網路武器是什麼?
它就像一個特工,既能悄悄潛入敵方陣營,在長期潛伏中獲取情報、監視動向,也能在時機成熟之時,一舉搞癱對手的網路系統。
若是經過官方特訓的特工,傷害指數更上層樓。
近期,西北工業大學遭境外網路武器攻擊的新聞,頻頻在熱搜露臉。
得益於技術團隊專業而又細緻的調查溯源,美國國安局的更多馬腳被發現,此事今日再登熱一。
我們不妨從頭梳理一下這起攻擊事件。
2022 年 6 月 22 日,西北工業大學發布一則聲明,稱遭到境外網路攻擊。
而後,西安市公安局碑林分局發布《警情通報》,證實在西北工業大學的信息網路中,發現多款源於境外的木馬樣本,警方已正式立案調查。
接下來的技術分析,團隊由兩方聯合構成:國家計算機病毒應急處理中心,以及 360 公司。
當調查日益深入,技術特徵、攻擊武器、攻擊路徑等脈絡逐漸清晰,這起境外隱蔽攻擊事件的幕後真兇才浮出水面:美國國家安全局「特定入侵行動辦公室」(TAO)。
這個略顯陌生的「辦公室」,全稱為 Office of Tailored Access Operation,是美國國家安全局(NSA)信息情報部(代號 S)數據偵察局(代號 S3)下屬 TAO(代號 S32)部門。
你瞧這隱蔽程度,看的人眼暈。
TAO 成立於 1998 年,力量部署主要依託美國國安局在美國和歐洲的各個密碼中心。目前,已被公布的密碼中心有 6 個:
1、美國馬里蘭州米德堡的 NSA 總部;
2、美國夏威夷瓦胡島的 NSA 夏威夷密碼中心(NSAH);
3、美國喬治亞州戈登堡的 NSA 喬治亞密碼中心(NSAG);
4、美國德克薩斯州聖安東尼奧的 NSA 德克薩斯密碼中心(NSAT);
5、美國科羅拉羅州丹佛馬克利空軍基地的 NSA 科羅拉羅密碼中心(NSAC);
6、德國達姆施塔特美軍基地的 NSA 歐洲密碼中心(NSAE)。
TAO 是目前美國政府專門從事對他國實施大規模網路攻擊竊密活動的戰術實施單位,由 2000 多名軍人和文職人員構成,內設多個機構。
遠程操作中心(ROC,代號 S321),主要負責操作武器平台和工具進入並控制目標系統或網路。
先進/接入網路技術處(ANT,代號 S322),負責研究相關硬體技術,為 TAO 網路攻擊行動提供硬體相關技術和武器裝備支持。
數據網路技術處(DNT,代號 S323),負責研發複雜的計算機軟體工具,為 TAO 操作人員執行網路攻擊任務提供支撐。
電信網路技術處(TNT,代號 S324),負責研究電信相關技術,為 TAO 操作人員隱蔽滲透電信網路提供支撐。
任務基礎設施技術處(MIT,代號 S325),負責開發與建立網路基礎設施和安全監控平台,用於構建攻擊行動網路環境與匿名網路。
接入行動處(ATO,代號 S326),負責通過供應鏈,對擬送達目標的產品進行後門安裝。
需求與定位處(R&T,代號 S327),接收各相關單位的任務,確定偵察目標,分析評估情報價值。
項目計劃整合處(PPI,代號 S32P),負責總體規劃與項目管理。
網路戰小組(NWT),負責與網路作戰小隊聯絡。
此次針對西北工業大學的攻擊,行動代號為「阻擊XXXX」 (shot XXXX),由 TAO 負責人羅伯特·喬伊斯直接指揮,多機構協同配合。
任務基礎設施技術處,負責構建偵察環境、租用攻擊資源;
需求與定位處,負責確定攻擊行動戰略和情報評估;
先進/接入網路技術處、數據網路技術處、電信網路技術處,負責提供技術支撐;
遠程操作中心,負責組織開展攻擊偵察行動。
TAO 負責人羅伯特·喬伊斯 (Robert Edward Joyce),出生於 1967 年 9 月 13 日,1993 年於約翰斯·霍普金斯大學取得碩士學位。
1989 年,羅伯特進入美國國家安全局工作,2013 年至 2017 年,擔任 TAO 主任。
2017 年 10 月,羅伯特開始擔任代理美國國土安全顧問,半年後,擔任美國白宮國務安全顧問,後又重返 NSA,擔任國安局局長網路安全戰略高級顧問,現為 NSA 網路安全主管。
此次,由羅伯特直接指揮 TAO,對西北工業大學發起攻擊,使用的美國國安局專用網路攻擊武器裝備,數量多達 41 種。
不僅武器數量多,而妙的是,武器還能因地制宜,根據目標環境的不同調整配置,舉個例子你感受下。
網路武器之一「狡詐異端犯」,是一個後門工具(名字是美方自己取的),在實際攻擊中,「狡詐異端犯」這款工具就有多達 14 個版本,狡詐之心盡顯。
