首頁 > 要聞 > 正文

環(huán)球焦點!西工大遭網(wǎng)絡(luò)攻擊事件凸顯美網(wǎng)絡(luò)霸權(quán)行徑

2022-09-29 16:46:07來源:環(huán)球網(wǎng)  

2022年6月22日,西北工業(yè)大學(xué)發(fā)布《公開聲明》稱其遭受境外網(wǎng)絡(luò)攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報》,證實在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬樣本,西安警方已對此正式立案調(diào)查。


(相關(guān)資料圖)

本次調(diào)查發(fā)現(xiàn),在近年里,美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)對中國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實施了上萬次的惡意網(wǎng)絡(luò)攻擊,控制了數(shù)以萬計的網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等),竊取了超過140GB的高價值數(shù)據(jù)。TAO利用其網(wǎng)絡(luò)攻擊武器平臺、“零日漏洞”(0day)及其控制的網(wǎng)絡(luò)設(shè)備等,持續(xù)擴(kuò)大網(wǎng)絡(luò)攻擊和范圍。

從技術(shù)角度看,在針對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中,TAO使用了40余種不同的NSA專屬網(wǎng)絡(luò)攻擊武器,持續(xù)對西北工業(yè)大學(xué)開展攻擊竊密,竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。并且在攻擊過程中,TAO會根據(jù)目標(biāo)環(huán)境對同一款網(wǎng)絡(luò)武器進(jìn)行靈活配置。研究人員將此次攻擊活動中TAO使用的工具對應(yīng)不同階段的攻擊,具體如下:

1.僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施構(gòu)建

Extremeparr:針對SunOS操作系統(tǒng)的“零日漏洞”利用工具;EXTREMEPARR(CVE-2017-3622)和 EBBISLAND(CVE-2017-3623)是影子經(jīng)紀(jì)人組織拍賣的工具之一,這兩個工具包含針對 Solaris 操作系統(tǒng)的 0 day 漏洞。CVE-20 17-3622 利用 dtappgather 文件權(quán)限和 setuid 二進(jìn)制文件進(jìn)行提權(quán),CVE-2017-3623 攻擊 RPC 服務(wù)并獲得遠(yuǎn)程 shell。利用這兩個工具漏洞可以在 Solaris 上遠(yuǎn)程獲取 root 訪問權(quán)限。

Ebbshave(剃須刀):此武器可針對開放了指定RPC服務(wù)的X86和SPARC架構(gòu)的Solaris系統(tǒng)實施遠(yuǎn)程溢出攻擊,攻擊時可自動探知目標(biāo)系統(tǒng)服務(wù)開放情況并智能化選擇合適版本的漏洞利用代碼,直接獲取對目標(biāo)主機(jī)的完整控制權(quán)。

2.邊界突破

Ebbisland(孤島):此武器可針對開放了制定RPC服務(wù)的Solaris系統(tǒng)實施遠(yuǎn)程溢出攻擊,直接獲取對目標(biāo)主機(jī)的完整控制權(quán)。與“剃須刀”(ebbshave)工具不同之處在于此工具不具備自主探測目標(biāo)服務(wù)開放情況的能力,需由使用者手動選擇欲打擊的目標(biāo)服務(wù)。

3.準(zhǔn)備內(nèi)網(wǎng)二次突破Seconddate(二次約會).此武器長期駐留在網(wǎng)關(guān)服務(wù)器、邊界路由器等網(wǎng)絡(luò)邊界設(shè)備及服務(wù)器上,可針對海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過濾與自動化劫持,實現(xiàn)中間人攻擊功能。TAO在目標(biāo)網(wǎng)絡(luò)的邊界設(shè)備上安置該武器,劫持流經(jīng)該設(shè)備的流量引導(dǎo)至“酸狐貍”平臺實施漏洞攻擊。

4.辦公內(nèi)網(wǎng)突破Foxacid (酸狐貍).此武器平臺部署在哥倫比亞,可結(jié)合“二次約會”seconddate中間人攻擊武器使用,可智能化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平臺上的主流瀏覽器開展遠(yuǎn)程溢出攻擊,獲取目標(biāo)系統(tǒng)的控制權(quán)。

5.內(nèi)網(wǎng)持久化DanderSpritz(怒火噴射).此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構(gòu)的控守型木馬,可根據(jù)目標(biāo)系統(tǒng)環(huán)境定制化生成不同類型的木馬服務(wù)端,服務(wù)端本身具備極強(qiáng)的抗分析、反調(diào)試能力。TAO主要使用該武器配合“酸狐貍”平臺對目標(biāo)網(wǎng)絡(luò)中辦公網(wǎng)內(nèi)部的個人主機(jī)實施持久化控制。SlyHeretic(狡詐異端犯).此武器是一款輕量級的后門植入工具,運行后即自刪除,具備提權(quán)功能,持久駐留于目標(biāo)設(shè)備上并可隨系統(tǒng)啟動。TAO主要使用該武器實現(xiàn)持久駐留,以便在合適時機(jī)建立加密管道上傳NOPEN木馬,保障對目標(biāo)網(wǎng)絡(luò)的長期控制。

