首頁(yè) > 要聞 > 正文

環(huán)球焦點(diǎn)!西工大遭網(wǎng)絡(luò)攻擊事件凸顯美網(wǎng)絡(luò)霸權(quán)行徑

2022-09-29 16:46:07來(lái)源:環(huán)球網(wǎng)  

2022年6月22日,西北工業(yè)大學(xué)發(fā)布《公開(kāi)聲明》稱其遭受境外網(wǎng)絡(luò)攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報(bào)》,證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬樣本,西安警方已對(duì)此正式立案調(diào)查。


(相關(guān)資料圖)

本次調(diào)查發(fā)現(xiàn),在近年里,美國(guó)國(guó)家安全局(NSA)下屬的特定入侵行動(dòng)辦公室(TAO)對(duì)中國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊,控制了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等),竊取了超過(guò)140GB的高價(jià)值數(shù)據(jù)。TAO利用其網(wǎng)絡(luò)攻擊武器平臺(tái)、“零日漏洞”(0day)及其控制的網(wǎng)絡(luò)設(shè)備等,持續(xù)擴(kuò)大網(wǎng)絡(luò)攻擊和范圍。

從技術(shù)角度看,在針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中,TAO使用了40余種不同的NSA專屬網(wǎng)絡(luò)攻擊武器,持續(xù)對(duì)西北工業(yè)大學(xué)開(kāi)展攻擊竊密,竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。并且在攻擊過(guò)程中,TAO會(huì)根據(jù)目標(biāo)環(huán)境對(duì)同一款網(wǎng)絡(luò)武器進(jìn)行靈活配置。研究人員將此次攻擊活動(dòng)中TAO使用的工具對(duì)應(yīng)不同階段的攻擊,具體如下:

1.僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施構(gòu)建

Extremeparr:針對(duì)SunOS操作系統(tǒng)的“零日漏洞”利用工具;EXTREMEPARR(CVE-2017-3622)和 EBBISLAND(CVE-2017-3623)是影子經(jīng)紀(jì)人組織拍賣的工具之一,這兩個(gè)工具包含針對(duì) Solaris 操作系統(tǒng)的 0 day 漏洞。CVE-20 17-3622 利用 dtappgather 文件權(quán)限和 setuid 二進(jìn)制文件進(jìn)行提權(quán),CVE-2017-3623 攻擊 RPC 服務(wù)并獲得遠(yuǎn)程 shell。利用這兩個(gè)工具漏洞可以在 Solaris 上遠(yuǎn)程獲取 root 訪問(wèn)權(quán)限。

Ebbshave(剃須刀):此武器可針對(duì)開(kāi)放了指定RPC服務(wù)的X86和SPARC架構(gòu)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊,攻擊時(shí)可自動(dòng)探知目標(biāo)系統(tǒng)服務(wù)開(kāi)放情況并智能化選擇合適版本的漏洞利用代碼,直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。

2.邊界突破

Ebbisland(孤島):此武器可針對(duì)開(kāi)放了制定RPC服務(wù)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊,直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。與“剃須刀”(ebbshave)工具不同之處在于此工具不具備自主探測(cè)目標(biāo)服務(wù)開(kāi)放情況的能力,需由使用者手動(dòng)選擇欲打擊的目標(biāo)服務(wù)。

3.準(zhǔn)備內(nèi)網(wǎng)二次突破Seconddate(二次約會(huì)).此武器長(zhǎng)期駐留在網(wǎng)關(guān)服務(wù)器、邊界路由器等網(wǎng)絡(luò)邊界設(shè)備及服務(wù)器上,可針對(duì)海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過(guò)濾與自動(dòng)化劫持,實(shí)現(xiàn)中間人攻擊功能。TAO在目標(biāo)網(wǎng)絡(luò)的邊界設(shè)備上安置該武器,劫持流經(jīng)該設(shè)備的流量引導(dǎo)至“酸狐貍”平臺(tái)實(shí)施漏洞攻擊。

4.辦公內(nèi)網(wǎng)突破Foxacid (酸狐貍).此武器平臺(tái)部署在哥倫比亞,可結(jié)合“二次約會(huì)”seconddate中間人攻擊武器使用,可智能化配置漏洞載荷針對(duì)IE、FireFox、Safari、Android Webkit等多平臺(tái)上的主流瀏覽器開(kāi)展遠(yuǎn)程溢出攻擊,獲取目標(biāo)系統(tǒng)的控制權(quán)。

5.內(nèi)網(wǎng)持久化DanderSpritz(怒火噴射).此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構(gòu)的控守型木馬,可根據(jù)目標(biāo)系統(tǒng)環(huán)境定制化生成不同類型的木馬服務(wù)端,服務(wù)端本身具備極強(qiáng)的抗分析、反調(diào)試能力。TAO主要使用該武器配合“酸狐貍”平臺(tái)對(duì)目標(biāo)網(wǎng)絡(luò)中辦公網(wǎng)內(nèi)部的個(gè)人主機(jī)實(shí)施持久化控制。SlyHeretic(狡詐異端犯).此武器是一款輕量級(jí)的后門植入工具,運(yùn)行后即自刪除,具備提權(quán)功能,持久駐留于目標(biāo)設(shè)備上并可隨系統(tǒng)啟動(dòng)。TAO主要使用該武器實(shí)現(xiàn)持久駐留,以便在合適時(shí)機(jī)建立加密管道上傳NOPEN木馬,保障對(duì)目標(biāo)網(wǎng)絡(luò)的長(zhǎng)期控制。

