2022年6月22日,西北工业大学发布《公开声明》称其遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。
本次调查发现,在近年里,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。
从技术角度看,在针对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。研究人员将此次攻击活动中TAO使用的工具对应不同阶段的攻击,具体如下:
1.僵尸网络基础设施构建
Extremeparr:针对SunOS操作系统的“零日漏洞”利用工具;EXTREMEPARR(CVE-2017-3622)和 EBBISLAND(CVE-2017-3623)是影子经纪人组织拍卖的工具之一,这两个工具包含针对 Solaris 操作系统的 0 day 漏洞。CVE-20 17-3622 利用 dtappgather 文件权限和 setuid 二进制文件进行提权,CVE-2017-3623 攻击 RPC 服务并获得远程 shell。利用这两个工具漏洞可以在 Solaris 上远程获取 root 访问权限。
Ebbshave(剃须刀):此武器可针对开放了指定RPC服务的X86和SPARC架构的Solaris系统实施远程溢出攻击,攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。
2.边界突破
Ebbisland(孤岛):此武器可针对开放了制定RPC服务的Solaris系统实施远程溢出攻击,直接获取对目标主机的完整控制权。与“剃须刀”(ebbshave)工具不同之处在于此工具不具备自主探测目标服务开放情况的能力,需由使用者手动选择欲打击的目标服务。
3.准备内网二次突破Seconddate(二次约会).此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。TAO在目标网络的边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。
4.办公内网突破Foxacid (酸狐狸).此武器平台部署在哥伦比亚,可结合“二次约会”seconddate中间人攻击武器使用,可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击,获取目标系统的控制权。
5.内网持久化DanderSpritz(怒火喷射).此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的控守型木马,可根据目标系统环境定制化生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对目标网络中办公网内部的个人主机实施持久化控制。SlyHeretic(狡诈异端犯).此武器是一款轻量级的后门植入工具,运行后即自删除,具备提权功能,持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留,以便在合适时机建立加密管道上传NOPEN木马,保障对目标网络的长期控制。
NOPEN:此武器是一种支持多种操作系统和不同体系架构的控守型木马,可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力。TAO主要使用该武器对目标网络内部的核心业务服务器和关键网络设备实施持久化控制。
6.防御绕过Stoicsurgeon(坚忍外科医生).此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。该武器有很多版本,内核不同,使用的版本不同。
7.主机信息收集Suctionchar(饮茶).此武器可长期驻留在32位或64位的Solaris系统中,通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。
8.内网信息收集Enemyrun(敌后行动):此系列武器是专门针对运营商特定业务系统使用的工具,根据被控业务设备的不同类型,“敌后行动”会与不同的解析工具配合使用。比如可配合“魔法学校”、“小丑食物”和“诅咒之火”等针对运商的攻击窃密工具。
9.痕迹清除Toast(吐司面包).此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。
早在此前,美国就频繁地对其他国家发起网络攻击,却还自称是“网络安全卫士”,甚至给别国扣上“网络安全威胁者”的帽子。
2010年,一种名为“震网”(Stuxnet)的蠕虫病毒,利用系统安全漏洞,袭击了伊朗的核设施,这是大国首次以极具侵略性的方式运用强大的网络武器。在伊朗纳坦兹铀浓缩基地,至少有五分之一的离心机因为感染“震网”而遭到破坏。“震网”病毒危害巨大的一个重要原因,在于它所攻击的是“零日漏洞”。2015年,路透社曾在报道中指出,美国政府是“零日漏洞”的最大买家。
美国国家安全局承包公司前雇员、曝光“棱镜计划”的斯诺登曾公布一份“绝密”文件,证实2010年5月TAO曾成功侵入墨西哥总统域名的关键电子邮件服务器,进入时任墨西哥总统卡尔德龙(Felipe Calderon)的电子邮箱。这个邮件域名也被墨西哥政府官员使用,包含外交、经济信息以及领导人之间的通信。
斯诺登还爆料称,2013年,英国情报机构曾成功入侵比利时电信公司Belgacom的员工计算机,背后也得到了TAO的技术支持。
2020年6月底至7月初,俄中央选举委员会网站遭到来自美国及其盟友猛烈的网络攻击。当时俄罗斯宪法2020这个官网,每秒被访问次数达到24万次,而这些攻击来自美国、德国、英国及乌克兰。俄罗斯军事专家列奥科夫指出,从2019年的委内瑞拉局势动荡到2020年的白俄罗斯骚乱,也都有美国网络部队的幕后操控。
国家计算机病毒应急处理中心报告显示,在近年里,美国国家安全局下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。
美国国防部将网络空间视为继陆地、海洋、空中和太空之后的第五维战场,试图通过网络间谍活动和网络攻击活动来维护其霸主地位,肆意破坏别国网络,对全球的网络安全造成了严重的威胁。面对美国的网络霸权行为,越来越多的国家已经认清其本质,携手构建网络空间命运共同体,正逐渐成为全球共识。
学校应对境外网络攻击风险,强化网络安全加密保护文件的具体措施有哪些?