NOPEN:此武器是一種支持多種操作系統(tǒng)和不同體系架構(gòu)的控守型木馬,可通過加密隧道接收指令執(zhí)行文件管理、進(jìn)程管理、系統(tǒng)命令執(zhí)行等多種操作,并且本身具備權(quán)限提升和持久化能力。TAO主要使用該武器對目標(biāo)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實施持久化控制。

6.防御繞過Stoicsurgeon(堅忍外科醫(yī)生).此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種類型操作系統(tǒng)的后門,該武器可持久化運行于目標(biāo)設(shè)備上,根據(jù)指令對目標(biāo)設(shè)備上的指定文件、目錄、進(jìn)程等進(jìn)行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進(jìn)程,避免其被監(jiān)控發(fā)現(xiàn)。該武器有很多版本,內(nèi)核不同,使用的版本不同。

7.主機(jī)信息收集Suctionchar(飲茶).此武器可長期駐留在32位或64位的Solaris系統(tǒng)中,通過嗅探進(jìn)程間通信的方式獲取ssh、telnet、rlogin等多種遠(yuǎn)程登錄方式下暴露的賬號口令。

8.內(nèi)網(wǎng)信息收集Enemyrun(敵后行動):此系列武器是專門針對運營商特定業(yè)務(wù)系統(tǒng)使用的工具,根據(jù)被控業(yè)務(wù)設(shè)備的不同類型,“敵后行動”會與不同的解析工具配合使用。比如可配合“魔法學(xué)校”、“小丑食物”和“詛咒之火”等針對運商的攻擊竊密工具。

9.痕跡清除Toast(吐司面包).此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡。

早在此前,美國就頻繁地對其他國家發(fā)起網(wǎng)絡(luò)攻擊,卻還自稱是“網(wǎng)絡(luò)安全衛(wèi)士”,甚至給別國扣上“網(wǎng)絡(luò)安全威脅者”的帽子。

2010年,一種名為“震網(wǎng)”(Stuxnet)的蠕蟲病毒,利用系統(tǒng)安全漏洞,襲擊了伊朗的核設(shè)施,這是大國首次以極具侵略性的方式運用強(qiáng)大的網(wǎng)絡(luò)武器。在伊朗納坦茲鈾濃縮基地,至少有五分之一的離心機(jī)因為感染“震網(wǎng)”而遭到破壞。“震網(wǎng)”病毒危害巨大的一個重要原因,在于它所攻擊的是“零日漏洞”。2015年,路透社曾在報道中指出,美國政府是“零日漏洞”的最大買家。

美國國家安全局承包公司前雇員、曝光“棱鏡計劃”的斯諾登曾公布一份“絕密”文件,證實2010年5月TAO曾成功侵入墨西哥總統(tǒng)域名的關(guān)鍵電子郵件服務(wù)器,進(jìn)入時任墨西哥總統(tǒng)卡爾德龍(Felipe Calderon)的電子郵箱。這個郵件域名也被墨西哥政府官員使用,包含外交、經(jīng)濟(jì)信息以及領(lǐng)導(dǎo)人之間的通信。

斯諾登還爆料稱,2013年,英國情報機(jī)構(gòu)曾成功入侵比利時電信公司Belgacom的員工計算機(jī),背后也得到了TAO的技術(shù)支持。

2020年6月底至7月初,俄中央選舉委員會網(wǎng)站遭到來自美國及其盟友猛烈的網(wǎng)絡(luò)攻擊。當(dāng)時俄羅斯憲法2020這個官網(wǎng),每秒被訪問次數(shù)達(dá)到24萬次,而這些攻擊來自美國、德國、英國及烏克蘭。俄羅斯軍事專家列奧科夫指出,從2019年的委內(nèi)瑞拉局勢動蕩到2020年的白俄羅斯騷亂,也都有美國網(wǎng)絡(luò)部隊的幕后操控。

國家計算機(jī)病毒應(yīng)急處理中心報告顯示,在近年里,美國國家安全局下屬TAO對中國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實施了上萬次的惡意網(wǎng)絡(luò)攻擊,控制了數(shù)以萬計的網(wǎng)絡(luò)設(shè)備,竊取了超過140GB的高價值數(shù)據(jù)。

美國國防部將網(wǎng)絡(luò)空間視為繼陸地、海洋、空中和太空之后的第五維戰(zhàn)場,試圖通過網(wǎng)絡(luò)間諜活動和網(wǎng)絡(luò)攻擊活動來維護(hù)其霸主地位,肆意破壞別國網(wǎng)絡(luò),對全球的網(wǎng)絡(luò)安全造成了嚴(yán)重的威脅。面對美國的網(wǎng)絡(luò)霸權(quán)行為,越來越多的國家已經(jīng)認(rèn)清其本質(zhì),攜手構(gòu)建網(wǎng)絡(luò)空間命運共同體,正逐漸成為全球共識。

標(biāo)簽:

相關(guān)閱讀

精彩推薦

相關(guān)詞

推薦閱讀