今天，國家計算機病毒應急處理中心和360公司分別發布了關于西北工業大學遭受境外網絡攻擊的調查報告。調查發現，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）多年來對我國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了相關網絡設備，竊取了超過140GB的高價值數據。

原來不法分子是美國國安局

今年4月，西安市公安機關接到一起網絡攻擊的報警，西北工業大學的信息系統發現遭受網絡攻擊的痕跡。到了6月22日，西北工業大學在其官方微信上發布一則聲明，聲明表示學校電子郵件遭受境外網絡攻擊，對學校正常教學生活造成負面影響。

陜西省西安市公安局碑林分局隨即發布《警情通報》，證實在西北工業大學的信息網絡中發現了多款源于境外的木馬程序樣本。初步判定，此事件為境外黑客組織和不法分子發起的網絡攻擊行為，并正式立案調查。

中國國家計算機病毒應急處理中心和360公司第一時間成立技術團隊開展調查工作，全程參與此案技術分析。技術團隊先后從多個信息系統和上網終端中捕獲到了木馬程序樣本，綜合使用國內現有數據資源和分析手段，并得到歐洲、南亞部分國家合作伙伴的通力支持，全面還原了相關攻擊事件的總體概貌、技術特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關攻擊活動源自美國國家安全局（NSA）的“特定入侵行動辦公室”（Office of Tailored Access Operation，后文簡稱TAO）。

本次調查還發現，在近年里，美國國家安全局（NSA）下屬特定入侵行動辦公室（TAO）對中國國內的網絡目標實施了上萬次的惡意網絡攻擊，控制了數以萬計的網絡設備，包括：網絡服務器、上網終端、網絡交換機、電話交換機、路由器、防火墻等，竊取了超過140GB的高價值數據。經過復雜的技術分析與溯源，技術團隊現已澄清NSA攻擊活動中使用的網絡資源、專用武器裝備及具體手法，還原了攻擊過程和被竊取的文件，掌握了美國NSA“特定入侵行動辦公室”（TAO）對中國信息網絡實施網絡攻擊和數據竊密的證據鏈。

美國國安局是怎樣進行惡意攻擊的

經技術分析和網上溯源調查發現，此次網絡攻擊行動是美國國家安全局（NSA）信息情報部（代號S）數據偵察局（代號S3）下屬TAO（代號S32）部門。

圖：參與網絡攻擊的TAO部門的下屬單位

美國國家安全局TAO部門的S325單位，通過層層掩護，構建了由49臺跳板機和5臺代理服務器組成的匿名網絡，購買專用網絡資源，架設攻擊平臺。這些跳板機均經過精心挑選，所有IP均歸屬于非「五眼聯盟」國家（五眼聯盟包括美國、英國、加拿大、澳大利亞和新西蘭），而且大部分選擇了中國周邊國家（如日本、韓國等）的IP，約占70%。根據溯源分析，本次竊密行動共選用了其中的49臺跳板機，這些跳板機僅使用了中轉指令，將上一級的跳板指令轉發到目標系統，從而掩蓋美國國家安全局發起網絡攻擊的真實IP。

圖：美國國家安全局（NSA）對西北工業大學實施網絡攻擊

此外，美國國家安全局NSA為了保護其身份安全，使用了美國Register公司的匿名保護服務，相關域名和證書無明確指向，無關聯人員。另一方面，根據技術分析的結果，TAO已于此次攻擊活動開始前，在美國多家大型知名互聯網企業的配合下，掌握了中國大量通信網絡設備的管理權限，為NSA持續侵入中國國內的重要信息網絡大開方便之門。

有了這個前提條件，S321單位運用40余種不同的NSA專屬網絡攻擊武器，持續對我國開展攻擊竊密，竊取了關鍵網絡設備配置、網管數據、運維數據等核心技術數據，竊密活動持續時間長，覆蓋范圍廣。

TAO還利用其掌握的針對SunOS操作系統的兩個“零日漏洞”利用工具（已提取樣本），工具名稱分別為EXTREMEPARR（NSA命名）和EBBISLAND（NSA命名），選擇了中國周邊國家的教育機構、商業公司等網絡應用流量較多的服務器為攻擊目標；攻擊成功后，安裝NOPEN（NSA命名，已提取樣本）后門，控制了大批跳板機。總體而言，美國國家安全局TAO的網絡攻擊武器裝備針對性強，得到了美國互聯網巨頭的鼎力支持。

同一款裝備會根據目標環境進行靈活配置，在這中使用的41款裝備中，僅后門工具“狡詐異端犯”（NSA命名）在對西北工業大學的網絡攻擊中就有14款不同版本。NSA所使用工具類別主要分為四大類，分別是：

（一）漏洞攻擊突破類武器TAO依托此類武器對西北工業大學的邊界網絡設備、網關服務器、辦公內網主機等實施攻擊突破，同時也用來攻擊控制境外跳板機以構建匿名網絡。

（二）持久化控制類武器TAO依托此類武器對西北工業大學網絡進行隱蔽持久控制，TAO工作人員可通過加密通道發送控制指令操作此類武器實施對西北工業大學網絡的滲透、控制、竊密等行為。

（三）嗅探竊密類武器

TAO依托此類武器嗅探西北工業大學工作人員運維網絡時使用的賬號口令、生成的操作記錄，竊取西北工業大學網絡內部的敏感信息和運維數據等。

（四）隱蔽消痕類武器

TAO依托此類武器消除其在西北工業大學網絡內部的行為痕跡，隱藏、掩飾其惡意操作和竊密行為，同時為上述三類武器提供保護。

美國國安局為什么要攻擊西工大

「西北工業大學遭網絡攻擊的源頭系美國國家安全局」的調查結果公布后，有網友不解：

還有調侃這是對西北工業大學最好的招生宣傳：

還有人覺得，這是因為西北工業大學在國防領域有重要的地位。根據西北工業大學自己在官網上的介紹，西工大「為武器裝備研制、國防領域關鍵核心技術自主安全可控和西部建設提供了有力支撐，是連續兩次被中共中央、國務院、中央軍委聯合授予“重大貢獻獎”的唯一高校」。

具體來說，在航空領域，一半以上的重大型號總師、副總師出自西北工業大學；在航天領域，擔任國務院國資委管理的大型央企及所屬企事業單位黨政領導干部及副總師以上職務的，也有一大批西工大校友；在船舶工業、水中兵器行業的重要管理崗位與核心技術崗位上，也有相當比例的西工大校友。不過，西工大成為美國國安局的攻擊目標，固然與西工大在軍工領域有淵源存在關系，但從前面美國國家安全局TAO的網絡攻擊的技術分析來看，西工大并非美國國安局攻擊的唯一目標。我國各行業龍頭企業、政府、大學、醫療機構、科研機構其實都是美國國安局攻擊對象，只是此次被攻擊的西工大比較「幸運」，能及時發現攻擊活動，加上國家計算機病毒應急處理中心和360公司應對及時、得當，從而讓美國國安局的秘密活動曝光。

雖然此次成功分析出了美國國安局利用網絡武器攻擊西工大的行為，打破了一直以來美國對我國的單向透明優勢，但對我國的國防安全、關鍵基礎設施安全、金融安全、社會安全、生產安全以及公民個人信息安全來說，此事仍值得們深思與警惕。

P.S.美國要斷供中國的AI芯片前，美國商務部發言人說，「要防止技術落入壞人之手」，現在回看，也不知道誰是壞人……