首頁 > 要聞 > 正文

環(huán)球焦點!西工大遭網(wǎng)絡攻擊事件凸顯美網(wǎng)絡霸權行徑

2022-09-29 16:46:07來源:環(huán)球網(wǎng)  

2022年6月22日,西北工業(yè)大學發(fā)布《公開聲明》稱其遭受境外網(wǎng)絡攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報》,證實在西北工業(yè)大學的信息網(wǎng)絡中發(fā)現(xiàn)了多款源于境外的木馬樣本,西安警方已對此正式立案調查。


(相關資料圖)

本次調查發(fā)現(xiàn),在近年里,美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)對中國國內的網(wǎng)絡目標實施了上萬次的惡意網(wǎng)絡攻擊,控制了數(shù)以萬計的網(wǎng)絡設備(網(wǎng)絡服務器、上網(wǎng)終端、網(wǎng)絡交換機、電話交換機、路由器、防火墻等),竊取了超過140GB的高價值數(shù)據(jù)。TAO利用其網(wǎng)絡攻擊武器平臺、“零日漏洞”(0day)及其控制的網(wǎng)絡設備等,持續(xù)擴大網(wǎng)絡攻擊和范圍。

從技術角度看,在針對西北工業(yè)大學的網(wǎng)絡攻擊中,TAO使用了40余種不同的NSA專屬網(wǎng)絡攻擊武器,持續(xù)對西北工業(yè)大學開展攻擊竊密,竊取該校關鍵網(wǎng)絡設備配置、網(wǎng)管數(shù)據(jù)、運維數(shù)據(jù)等核心技術數(shù)據(jù)。并且在攻擊過程中,TAO會根據(jù)目標環(huán)境對同一款網(wǎng)絡武器進行靈活配置。研究人員將此次攻擊活動中TAO使用的工具對應不同階段的攻擊,具體如下:

1.僵尸網(wǎng)絡基礎設施構建

Extremeparr:針對SunOS操作系統(tǒng)的“零日漏洞”利用工具;EXTREMEPARR(CVE-2017-3622)和 EBBISLAND(CVE-2017-3623)是影子經(jīng)紀人組織拍賣的工具之一,這兩個工具包含針對 Solaris 操作系統(tǒng)的 0 day 漏洞。CVE-20 17-3622 利用 dtappgather 文件權限和 setuid 二進制文件進行提權,CVE-2017-3623 攻擊 RPC 服務并獲得遠程 shell。利用這兩個工具漏洞可以在 Solaris 上遠程獲取 root 訪問權限。

Ebbshave(剃須刀):此武器可針對開放了指定RPC服務的X86和SPARC架構的Solaris系統(tǒng)實施遠程溢出攻擊,攻擊時可自動探知目標系統(tǒng)服務開放情況并智能化選擇合適版本的漏洞利用代碼,直接獲取對目標主機的完整控制權。

2.邊界突破

Ebbisland(孤島):此武器可針對開放了制定RPC服務的Solaris系統(tǒng)實施遠程溢出攻擊,直接獲取對目標主機的完整控制權。與“剃須刀”(ebbshave)工具不同之處在于此工具不具備自主探測目標服務開放情況的能力,需由使用者手動選擇欲打擊的目標服務。

3.準備內網(wǎng)二次突破Seconddate(二次約會).此武器長期駐留在網(wǎng)關服務器、邊界路由器等網(wǎng)絡邊界設備及服務器上,可針對海量數(shù)據(jù)流量進行精準過濾與自動化劫持,實現(xiàn)中間人攻擊功能。TAO在目標網(wǎng)絡的邊界設備上安置該武器,劫持流經(jīng)該設備的流量引導至“酸狐貍”平臺實施漏洞攻擊。

4.辦公內網(wǎng)突破Foxacid (酸狐貍).此武器平臺部署在哥倫比亞,可結合“二次約會”seconddate中間人攻擊武器使用,可智能化配置漏洞載荷針對IE、FireFox、Safari、Android Webkit等多平臺上的主流瀏覽器開展遠程溢出攻擊,獲取目標系統(tǒng)的控制權。

5.內網(wǎng)持久化DanderSpritz(怒火噴射).此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構的控守型木馬,可根據(jù)目標系統(tǒng)環(huán)境定制化生成不同類型的木馬服務端,服務端本身具備極強的抗分析、反調試能力。TAO主要使用該武器配合“酸狐貍”平臺對目標網(wǎng)絡中辦公網(wǎng)內部的個人主機實施持久化控制。SlyHeretic(狡詐異端犯).此武器是一款輕量級的后門植入工具,運行后即自刪除,具備提權功能,持久駐留于目標設備上并可隨系統(tǒng)啟動。TAO主要使用該武器實現(xiàn)持久駐留,以便在合適時機建立加密管道上傳NOPEN木馬,保障對目標網(wǎng)絡的長期控制。