TAO 使用的 41 種攻擊工具,可以分為四大類:
1、漏洞攻擊突破類:尋找攻擊突破口
這類工具的任務,是對西北工業大學的邊界網路設備、網關伺服器、辦公內網主機等實施攻擊突破,同時用來攻擊控制境外跳板機以構建匿名化網路作為行動掩護。
(1) 「孤島」:NSA 使用此武器,攻擊控制了西北工業大學的邊界伺服器。
(2) 「酸狐狸」:這是一個武器平台,部署在哥倫比亞,用於對西北工業大學辦公內網主機進行入侵。
(3) 「剃鬚刀」:針對開放了指定 RPC 服務的 X86 和 SPARC 架構的 Solarise 系統實施遠程漏洞攻擊,攻擊時可自動探知目標系統服務開放情況,智能選擇合適版本的漏洞利用代碼,直接獲取對目標主機的完整控制權。
此武器用於對日本、韓國等國家跳板機的攻擊,所控制跳板機被用於對西北工業大學的網路攻擊。
2、持久化控制類:隱蔽實施滲透控制行為
通過加密通道發送控制指令,操作這類工具實施對西北工業大學網路的滲透、控制、竊密等行為。
(1) 「二次約會」:劫持西北工業大學流經邊界設備的流量,引導至「酸狐狸」平台實施漏洞攻擊。
它能夠長期駐留在網關伺服器、邊界路由器等網路邊界設備及伺服器上,針對海量數據流量進行精準過濾與自動化劫持,實現中間人攻擊功能。
(2) 「NOPEN」:對西北工業大學網路內部的核心業務伺服器和關鍵網路設備實施持久化控制。
這是一種支持多種操作系統和不同體系架構的遠控木馬,能通過加密隧道接收指令,執行文件管理、進程管理、系統命令執行等多種操作,並且本身具備許可權提升和持久化能力。
(3) 「怒火噴射」:配合「酸狐狸」,對西北工業大學辦公網內部的個人主機實施持久化控制。
這是一款基於 Windows 系統、但支持多種操作系統和不同體系架構的遠控木馬,可根據目標系統環境定製化生成不同類型的木馬服務端,服務端本身具備極強的抗分析、反調試能力。
(4) 「狡詐異端犯」:實現持久駐留,伺機建立加密管道,上傳 NOPEN 木馬,在對西北工業大學信息網路長期控制方面,起保駕護航作用。
這是一款輕量級的後門植入工具,運行後即自刪除,具備許可權提升能力,持久駐留於目標設備上並可隨系統啟動。
(5) 「堅忍外科醫生」:隱藏 NOPEN 木馬的文件和進程,避免被監控發現。
這是一款針對 Linux、Solaris、JunOS、FreeBSD 操作系統的後門,該武器可持久化運行於目標設備上,根據指令對目標設備上的指定文件、目錄、進程等進行隱藏。
技術分析發現,TAO 在對西北工業大學的網路攻擊中,累計使用了該武器的 12 個不同版本。
3、嗅探竊密類:竊取敏感信息和運維數據
TAO 依託此類武器,嗅探西北工業大學工作人員運維網路時使用的賬號口令、命令行操作記錄,進而竊取相關信息。
(1)「飲茶」:嗅探業務人員實施運維工作時產生的賬號口令、命令行操作記錄、日誌文件等,壓縮加密存儲後,供 NOPEN 木馬下載。
它能夠長期駐留在 32 位或 64 位的 Solaris 系統中,通過嗅探進程間通信的方式獲取 ssh、telnet、rlogin 等多種遠程登錄方式下暴露的賬號口令。
(2)「敵後行動」系列武器:針對電信運營商特定業務系統的竊密工具。
「系列」一詞,說明這類武器有多個成員,在對西北工業大學的網路攻擊中,TAO 使用了「魔法學校」、「小丑食物」和「詛咒之火」。
4、隱蔽消痕類:清除犯罪痕迹。
此類武器能夠消除其在西北工業大學網路內部的行為痕迹,隱藏、掩飾其惡意操作和竊密行為,同時為上述三類武器提供保護。
比如「吐司麵包」:用於清除、替換被控西北工業大學上網設備上的各類日誌文件,隱藏其惡意行為,TAO 在攻擊中先後使用了 3 種版本。
隨著調查的深入,誒,有趣的情節出現了。
你沒看錯,如此嚴肅的攻擊事件調查中,竟也潛藏著一些有趣的東西,那就是 TAO 沒藏好、也根本藏不住的狐狸尾巴。
1、從不加班的「正規攻擊者」
由於部分攻擊操作不是自動/半自動流程,比如使用 tipoff 激活指令和遠程控制 NOPEN 木馬,攻擊者必須手動操作,所以通過分析這些攻擊工具的攻擊時間,就能知曉攻擊者的工作時間。
通過大數據分析,有趣的事情出現了:
(1)對西北工業大學的網路攻擊行動,98% 集中在北京時間 21 時至凌晨 4 時之間,也就是美國東部時間 9 時至 16 時,這剛好是美國國內的工作時間段。