大势至电脑文件防泄密软件(下载地址: www.dashizhi.com/products_technology/products/13.html" style="border: 0px currentcolor; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-variant-numeric: normal; font-variant-east-asian: normal; font-weight: inherit; font-stretch: inherit; font-size: inherit; line-height: 21px; font-family: "Microsoft YaHei"; vertical-align: baseline; color: rgb(0, 0, 238); text-decoration-line: underline; cursor: pointer; widows: 1; background-color: rgb(255, 255, 255);">https://www.dashizhi.com/products_technology/products/13.html)
大势至电脑文件防泄密系统是当前国内一款专门保护电脑文件安全,防止各种途径泄密的电脑文档安全管理软件。通过本系统可以实现禁用U盘、禁用移动硬盘等USB存储设备;同时还可以禁止网盘上传文件、禁止邮件附件上传、禁止微信发送文件、禁止QQ发送文件、禁止FTP文件上传、禁止向网页拖动文件上传等,全面防止各种途径泄密电脑机密数据、泄露电脑机密文件的行为。
图:大势至电脑数据防泄密软件V14.8
大势至电脑文件防泄漏软件V14.8是一款全新的版本,通过集成了最新的电脑文件防泄密技术,并充分倾听了各行业用户的意见和建议的基础上推出的最新版本。主要更新如下:
1、全面支持繁体和英文操作系统,极大地增强了系统的兼容性。
新版本会自动识别用户的操作系统,然后自动匹配相应的语言包,可以完美支持繁体语言和英文系统,从而可以满足港台企业和海外企业的电脑文件防泄密管理需要。
2、增强了对最新的移动硬盘的屏蔽,确保了对USB存储设备禁用的严密性。
新版本全面增强了禁用移动硬盘的功能,可以完全禁止移动硬盘使用、禁用最新的移动硬盘,严防通过USB存储设备泄密的行为。
3、网络版的管理端增加了智能判断电脑在线离线的功能,并增加了可以删除主机的功能。
新版本主机状态的显示更为精准,可以精确显示在线、离线的状态,同时增加了右键可以删除主机的功能,从而便于用户回收授权,用于新的电脑管控。
4、单机版增加了导出配置和导入配置的功能,从而便于大批量部署单机版的时候可以直接导入策略,避免了重复配置。
通过单机版的导出配置和导入配置的功能,可以在大规模部署单机版的情况下,直接将策略导入到其他单机版,从而避免了重复配置的麻烦。
5、进一步增强了系统对杀毒软件的兼容性,消除了主流杀毒软件对本系统的误报和拦截。
此前版本在安装有360安全卫士和360杀毒软件的电脑会出现误报现象,但是新版本已经完全消除了这种误报,防止了360安全软件对本系统的拦截和误报,保证了本系统的正常运行。
6、优化了登录用户设置,支持用户自主添加、修改登录管理员账号,便于实现层级管理。
7、优化了日志查询功能,可以精确、全面记录客户端电脑使用电脑的行为。
在新版本中,进一步优化了客户端电脑日志记录功能和日志查询,不仅可以详细记录客户端电脑的电脑U盘使用日志、监控邮件收发日志、监控网盘上传文件、监控QQ发送文件、监控微信发送文件、记录网页拖拽文件上传、记录QQ群上传文件、记录程序运行情况、记录网址访问情况等。
8、底层代码全面优化,系统稳定性进一步增强,执行效率大幅提升。
在新版本中,我们优化了底层驱动代码,精简了冗余代码,极大地提升了系统的执行效率,也进一步增强了系统的稳定性,确保可以实现长期稳定的电脑文件防泄漏管理效果。
总之,大势至电脑数据防泄漏软件是当前国内功能实用、易用性强、人性化程度比较高的电脑数据防泄密软件,是当前国内各行业企事业单位保护公司商业机密、防止公司机密数据泄密的必备利器。
