西北工业大学遭美国NSA网络攻击事件解读(身份暴露竟是因为不加班)(2)
2023-05-15 来源:文库网
数据网络技术处(DNT,代号 S323),负责研发复杂的计算机软件工具,为 TAO 操作人员执行网络攻击任务提供支撑。
电信网络技术处(TNT,代号 S324),负责研究电信相关技术,为 TAO 操作人员隐蔽渗透电信网络提供支撑。
任务基础设施技术处(MIT,代号 S325),负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络。
接入行动处(ATO,代号 S326),负责通过供应链,对拟送达目标的产品进行后门安装。
需求与定位处(R&T,代号 S327),接收各相关单位的任务,确定侦察目标,分析评估情报价值。
项目计划整合处(PPI,代号 S32P),负责总体规划与项目管理。
网络战小组(NWT),负责与网络作战小队联络。
此次针对西北工业大学的攻击,行动代号为“阻击XXXX” (shot XXXX),由 TAO 负责人罗伯特·乔伊斯直接指挥,多机构协同配合。
任务基础设施技术处,负责构建侦察环境、租用攻击资源;
需求与定位处,负责确定攻击行动战略和情报评估;
先进/接入网络技术处、数据网络技术处、电信网络技术处,负责提供技术支撑;
远程操作中心,负责组织开展攻击侦察行动。
TAO 负责人罗伯特·乔伊斯 (Robert Edward Joyce),出生于 1967 年 9 月 13 日,1993 年于约翰斯·霍普金斯大学取得硕士学位。
1989 年,罗伯特进入美国国家安全局工作,2013 年至 2017 年,担任 TAO 主任。
2017 年 10 月,罗伯特开始担任代理美国国土安全顾问,半年后,担任美国白宫国务安全顾问,后又重返 NSA,担任国安局局长网络安全战略高级顾问,现为 NSA 网络安全主管。
此次,由罗伯特直接指挥 TAO,对西北工业大学发起攻击,使用的美国国安局专用网络攻击武器装备,数量多达 41 种。
不仅武器数量多,而妙的是,武器还能因地制宜,根据目标环境的不同调整配置,举个例子你感受下。
网络武器之一“狡诈异端犯”,是一个后门工具(名字是美方自己取的),在实际攻击中,“狡诈异端犯”这款工具就有多达 14 个版本,狡诈之心尽显。
TAO 使用的 41 种攻击工具,可以分为四大类:
1、漏洞攻击突破类:寻找攻击突破口
这类工具的任务,是对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。
(1) “孤岛”:NSA 使用此武器,攻击控制了西北工业大学的边界服务器。
(2) “酸狐狸”:这是一个武器平台,部署在哥伦比亚,用于对西北工业大学办公内网主机进行入侵。
(3) “剃须刀”:针对开放了指定 RPC 服务的 X86 和 SPARC 架构的 Solarise 系统实施远程漏洞攻击,攻击时可自动探知目标系统服务开放情况,智能选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。
此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。
2、持久化控制类:隐蔽实施渗透控制行为
通过加密通道发送控制指令,操作这类工具实施对西北工业大学网络的渗透、控制、窃密等行为。
(1) “二次约会”:劫持西北工业大学流经边界设备的流量,引导至“酸狐狸”平台实施漏洞攻击。
它能够长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。
(2) “NOPEN”:对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。
这是一种支持多种操作系统和不同体系架构的远控木马,能通过加密隧道接收指令,执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力。
(3) “怒火喷射”:配合“酸狐狸”,对西北工业大学办公网内部的个人主机实施持久化控制。
电信网络技术处(TNT,代号 S324),负责研究电信相关技术,为 TAO 操作人员隐蔽渗透电信网络提供支撑。
任务基础设施技术处(MIT,代号 S325),负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络。
接入行动处(ATO,代号 S326),负责通过供应链,对拟送达目标的产品进行后门安装。
需求与定位处(R&T,代号 S327),接收各相关单位的任务,确定侦察目标,分析评估情报价值。
项目计划整合处(PPI,代号 S32P),负责总体规划与项目管理。
网络战小组(NWT),负责与网络作战小队联络。
此次针对西北工业大学的攻击,行动代号为“阻击XXXX” (shot XXXX),由 TAO 负责人罗伯特·乔伊斯直接指挥,多机构协同配合。
任务基础设施技术处,负责构建侦察环境、租用攻击资源;
需求与定位处,负责确定攻击行动战略和情报评估;
先进/接入网络技术处、数据网络技术处、电信网络技术处,负责提供技术支撑;
远程操作中心,负责组织开展攻击侦察行动。
TAO 负责人罗伯特·乔伊斯 (Robert Edward Joyce),出生于 1967 年 9 月 13 日,1993 年于约翰斯·霍普金斯大学取得硕士学位。
1989 年,罗伯特进入美国国家安全局工作,2013 年至 2017 年,担任 TAO 主任。
2017 年 10 月,罗伯特开始担任代理美国国土安全顾问,半年后,担任美国白宫国务安全顾问,后又重返 NSA,担任国安局局长网络安全战略高级顾问,现为 NSA 网络安全主管。
此次,由罗伯特直接指挥 TAO,对西北工业大学发起攻击,使用的美国国安局专用网络攻击武器装备,数量多达 41 种。
不仅武器数量多,而妙的是,武器还能因地制宜,根据目标环境的不同调整配置,举个例子你感受下。
网络武器之一“狡诈异端犯”,是一个后门工具(名字是美方自己取的),在实际攻击中,“狡诈异端犯”这款工具就有多达 14 个版本,狡诈之心尽显。
TAO 使用的 41 种攻击工具,可以分为四大类:
1、漏洞攻击突破类:寻找攻击突破口
这类工具的任务,是对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。
(1) “孤岛”:NSA 使用此武器,攻击控制了西北工业大学的边界服务器。
(2) “酸狐狸”:这是一个武器平台,部署在哥伦比亚,用于对西北工业大学办公内网主机进行入侵。
(3) “剃须刀”:针对开放了指定 RPC 服务的 X86 和 SPARC 架构的 Solarise 系统实施远程漏洞攻击,攻击时可自动探知目标系统服务开放情况,智能选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。
此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。
2、持久化控制类:隐蔽实施渗透控制行为
通过加密通道发送控制指令,操作这类工具实施对西北工业大学网络的渗透、控制、窃密等行为。
(1) “二次约会”:劫持西北工业大学流经边界设备的流量,引导至“酸狐狸”平台实施漏洞攻击。
它能够长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。
(2) “NOPEN”:对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。
这是一种支持多种操作系统和不同体系架构的远控木马,能通过加密隧道接收指令,执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力。
(3) “怒火喷射”:配合“酸狐狸”,对西北工业大学办公网内部的个人主机实施持久化控制。
