「小丑食物」和「詛咒之火」等針對運商的攻擊竊密工具。

9.痕跡清除Toast(吐司麵包).此武器可用於查看、修改utmp、wtmp、lastlog等日誌文件以清除操作痕跡。

早在此前,美國就頻繁地對其他國家發起網絡攻擊,卻還自稱是「網絡安全衛士」,甚至給別國扣上「網絡安全威脅者」的帽子。

2010年,一種名為「震網」(Stuxnet)的蠕蟲病毒,利用系統安全漏洞,襲擊了伊朗的核設施,這是大國首次以極具侵略性的方式運用強大的網絡武器。在伊朗納坦茲鈾濃縮基地,至少有五分之一的離心機因為感染「震網」而遭到破壞。「震網」病毒危害巨大的一個重要原因,在於它所攻擊的是「零日漏洞」。2015年,路透社曾在報導中指出,美國政府是「零日漏洞」的最大買家。

美國國家安全局承包公司前雇員、曝光「稜鏡計劃」的斯諾登曾公布一份「絕密」文件,證實2010年5月TAO曾成功侵入墨西哥總統域名的關鍵電子郵件伺服器,進入時任墨西哥總統卡爾德龍(Felipe Calderon)的電子郵箱。這個郵件域名也被墨西哥政府官員使用,包含外交、經濟信息以及領導人之間的通信。

斯諾登還爆料稱,2013年,英國情報機構曾成功入侵比利時電信公司Belgacom的員工計算機,背後也得到了TAO的技術支持。

2020年6月底至7月初,俄中央選舉委員會網站遭到來自美國及其盟友猛烈的網絡攻擊。當時俄羅斯憲法2020這個官網,每秒被訪問次數達到24萬次,而這些攻擊來自美國、德國、英國及烏克蘭。俄羅斯軍事專家列奧科夫指出,從2019年的委內瑞拉局勢動盪到2020年的白俄羅斯騷亂,也都有美國網絡部隊的幕後操控。

國家計算機病毒應急處理中心報告顯示,在近年裡,美國國家安全局下屬TAO對中國國內的網絡目標實施了上萬次的惡意網絡攻擊,控制了數以萬計的網絡設備,竊取了超過140GB的高價值數據。

美國國防部將網絡空間視為繼陸地、海洋、空中和太空之後的第五維戰場,試圖通過網絡間諜活動和網絡攻擊活動來維護其霸主地位,肆意破壞別國網絡,對全球的網絡安全造成了嚴重的威脅。面對美國的網絡霸權行為,越來越多的國家已經認清其本質,攜手構建網絡空間命運共同體,正逐漸成為全球共識。

來源:環球網

關鍵字: