网络攻击西工大的TAO,身份是这样暴露的

美国NSA对西工大发起网络攻击事件,又有新的细节公开。

9月27日,国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之二)》,披露了美国国家安全局(NSA)”特定入侵行动办公室”(TAO)攻击渗透西北工业大学的流程、窃取西北工业大学和中国运营商敏感信息,公布了TAO网络攻击西北工业大学武器平台IP列表及所用跳板IP列表。

TAO在攻击过程中暴露身份的相关情况也被首次曝光。此外,研究团队经过持续攻坚,发现了攻击实施者的身份线索,并成功查明了13名攻击者的真实身份。

截图来源:国家计算机病毒应急处理中心官网

据调查报告,TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。具体包括:

单点突破、级联渗透,控制西北工业大学网络;隐蔽驻留、”合法”监控,窃取核心运维数据;搜集身份验证数据、构建通道,渗透基础设施;控制重要业务系统,实施用户数据窃取。

调查报告披露,TAO窃取西北工业大学和中国运营商敏感信息,包括:

窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据;窃取西北工业大学网络设备运维配置文件和日志文件;渗透控制中国基础设施核心设备。

TAO利用窃取到的网络设备账号口令,以”合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。