揭秘西工大遭美方网络攻击:美多家大企业参与,攻击极专业化
9月5日,国家计算机病毒应急处理中心(VERC)就此前西北工业大学遭网络攻击一事发布调查报告,称此次攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室(TAO)”。据外交部消息,除了窃取高校核心技术数据,美方还长期对我国手机用户进行无差别语音监听、非法窃取短信内容等行为。
VERC发布报告
有安全专家告诉南都记者,由于西北工业大学承担了国家多个重点科研项目,地位特殊,因此才成为网络攻击的重要目标。此次攻击的特别之处在于专业化程度非常高,进行技术分析和溯源的难度较大,且有多家美国大型互联网企业参与配合,“在以往的攻击中,看不到这么多美国企业去配合的情况。”
1
美国国家安全局下属机构主导攻击
南都记者梳理发现,调查报告中西北工业大学遭受的网络攻击事件在今年上半年首次被披露。
4月12日,西北工业大学就邮件系统遭受钓鱼邮件攻击一事向公安机关报案。6月22日,西北工业大学发布《公开声明》,称有来自境外的黑客组织和不法分子向该校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,不过暂未造成重要数据泄露。
6月23日,陕西省西安市公安局碑林分局发布《警情通报》,证实该校邮件系统中的钓鱼邮件内含木马程序,企图非法获取师生电子邮箱登录权限,部分教职工的个人上网电脑也遭受了网络攻击。该分局已提取样本并固定相关证据,初步判定此事件为境外黑客组织和不法分子发起的网络攻击行为。
9月5日,VERC发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》(下称《报告》),全面还原了此次网络攻击的总体概貌、技术特征、攻击武器、攻击路径和攻击源头。
根据《报告》,针对此案开展技术分析工作的过程中,VERC和360公司联合组成技术团队,从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,TAO)。
为何选择西北工业大学作为攻击对象?在360公司网络安全专家边亮看来,西北工业大学作为“国防七子”之一,承担了国家多个重点科研项目,地位特殊,因此成为了网络攻击的重要目标。
5日下午,外交部发言人毛宁就此事表示,《报告》揭露了美国政府对我国进行网络攻击的又一实例,除了窃取西北工业大学的核心技术数据,美方还长期对我国手机用户进行无差别语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。
“美方行径严重危害中国国家安全和公民个人信息安全。中方对此强烈谴责,要求美方作出解释并立即停止不法行为。”毛宁说。西北工业大学随后也发布声明称坚决反对以任何形式实施网络攻击。
2
TAO近年窃取我国数据超140GB
为窃取西北工业大学的核心技术数据,美国可谓下了“血本”。
《报告》显示,TAO在此次攻击中先后使用了41种NSA的专用网络攻击武器装备,窃取该大学关键网络设备配置、网管数据、运维数据等核心技术数据。技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个。
具体而言,为掩护其攻击行动,TAO在此次网络攻击行动中先后使用了54台跳板机和代理服务器,其中70%位于中国周边国家。在使用的攻击工具方面,TAO使用了三种漏洞攻击突破类武器,五种持久化控制类武器,两种嗅探窃密类武器和一种隐蔽消痕类武器。
尽管如此,西北工业大学遭受的网络攻击只是冰山一角。《报告》显示,TAO近年来对我国的网络目标实施了上万次恶意网络攻击,窃取了超140GB的高价值数据。
目前,我国的技术团队已掌握TAO实施网络攻击和数据窃密的证据,涉及在美国国内对我国直接发起网络攻击的人员13名,NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。
边亮表示,在此次调查工作中,技术团队凭借多年累积的海量安全大数据以及捕获的高级攻击样本,通过对数据样本进行比对分析,还原了攻击事件的总体概貌,其中包括攻击武器和攻击源头等。
3
攻击专业化程度极高
南都记者梳理发现,近年来,美国频频对我国发起网络攻击。
今年2月,北京奇安盘古实验室发布的报告指出,隶属美国国安局的黑客组织“方程式”对我国、俄罗斯、日本、韩国等全球45个国家、地区开展长达十几年的“电幕行动”网络攻击,行业涵盖电信、大学、科研、经济及军事领域。
3月,国家互联网应急中心检测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,攻击地址主要来自美国,其中仅来自纽约州的就有十余个,攻击流量峰值达36Gbps(指交换带宽,衡量数据交换能力的单位)。这些境外组织通过攻击控制我国境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。
同月,在360公司发布的《网络战序幕:美国国安局NSA(APT-C-40)对全球发起长达十余年无差别攻击》报告中,披露了美国NSA利用网络武器对包括我国在内的全球47个国家及地区403个目标开展网络攻击。不仅如此,360公司发布的APT-C-39报告还曝光了美国中央情报局对我国发动的大规模网络攻击。
