网络攻击西工大幕后,美国特定入侵行动办公室究竟有多“黑” | 新京智库

更新时间:2022-09-07 14:20:26作者:未知

网络攻击西工大幕后,美国特定入侵行动办公室究竟有多“黑” | 新京智库

TAO因长期向美国情报界提供了一些绝密情报而享有“盛名”。


▲9月5日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》。图/IC photo

文 | 王英良

9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学(简称“西工大”)遭受境外网络攻击的调查报告,初步判明攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。

对此,外交部发言人毛宁5日在例行记者会上回答有关提问时表示,美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责,要求美方作出解释并立即停止不法行为。毛宁表示,相关调查报告揭露了美国政府对中国进行网络攻击的又一实例。

1

上万次的恶意网络攻击

今年4月,西安市公安机关接到一起网络攻击的报警,西北工业大学的信息系统发现遭受网络攻击的痕迹。

国家计算机病毒应急处理中心和360公司联合组成技术团队介入并全程参与此案的技术侦察与分析工作。

经综合使用国内现有数据资源和技术分析手段,并得到诸如欧洲和南亚国家的通力支持,团队全面还原了攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)下辖“特定入侵行动办公室”(TAO),TAO亦被称为“获取特定情报行动办公室”。

团队经过复杂的技术分析与溯源,最终还原了西工大遭受网络攻击的过程和被窃取的文件,掌握了TAO对中国信息网络实施网络攻击和数据窃密的相关证据。

公开资料显示,TAO先后使用41种专用网络攻击武器装备,对西工大发起攻击窃密行动上千次,窃取了一批核心技术数据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份、电子文件170余份。

调查还发现,在近年,TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括:网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取了超过140GB数据。


▲美国国家安全局总部。图/IC photo

2

起底TAO的历史

回顾历史,TAO成立于冷战时期。

1952年11月,根据时任总统杜鲁门的命令,美国国家安全局总部(NSA)成立。此机构隶属于美国国防部,是美国庞大情报系统的一个重要组成,专门负责收集和分析外国及本国通讯资料。

NSA继承了第二次世界大战中成功破译敌方密码的工作(美国军情八处)的职能,主要负责监听监视电台广播、通讯、互联网,尤其是军事和外交的秘密通讯,其长期与美国中央情报局(CIA)合作,是世界上单独雇佣最多数学博士和电脑专家的单位,总体技术侦查能力一流。

TAO作为NSA的网络战情报收集单位,于1998年设立,主要工作是识别、监视、渗透和收集其他国家的电脑系统中情报。该机构现名“Computer Network Operations”(计算机网络运作),是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位。

经过近30余年的运作,目前TAO已成为美国专门从事对目标国大规模网络攻击窃密活动的战术实施单位,团队人数超过2000多人。

TAO拥有自己的小型秘密情报收集单位,被称为“Access Technologies Operations Branch”,其中包括由中央情报局(CIA)和联邦调查局(FBI)的借调人员,执行所谓的“网外行动”。其力量部署主要依托NSA在美国和欧洲的密码中心,目前有六个密码中心被公布。

3

“一切成谜”背后的原因

TAO因长期向美国情报界提供一些绝密情报而享有“盛名”。这些情报涉及各种恐怖组织、外国政府针对美国的间谍活动、弹道导弹和全球大规模杀伤性武器的发展以及全球最新的政治、军事和经济信息等。

据《外交政策》杂志报道,关于TAO的一切都被列为“最高机密”。

TAO 隐藏在马里兰州米德堡NSA总部大楼内。对许多 NSA 员工来说,TAO 是一个谜。相对而言,很少有 NSA 官员能完全访问有关 TAO 的信息,因为它的行动非常敏感,而且需要特殊的安全许可才能进入 TAO的办公地。通向这一机构中心的门禁由武装警卫保护,庞大的钢门只能通过在键盘中输入正确的六位数密码才能进入,还有一个视网膜扫描仪,以确保只有经过特别许可的人才能进入此门。

由于TAO很少对外公布行动以及资料,使得外界对之知之甚少。但从一些评价可以看出,其所执行任务存在极强的特殊性甚至战略性。

2016年,NSA网络安全主管乔伊斯曾在“Usenix Enigma”会议上公开露面解释称“破解网络目标的关键是找到薄弱环节。TAO被称为高级持续威胁是有原因的,我们会不停地尝试、试探,直到最终进入(目标)。”

前 NSA 官员称,TAO 的任务很简单,它通过秘密侵入外国目标的计算机和电信系统、破解密码、破坏保护目标计算机的计算机安全系统、窃取存储在计算机硬盘驱动器上的数据,然后复制所有通过内部的消息和数据流量来收集有关外国目标的情报信息目标电子邮件和短信系统。

专门研究NSA的历史学家马休·艾德(Matthew M. Aid)在2013年6月在“Forreign Policy”发表针对NSA的主题评论文章“Inside the NSA's Ultra-Secret China Hacking Group”指称, TAO已成功渗透中国计算机和电信系统15年,收集了诸多类型的信息。


▲当地时间2021年5月31日,德国柏林,法国总统马克龙和德国总理默克尔举行新闻发布会,表示美国国家安全局利用丹麦情报部门对盟国领导人进行监听的做法不可接受,法德要求美国和丹麦就此作出解释。图/IC photo

4

此次事件对中国的启示

对西北工业大学的网络攻击与窃密是NSA主导实施的对华系列隐秘行动的一环。美国多家大型知名互联网企业配合了这系列的攻击,其将掌握的中国大量通信网络设备管理权限,提供给了包括NSA在内的情报机构。这样看,这次攻击是美国情报机构与大型公司的合作结果,公司为美国的网络攻击提供了便利。作为对中国的遏制手段,NSA还针对中国的手机用户进行了无差别的监听,窃取私人信息,严重威胁中国国家安全和个人信息安全。

美国拥有众多的网络技术类武器,对中国网络基础设施已经构成了极大的威胁,且其网络攻击武器存在较高和复杂的技术性。这包含了复杂的后门工具、复杂的内部渗透攻击链、漏洞攻击突破类武器、持久化控制类武器等。

为了确保攻击效果,TAO会实施较长期的准备,利用系统漏洞,以商业和流量较多的网络作为攻击目标,得手后即植入木马病毒,如此,就控制大量的跳板机。而为了实施隐蔽行动和避免被追踪,TAO利用了54台跳板机和遍布全球的代理服务器,主要分布在日本、韩国、瑞典和乌克兰,其中70%位于中国周边。

对此,中国有必要对标研究这次攻击,根据其攻击路径与方式总结规律,完善升级。尤其是涉军工类高校以及企业的网络安全防御手段,需提高安全和风险意识,居安思危杜绝侥幸。网络攻击的风险无处不在、无时不在,中国高校以及公司需要谨慎开展涉外网络交流,加强局域网的安全防御级别、加强风险审查和网络攻防能力建设。美国对华情报窃密与渗透已经实现了高度的“公私合作”,中国需要采取立体、全方位的反网络攻击因应,提高安全警惕,紧绷防御之弦。

此外,网络安全需要社会的通力合作。提高社会对网络安全的认知,更是反击美西方网络攻击的重要一环。

美国在网络空间的霸权表现出极强的进攻性,美情报机构主导的网络窃密和攻击已成为全球网络安全的“威胁”,是各国面临的共同挑战,而维护网络安全是国际社会的共有责任。

特约撰稿人|王英良(复旦大学美国研究中心国际关系博士生)

编 辑|李潇潇

校 对|陈荻雁

实习生|吴叶凡

本文标签: 网络攻击  nsa  美国  西工大  安全局  美国政府