西工大遭网络攻击事件凸显美网络霸权行径

2022年6月22日，西北工业大学发布《公开声明》称其遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本，西安警方已对此正式立案调查。

本次调查发现，在近年里，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”（0day）及其控制的网络设备等，持续扩大网络攻击和范围。

从技术角度看，在针对西北工业大学的网络攻击中，TAO使用了40余种不同的NSA专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。并且在攻击过程中，TAO会根据目标环境对同一款网络武器进行灵活配置。研究人员将此次攻击活动中TAO使用的工具对应不同阶段的攻击，具体如下：

1.僵尸网络基础设施构建

Extremeparr：针对SunOS操作系统的“零日漏洞”利用工具；EXTREMEPARR（CVE-2017-3622）和 EBBISLAND（CVE-2017-3623）是影子经纪人组织拍卖的工具之一，这两个工具包含针对 Solaris 操作系统的 0 day 漏洞。CVE-20 17-3622 利用 dtappgather 文件权限和 setuid 二进制文件进行提权，CVE-2017-3623 攻击 RPC 服务并获得远程 shell。利用这两个工具漏洞可以在 Solaris 上远程获取 root 访问权限。

Ebbshave（剃须刀）：此武器可针对开放了指定RPC服务的X86和SPARC架构的Solaris系统实施远程溢出攻击，攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权。

2.边界突破

Ebbisland（孤岛）：此武器可针对开放了制定RPC服务的Solaris系统实施远程溢出攻击，直接获取对目标主机的完整控制权。与“剃须刀”（ebbshave）工具不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动选择欲打击的目标服务。

3.准备内网二次突破Seconddate（二次约会）.此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。TAO在目标网络的边界设备上安置该武器，劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

4.办公内网突破Foxacid （酸狐狸）.此武器平台部署在哥伦比亚，可结合“二次约会”seconddate中间人攻击武器使用，可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击，获取目标系统的控制权。

5.内网持久化DanderSpritz（怒火喷射）.此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的控守型木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对目标网络中办公网内部的个人主机实施持久化控制。SlyHeretic（狡诈异端犯）.此武器是一款轻量级的后门植入工具，运行后即自删除，具备提权功能，持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留，以便在合适时机建立加密管道上传NOPEN木马，保障对目标网络的长期控制。

NOPEN：此武器是一种支持多种操作系统和不同体系架构的控守型木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力。TAO主要使用该武器对目标网络内部的核心业务服务器和关键网络设备实施持久化控制。

6.防御绕过Stoicsurgeon（坚忍外科医生）.此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程，避免其被监控发现。该武器有很多版本，内核不同，使用的版本不同。

7.主机信息收集Suctionchar（饮茶）.此武器可长期驻留在32位或64位的Solaris系统中，通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。

8.内网信息收集Enemyrun（敌后行动）：此系列武器是专门针对运营商特定业务系统使用的工具，根据被控业务设备的不同类型，“敌后行动”会与不同的解析工具配合使用。比如可配合“魔法学校”、“小丑食物”和“诅咒之火”等针对运商的攻击窃密工具。

9.痕迹清除Toast（吐司面包）.此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。

早在此前，美国就频繁地对其他国家发起网络攻击，却还自称是“网络安全卫士”，甚至给别国扣上“网络安全威胁者”的帽子。

2010年，一种名为“震网”（Stuxnet）的蠕虫病毒，利用系统安全漏洞，袭击了伊朗的核设施，这是大国首次以极具侵略性的方式运用强大的网络武器。在伊朗纳坦兹铀浓缩基地，至少有五分之一的离心机因为感染“震网”而遭到破坏。“震网”病毒危害巨大的一个重要原因，在于它所攻击的是“零日漏洞”。2015年，路透社曾在报道中指出，美国政府是“零日漏洞”的最大买家。

美国国家安全局承包公司前雇员、曝光“棱镜计划”的斯诺登曾公布一份“绝密”文件，证实2010年5月TAO曾成功侵入墨西哥总统域名的关键电子邮件服务器，进入时任墨西哥总统卡尔德龙（Felipe Calderon）的电子邮箱。这个邮件域名也被墨西哥政府官员使用，包含外交、经济信息以及领导人之间的通信。

斯诺登还爆料称，2013年，英国情报机构曾成功入侵比利时电信公司Belgacom的员工计算机，背后也得到了TAO的技术支持。

2020年6月底至7月初，俄中央选举委员会网站遭到来自美国及其盟友猛烈的网络攻击。当时俄罗斯宪法2020这个官网，每秒被访问次数达到24万次，而这些攻击来自美国、德国、英国及乌克兰。俄罗斯军事专家列奥科夫指出，从2019年的委内瑞拉局势动荡到2020年的白俄罗斯骚乱，也都有美国网络部队的幕后操控。

国家计算机病毒应急处理中心报告显示，在近年里，美国国家安全局下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，窃取了超过140GB的高价值数据。

美国国防部将网络空间视为继陆地、海洋、空中和太空之后的第五维战场，试图通过网络间谍活动和网络攻击活动来维护其霸主地位，肆意破坏别国网络，对全球的网络安全造成了严重的威胁。面对美国的网络霸权行为，越来越多的国家已经认清其本质，携手构建网络空间命运共同体，正逐渐成为全球共识。