NOPEN:此武器是一種支持多種操作系統(tǒng)和不同體系架構的控守型木馬,可通過加密隧道接收指令執(zhí)行文件管理、進程管理、系統(tǒng)命令執(zhí)行等多種操作,并且本身具備權限提升和持久化能力。TAO主要使用該武器對目標網(wǎng)絡內部的核心業(yè)務服務器和關鍵網(wǎng)絡設備實施持久化控制。

6.防御繞過Stoicsurgeon(堅忍外科醫(yī)生).此武器是一款針對Linux、Solaris、JunOS、FreeBSD等4種類型操作系統(tǒng)的后門,該武器可持久化運行于目標設備上,根據(jù)指令對目標設備上的指定文件、目錄、進程等進行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進程,避免其被監(jiān)控發(fā)現(xiàn)。該武器有很多版本,內核不同,使用的版本不同。

7.主機信息收集Suctionchar(飲茶).此武器可長期駐留在32位或64位的Solaris系統(tǒng)中,通過嗅探進程間通信的方式獲取ssh、telnet、rlogin等多種遠程登錄方式下暴露的賬號口令。

8.內網(wǎng)信息收集Enemyrun(敵后行動):此系列武器是專門針對運營商特定業(yè)務系統(tǒng)使用的工具,根據(jù)被控業(yè)務設備的不同類型,“敵后行動”會與不同的解析工具配合使用。比如可配合“魔法學?!?、“小丑食物”和“詛咒之火”等針對運商的攻擊竊密工具。

9.痕跡清除Toast(吐司面包).此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡。

早在此前,美國就頻繁地對其他國家發(fā)起網(wǎng)絡攻擊,卻還自稱是“網(wǎng)絡安全衛(wèi)士”,甚至給別國扣上“網(wǎng)絡安全威脅者”的帽子。

2010年,一種名為“震網(wǎng)”(Stuxnet)的蠕蟲病毒,利用系統(tǒng)安全漏洞,襲擊了伊朗的核設施,這是大國首次以極具侵略性的方式運用強大的網(wǎng)絡武器。在伊朗納坦茲鈾濃縮基地,至少有五分之一的離心機因為感染“震網(wǎng)”而遭到破壞?!罢鹁W(wǎng)”病毒危害巨大的一個重要原因,在于它所攻擊的是“零日漏洞”。2015年,路透社曾在報道中指出,美國政府是“零日漏洞”的最大買家。

美國國家安全局承包公司前雇員、曝光“棱鏡計劃”的斯諾登曾公布一份“絕密”文件,證實2010年5月TAO曾成功侵入墨西哥總統(tǒng)域名的關鍵電子郵件服務器,進入時任墨西哥總統(tǒng)卡爾德龍(Felipe Calderon)的電子郵箱。這個郵件域名也被墨西哥政府官員使用,包含外交、經(jīng)濟信息以及領導人之間的通信。

斯諾登還爆料稱,2013年,英國情報機構曾成功入侵比利時電信公司Belgacom的員工計算機,背后也得到了TAO的技術支持。

2020年6月底至7月初,俄中央選舉委員會網(wǎng)站遭到來自美國及其盟友猛烈的網(wǎng)絡攻擊。當時俄羅斯憲法2020這個官網(wǎng),每秒被訪問次數(shù)達到24萬次,而這些攻擊來自美國、德國、英國及烏克蘭。俄羅斯軍事專家列奧科夫指出,從2019年的委內瑞拉局勢動蕩到2020年的白俄羅斯騷亂,也都有美國網(wǎng)絡部隊的幕后操控。

國家計算機病毒應急處理中心報告顯示,在近年里,美國國家安全局下屬TAO對中國國內的網(wǎng)絡目標實施了上萬次的惡意網(wǎng)絡攻擊,控制了數(shù)以萬計的網(wǎng)絡設備,竊取了超過140GB的高價值數(shù)據(jù)。

美國國防部將網(wǎng)絡空間視為繼陸地、海洋、空中和太空之后的第五維戰(zhàn)場,試圖通過網(wǎng)絡間諜活動和網(wǎng)絡攻擊活動來維護其霸主地位,肆意破壞別國網(wǎng)絡,對全球的網(wǎng)絡安全造成了嚴重的威脅。面對美國的網(wǎng)絡霸權行為,越來越多的國家已經(jīng)認清其本質,攜手構建網(wǎng)絡空間命運共同體,正逐漸成為全球共識。

標簽:

相關閱讀

精彩推薦

相關詞

推薦閱讀