西北工业大学遭美国NSA网络攻击事件解读(身份暴露竟是因为不加班)(4)
2023-05-15 来源:文库网
3、不完美的犯罪现场
攻击者在某次对西北工业大学实施第三级渗透,试图控制一台网络设备时,攻击者出现人为失误:在运行上传 PY 脚本工具时,没有修改指定参数,脚本执行后返回的出错信息中,赫然暴露出攻击者上网终端的工作目录及相应文件名。
信息显示,木马控制端的系统环境为 Linux系统,相应目录名为“/etc/autoutils”,autoutils 是 TAO 网络攻击武器工具目录的专用名称。
4、高度同源的武器工具
“影子经纪人”是一个非常神秘的黑客组织,曾公开包括“永恒之蓝”在内的一大批极具破坏力的网络攻击武器。
这次,针对西北工业大学的网络攻击武器多达 41 款,经过与“影子经纪人”曝光的 TAO 网络攻击武器对比,发现以下几点:
(1)其中 16 款与被曝光的 TAO 武器完全一致;
(2)有 23 款工具虽与“影子经纪人”曝光的工具不完全相同,但基因相似度高达 97%,属于同一类武器,只是相关配置不甚相同;
(3)另有 2 款工具,虽无法对应“影子经纪人”曝光的工具,但这 2 款工具需要与 TAO 的其它网络攻击武器工具配合使用。
综上,此次攻击西北工业大学的网络攻击武器,均归属于 TAO。
在持续的技术分析与攻击溯源中,技术团队还发现了一批服务器 IP 地址,是 TAO 用来托管攻击行动所使用的武器装备。
此外,技术团队还锁定了 TAO 对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端,发现了攻击实施者的身份线索,成功查明 13 名攻击者的真实身份。
而在坚持不懈的技术调查中,美国国安局攻击西工大的另一图谋也浮出水面:查询中国境内敏感身份人员信息。
借助网络攻击武器,TAO 以“合法身份”成功混入运营商网络,在内网实施渗透拓展,先后控制运营商的服务质量监控系统和短信网关服务器,再利用“魔法学校”等专门针对运营商设备的武器,查询了一批中国境内敏感身份人员,并将相关信息打包加密,回传到了美国国安局总部。
由此便能感受到:网络攻击防不胜防,网络安全任重道远。
世界经济论坛《全球网络安全展望》报告显示,2021 年,全球网络攻击数量增加了一倍以上。
面对网络武器问题,国际刑警组织秘书长 Jurgen Stock 深深忧虑:也许当前由军方开发使用的数字武器,明天就会被恶意黑客所利用。
永恒之蓝,就是这种担忧的一个实证。
由美国国安局开发的网络武器“永恒之蓝”,被恶意黑客改造为 WannaCry 勒索病毒,在短短 5 个小时内,暴风骤雨般席卷了大半个地球,英国、俄罗斯、整个欧洲以及中国多个高校校内网、大型企业内网和政府机构专网中招,银行、电力系统、通讯系统、能源企业、机场等重要基础设施均受波及,损失惨重。
由此,WannaCry 化身为网络安全史上一个沉重的里程碑。
谁都无法保证,那些今日尚未公开、由国家开发的网络武器,明日不会被黑客掌握,甚至堂而皇之的在暗网被售卖。
谁都无法保证,今日针对西北工业大学的攻击,明天不会有另一个受害者。
墨菲定律说:会出错的事,总会出错。
我们都清楚,那一天总会到来,这就是网络安全的终极本质:永无休止的攻防对抗。
攻击者在某次对西北工业大学实施第三级渗透,试图控制一台网络设备时,攻击者出现人为失误:在运行上传 PY 脚本工具时,没有修改指定参数,脚本执行后返回的出错信息中,赫然暴露出攻击者上网终端的工作目录及相应文件名。
信息显示,木马控制端的系统环境为 Linux系统,相应目录名为“/etc/autoutils”,autoutils 是 TAO 网络攻击武器工具目录的专用名称。
4、高度同源的武器工具
“影子经纪人”是一个非常神秘的黑客组织,曾公开包括“永恒之蓝”在内的一大批极具破坏力的网络攻击武器。
这次,针对西北工业大学的网络攻击武器多达 41 款,经过与“影子经纪人”曝光的 TAO 网络攻击武器对比,发现以下几点:
(1)其中 16 款与被曝光的 TAO 武器完全一致;
(2)有 23 款工具虽与“影子经纪人”曝光的工具不完全相同,但基因相似度高达 97%,属于同一类武器,只是相关配置不甚相同;
(3)另有 2 款工具,虽无法对应“影子经纪人”曝光的工具,但这 2 款工具需要与 TAO 的其它网络攻击武器工具配合使用。
综上,此次攻击西北工业大学的网络攻击武器,均归属于 TAO。
在持续的技术分析与攻击溯源中,技术团队还发现了一批服务器 IP 地址,是 TAO 用来托管攻击行动所使用的武器装备。
此外,技术团队还锁定了 TAO 对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端,发现了攻击实施者的身份线索,成功查明 13 名攻击者的真实身份。
而在坚持不懈的技术调查中,美国国安局攻击西工大的另一图谋也浮出水面:查询中国境内敏感身份人员信息。
借助网络攻击武器,TAO 以“合法身份”成功混入运营商网络,在内网实施渗透拓展,先后控制运营商的服务质量监控系统和短信网关服务器,再利用“魔法学校”等专门针对运营商设备的武器,查询了一批中国境内敏感身份人员,并将相关信息打包加密,回传到了美国国安局总部。
由此便能感受到:网络攻击防不胜防,网络安全任重道远。
世界经济论坛《全球网络安全展望》报告显示,2021 年,全球网络攻击数量增加了一倍以上。
面对网络武器问题,国际刑警组织秘书长 Jurgen Stock 深深忧虑:也许当前由军方开发使用的数字武器,明天就会被恶意黑客所利用。
永恒之蓝,就是这种担忧的一个实证。
由美国国安局开发的网络武器“永恒之蓝”,被恶意黑客改造为 WannaCry 勒索病毒,在短短 5 个小时内,暴风骤雨般席卷了大半个地球,英国、俄罗斯、整个欧洲以及中国多个高校校内网、大型企业内网和政府机构专网中招,银行、电力系统、通讯系统、能源企业、机场等重要基础设施均受波及,损失惨重。
由此,WannaCry 化身为网络安全史上一个沉重的里程碑。
谁都无法保证,那些今日尚未公开、由国家开发的网络武器,明日不会被黑客掌握,甚至堂而皇之的在暗网被售卖。
谁都无法保证,今日针对西北工业大学的攻击,明天不会有另一个受害者。
墨菲定律说:会出错的事,总会出错。
我们都清楚,那一天总会到来,这就是网络安全的终极本质:永无休止的攻防对抗。