NOPEN:此武器是一種支持多種操作系統(tǒng)和不同體系架構(gòu)的控守型木馬,可通過(guò)加密隧道接收指令執(zhí)行文件管理、進(jìn)程管理、系統(tǒng)命令執(zhí)行等多種操作,并且本身具備權(quán)限提升和持久化能力。TAO主要使用該武器對(duì)目標(biāo)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制。

6.防御繞過(guò)Stoicsurgeon(堅(jiān)忍外科醫(yī)生).此武器是一款針對(duì)Linux、Solaris、JunOS、FreeBSD等4種類型操作系統(tǒng)的后門,該武器可持久化運(yùn)行于目標(biāo)設(shè)備上,根據(jù)指令對(duì)目標(biāo)設(shè)備上的指定文件、目錄、進(jìn)程等進(jìn)行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進(jìn)程,避免其被監(jiān)控發(fā)現(xiàn)。該武器有很多版本,內(nèi)核不同,使用的版本不同。

7.主機(jī)信息收集Suctionchar(飲茶).此武器可長(zhǎng)期駐留在32位或64位的Solaris系統(tǒng)中,通過(guò)嗅探進(jìn)程間通信的方式獲取ssh、telnet、rlogin等多種遠(yuǎn)程登錄方式下暴露的賬號(hào)口令。

8.內(nèi)網(wǎng)信息收集Enemyrun(敵后行動(dòng)):此系列武器是專門針對(duì)運(yùn)營(yíng)商特定業(yè)務(wù)系統(tǒng)使用的工具,根據(jù)被控業(yè)務(wù)設(shè)備的不同類型,“敵后行動(dòng)”會(huì)與不同的解析工具配合使用。比如可配合“魔法學(xué)?!?、“小丑食物”和“詛咒之火”等針對(duì)運(yùn)商的攻擊竊密工具。

9.痕跡清除Toast(吐司面包).此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡。

早在此前,美國(guó)就頻繁地對(duì)其他國(guó)家發(fā)起網(wǎng)絡(luò)攻擊,卻還自稱是“網(wǎng)絡(luò)安全衛(wèi)士”,甚至給別國(guó)扣上“網(wǎng)絡(luò)安全威脅者”的帽子。

2010年,一種名為“震網(wǎng)”(Stuxnet)的蠕蟲(chóng)病毒,利用系統(tǒng)安全漏洞,襲擊了伊朗的核設(shè)施,這是大國(guó)首次以極具侵略性的方式運(yùn)用強(qiáng)大的網(wǎng)絡(luò)武器。在伊朗納坦茲鈾濃縮基地,至少有五分之一的離心機(jī)因?yàn)楦腥尽罢鹁W(wǎng)”而遭到破壞。“震網(wǎng)”病毒危害巨大的一個(gè)重要原因,在于它所攻擊的是“零日漏洞”。2015年,路透社曾在報(bào)道中指出,美國(guó)政府是“零日漏洞”的最大買家。

美國(guó)國(guó)家安全局承包公司前雇員、曝光“棱鏡計(jì)劃”的斯諾登曾公布一份“絕密”文件,證實(shí)2010年5月TAO曾成功侵入墨西哥總統(tǒng)域名的關(guān)鍵電子郵件服務(wù)器,進(jìn)入時(shí)任墨西哥總統(tǒng)卡爾德龍(Felipe Calderon)的電子郵箱。這個(gè)郵件域名也被墨西哥政府官員使用,包含外交、經(jīng)濟(jì)信息以及領(lǐng)導(dǎo)人之間的通信。

斯諾登還爆料稱,2013年,英國(guó)情報(bào)機(jī)構(gòu)曾成功入侵比利時(shí)電信公司Belgacom的員工計(jì)算機(jī),背后也得到了TAO的技術(shù)支持。

2020年6月底至7月初,俄中央選舉委員會(huì)網(wǎng)站遭到來(lái)自美國(guó)及其盟友猛烈的網(wǎng)絡(luò)攻擊。當(dāng)時(shí)俄羅斯憲法2020這個(gè)官網(wǎng),每秒被訪問(wèn)次數(shù)達(dá)到24萬(wàn)次,而這些攻擊來(lái)自美國(guó)、德國(guó)、英國(guó)及烏克蘭。俄羅斯軍事專家列奧科夫指出,從2019年的委內(nèi)瑞拉局勢(shì)動(dòng)蕩到2020年的白俄羅斯騷亂,也都有美國(guó)網(wǎng)絡(luò)部隊(duì)的幕后操控。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心報(bào)告顯示,在近年里,美國(guó)國(guó)家安全局下屬TAO對(duì)中國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊,控制了數(shù)以萬(wàn)計(jì)的網(wǎng)絡(luò)設(shè)備,竊取了超過(guò)140GB的高價(jià)值數(shù)據(jù)。

美國(guó)國(guó)防部將網(wǎng)絡(luò)空間視為繼陸地、海洋、空中和太空之后的第五維戰(zhàn)場(chǎng),試圖通過(guò)網(wǎng)絡(luò)間諜活動(dòng)和網(wǎng)絡(luò)攻擊活動(dòng)來(lái)維護(hù)其霸主地位,肆意破壞別國(guó)網(wǎng)絡(luò),對(duì)全球的網(wǎng)絡(luò)安全造成了嚴(yán)重的威脅。面對(duì)美國(guó)的網(wǎng)絡(luò)霸權(quán)行為,越來(lái)越多的國(guó)家已經(jīng)認(rèn)清其本質(zhì),攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體,正逐漸成為全球共識(shí)。

標(biāo)簽:

相關(guān)閱讀

精彩推薦

相關(guān)詞

推薦閱讀