尽管美国对我国发起网络攻击已屡见不鲜,但此次西北工业大学的攻击事件仍有些“不同寻常”。
边亮表示,西北工业大学遭受的网络攻击呈现出四方面的特点。首先,此次攻击中有多家美国大型互联网企业参与配合,“在以往的攻击中,看不到这么多美国企业去配合的情况。”
其次,此次攻击的隐蔽性非常强。为了掩盖攻击来源,从而实现对我国网络目标的长期控制和攻击,美国采用了如跳板机、代理服务器等众多技术方式,为我国的技术分析和溯源工作制造了很多困难。
再者,此次攻击的专业化程度非常高。攻击者在攻击中使用了大量专有的定制化网络攻击武器,前期可以利用漏洞突破各类网络防护,中期进行持久化的潜伏和控制,在达到目的后再擦除相关痕迹,“这样的话,我们在分析和溯源过程中会很难找到蛛丝马迹,这次攻击的专业化程度在以往很少见到。”
此外,这次攻击的攻击范围和对象非常广泛,能够针对全球互联网公民进行无差别攻击,其中包括关键基础设施等。
学校应对网络攻击,加密保护网络安全方法:
大势至电脑文件防泄密软件(下载地址: www.dashizhi.com/products_technology/products/13.html" style="border: 0px currentcolor; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-variant-numeric: normal; font-variant-east-asian: normal; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: 21px; font-family: "Microsoft YaHei"; vertical-align: baseline; color: rgb(0, 0, 238); text-decoration-line: underline; cursor: pointer; widows: 1; background-color: rgb(255, 255, 255);">https://www.dashizhi.com/products_technology/products/13.html)
大势至电脑文件防泄密系统是当前国内一款专门保护电脑文件安全,防止各种途径泄密的电脑文档安全管理软件。通过本系统可以实现禁用U盘、禁用移动硬盘等USB存储设备;同时还可以禁止网盘上传文件、禁止邮件附件上传、禁止微信发送文件、禁止QQ发送文件、禁止FTP文件上传、禁止向网页拖动文件上传等,全面防止各种途径泄密电脑机密数据、泄露电脑机密文件的行为。
图:大势至电脑数据防泄密软件V14.8
大势至电脑文件防泄漏软件V14.8是一款全新的版本,通过集成了最新的电脑文件防泄密技术,并充分倾听了各行业用户的意见和建议的基础上推出的最新版本。主要更新如下:
1、全面支持繁体和英文操作系统,极大地增强了系统的兼容性。
新版本会自动识别用户的操作系统,然后自动匹配相应的语言包,可以完美支持繁体语言和英文系统,从而可以满足港台企业和海外企业的电脑文件防泄密管理需要。
2、增强了对最新的移动硬盘的屏蔽,确保了对USB存储设备禁用的严密性。
新版本全面增强了禁用移动硬盘的功能,可以完全禁止移动硬盘使用、禁用最新的移动硬盘,严防通过USB存储设备泄密的行为。
3、网络版的管理端增加了智能判断电脑在线离线的功能,并增加了可以删除主机的功能。
新版本主机状态的显示更为精准,可以精确显示在线、离线的状态,同时增加了右键可以删除主机的功能,从而便于用户回收授权,用于新的电脑管控。
4、单机版增加了导出配置和导入配置的功能,从而便于大批量部署单机版的时候可以直接导入策略,避免了重复配置。
通过单机版的导出配置和导入配置的功能,可以在大规模部署单机版的情况下,直接将策略导入到其他单机版,从而避免了重复配置的麻烦。
5、进一步增强了系统对杀毒软件的兼容性,消除了主流杀毒软件对本系统的误报和拦截。
此前版本在安装有360安全卫士和360杀毒软件的电脑会出现误报现象,但是新版本已经完全消除了这种误报,防止了360安全软件对本系统的拦截和误报,保证了本系统的正常运行。
6、优化了登录用户设置,支持用户自主添加、修改登录管理员账号,便于实现层级管理。
7、优化了日志查询功能,可以精确、全面记录客户端电脑使用电脑的行为。
在新版本中,进一步优化了客户端电脑日志记录功能和日志查询,不仅可以详细记录客户端电脑的电脑U盘使用日志、监控邮件收发日志、监控网盘上传文件、监控QQ发送文件、监控微信发送文件、记录网页拖拽文件上传、记录QQ群上传文件、记录程序运行情况、记录网址访问情况等。
8、底层代码全面优化,系统稳定性进一步增强,执行效率大幅提升。
在新版本中,我们优化了底层驱动代码,精简了冗余代码,极大地提升了系统的执行效率,也进一步增强了系统的稳定性,确保可以实现长期稳定的电脑文件防泄漏管理效果。
总之,大势至电脑数据防泄漏软件是当前国内功能实用、易用性强、人性化程度比较高的电脑数据防泄密软件,是当前国内各行业企事业单位保护公司商业机密、防止公司机密数据泄密的必备利器。
