9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。
调查中,国家计算机病毒应急处理中心和360公司联合组成技术团队,全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。
TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成。
调查报告称,本次调查发现,在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。
TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。经技术分析与溯源,技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。
TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。
技术团队结合上述技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻击行动的是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是:
1、美国马里兰州米德堡的NSA总部;
2、美国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH);
3、美国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG);
4、美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心(NSAT);
5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC);
6、德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。
报告称,美国国家安全局(NSA)针对西北工业大学的攻击行动代号为“阻击XXXX”(shotXXXX)。NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特•乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰斯•霍普金斯大学,获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全主管。
新闻多一点
2022年6月22日,西北工业大学发布公开声明称,近期,该校电子邮件系统遭受网络攻击,有来自境外黑客组织和不法分子向该校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。来自境外的钓鱼邮件暂未造成重要数据泄露。
6月23日,西安市公安局碑林分局发布警情通报称,已经对此案进行立案侦查,初步判定,此事件为境外黑客组织和不法分子发起的网络攻击行为。
公开资料显示,西北工业大学(简称西工大)坐落于陕西西安,以发展航空、航天、航海等领域人才培养和科学研究为特色,1995年首批进入“211工程”,2001年进入“985工程”,在扎根西部、献身国防的建设历程中,为武器装备研制、国防领域关键核心技术自主安全可控和西部建设提供了有力支撑。