(2)美國時間的全部周六、周日中,均未發生對西北工業大學的網路攻擊行動。
(3)在美國特有的節假日期間,例如「陣亡將士紀念日」放假 3 天,「獨立日」放假 1 天,攻擊方沒有實施任何攻擊竊密行動。
(4)長時間對攻擊行為密切跟蹤發現,在歷年聖誕節期間,所有網路攻擊活動都處於靜默狀態。
從以上發現可知,針對西北工業大學的攻擊竊密者,是嚴格按照美國國內工作日的時間實施攻擊活動的。
按時出勤。加班?沒這回事。
2、難以改變的語言習慣
在對攻擊者的長時間追蹤和反滲透中發現,攻擊者具有明顯的語言特徵:
(1)攻擊者熟練使用美式英語;
(2)與攻擊者相關聯的上網設備,都裝有英文操作系統,以及各類英文版應用程序;
(3)攻擊者使用美式鍵盤進行輸入。
3、不完美的犯罪現場
攻擊者在某次對西北工業大學實施第三級滲透,試圖控制一台網路設備時,攻擊者出現人為失誤:在運行上傳 PY 腳本工具時,沒有修改指定參數,腳本執行後返回的出錯信息中,赫然暴露出攻擊者上網終端的工作目錄及相應文件名。
信息顯示,木馬控制端的系統環境為 Linux系統,相應目錄名為「/etc/autoutils」,autoutils 是 TAO 網路攻擊武器工具目錄的專用名稱。
4、高度同源的武器工具
「影子經紀人」是一個非常神秘的黑客組織,曾公開包括「永恆之藍」在內的一大批極具破壞力的網路攻擊武器。
這次,針對西北工業大學的網路攻擊武器多達 41 款,經過與「影子經紀人」曝光的 TAO 網路攻擊武器對比,發現以下幾點:
(1)其中 16 款與被曝光的 TAO 武器完全一致;
(2)有 23 款工具雖與「影子經紀人」曝光的工具不完全相同,但基因相似度高達 97%,屬於同一類武器,只是相關配置不甚相同;
(3)另有 2 款工具,雖無法對應「影子經紀人」曝光的工具,但這 2 款工具需要與 TAO 的其它網路攻擊武器工具配合使用。
綜上,此次攻擊西北工業大學的網路攻擊武器,均歸屬於 TAO。
在持續的技術分析與攻擊溯源中,技術團隊還發現了一批伺服器 IP 地址,是 TAO 用來託管攻擊行動所使用的武器裝備。
此外,技術團隊還鎖定了 TAO 對西北工業大學實施網路攻擊的目標節點、多級跳板、主控平台、加密隧道、攻擊武器和發起攻擊的原始終端,發現了攻擊實施者的身份線索,成功查明 13 名攻擊者的真實身份。
而在堅持不懈的技術調查中,美國國安局攻擊西工大的另一圖謀也浮出水面:查詢中國境內敏感身份人員信息。
藉助網路攻擊武器,TAO 以「合法身份」成功混入運營商網路,在內網實施滲透拓展,先後控制運營商的服務質量監控系統和簡訊網關伺服器,再利用「魔法學校」等專門針對運營商設備的武器,查詢了一批中國境內敏感身份人員,並將相關信息打包加密,回傳到了美國國安局總部。
由此便能感受到:網路攻擊防不勝防,網路安全任重道遠。
世界經濟論壇《全球網路安全展望》報告顯示,2021 年,全球網路攻擊數量增加了一倍以上。
面對網路武器問題,國際刑警組織秘書長 Jurgen Stock 深深憂慮:也許當前由軍方開發使用的數字武器,明天就會被惡意黑客所利用。
永恆之藍,就是這種擔憂的一個實證。
由美國國安局開發的網路武器「永恆之藍」,被惡意黑客改造為 WannaCry 勒索病毒,在短短 5 個小時內,暴風驟雨般席捲了大半個地球,英國、俄羅斯、整個歐洲以及中國多個高校校內網、大型企業內網和政府機構專網中招,銀行、電力系統、通訊系統、能源企業、機場等重要基礎設施均受波及,損失慘重。
由此,WannaCry 化身為網路安全史上一個沉重的里程碑。
誰都無法保證,那些今日尚未公開、由國家開發的網路武器,明日不會被黑客掌握,甚至堂而皇之的在暗網被售賣。
誰都無法保證,今日針對西北工業大學的攻擊,明天不會有另一個受害者。
墨菲定律說:會出錯的事,總會出錯。
我們都清楚,那一天總會到來,這就是網路安全的終極本質:永無休止的攻防對抗。
參考資料:
1、https://weibo.com/ttarticle/x/m/show/id/2309404810286572896311?_wb_client_=1
2、https://weibo.com/ttarticle/x/m/show#/id=2309404818257147199763&_wb_client_=1
文 | 木子Yanni
嗨,這裡是淺黑科技,在未來面前,我們都是孩子。
想看更多科技故事,歡迎戳→微信公眾號:淺黑科技。
