再添新证！网攻西工大的神秘黑客身份被锁定，为美国国安局工作人员，“二次约会”间谍软件是关键

每经编辑 毕陆名

据央视新闻9月14日消息，近日，国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析，分析报告显示，该软件是美国国家安全局（NSA）开发的网络间谍武器。

据技术分析报告显示，“二次约会”间谍软件是美国国家安全局（NSA）开发的网络间谍武器，该软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能，它与其他恶意软件配合可以完成复杂的网络“间谍”活动。

网攻西工大的神秘黑客身份被锁定

据央视新闻14日报道，近日，国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析，分析报告显示，该软件是美国国家安全局（NSA）开发的网络间谍武器。据了解，在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局（NSA）网络攻击案过程中，成功提取了这款间谍软件的多个样本，并锁定了这起网络间谍行动背后美国国家安全局（NSA）工作人员的真实身份。

图片来源：视觉中国

 

据技术分析报告显示，“二次约会”间谍软件是美国国家安全局（NSA）开发的网络间谍武器，该软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能，它与其他恶意软件配合可以完成复杂的网络“间谍”活动。

国家计算机病毒应急处理中心高级工程师杜振华：该软件是具有高技术水平的网络间谍工具，使攻击者能够全面接管被攻击的（目标）网络设备以及流经这些网络设备的网络流量，从而实现对目标网络中主机和用户的长期窃密，同时还可以作为下一阶段攻击的“前进基地”，随时向目标网络中投送更多网络攻击武器。

据专家介绍，“二次约会”间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上，其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。另外，“二次约会”间谍软件支持在各类操作系统上运行，同时兼容多种体系架构，适用范围较广。

国家计算机病毒应急处理中心高级工程师杜振华：该间谍软件通常是结合特定入侵行动办公室（TAO）的各类针对防火墙、网络路由器的网络设备漏洞攻击工具一并使用。一旦漏洞攻击成功，攻击者成功获得了目标网络设备的控制权限，就可以将这款网络间谍软件植入到目标的网络设备中。

报告显示，国家计算机病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查，经层层溯源，发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本，并发现被美国国家安全局（NSA）远程控制的跳板服务器，其中多数分布在德国、日本、韩国、印度和中国台湾。

国家计算机病毒应急处理中心高级工程师杜振华：在多国业内伙伴的通力配合下，我们的联合调查工作取得了突破性进展。目前已经成功锁定了针对西北工业大学发动网络攻击的美国国家安全局（NSA）相关工作人员的真实身份。

图片来源：视觉中国

 

美国家安全局对我国基础设施渗透控制

据央视新闻2022年9月27日报道，去年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击，随后西安警方正式立案调查，中国国家计算机病毒应急处理中心和360公司联合组成技术团队全程参与了此案的技术分析工作，并于去年9月5日发布了第一份“西北工业大学遭受美国NSA网络攻击调查报告”，调查报告指出此次网络攻击源头系美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）。2022年9月27日，技术团队再次发布相关网络攻击的调查报告，报告披露，特定入侵行动办公室（TAO）在对西北工业大学发起网络攻击过程中构建了对我国基础设施运营商核心数据网络远程访问的（所谓）“合法”通道，实现了对我国基础设施的渗透控制。

此次调查报告显示，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。

技术团队发现，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）经过长期的精心准备，使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击，部署“怒火喷射”远程控制武器，控制多台关键服务器。

图片来源：视频截图

 

报告显示，特定入侵行动办公室（TAO）通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据，掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。

技术团队根据特定入侵行动办公室（TAO）攻击链路、渗透方式、木马样本等特征，关联发现其非法攻击渗透中国境内的基础设施运营商，构建了对基础设施运营商核心数据网络远程访问的（所谓）“合法”通道，实现了对中国基础设施的渗透控制。

报告显示，特定入侵行动办公室（TAO）通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令，以（所谓）“合法”身份进入运营商网络，随后实施内网渗透拓展，分别控制相关运营商的服务质量监控系统和短信网关服务器，利用“魔法学校”等专门针对运营商设备的武器工具，查询了一批中国境内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

新华时评：抹黑中国洗不白“黑客帝国”

7月25日，新华社刊发题为《抹黑中国洗不白“黑客帝国”》的评论文章。文章指出，近一段时间，美国一些官员和机构频繁炒作“中国网络威胁论”，编造散播所谓“中国黑客”的谎言，企图将美国装扮成网络攻击“受害者”，转移国际社会视线并打压中国。然而，这招抹黑他人洗白自己的手段注定行不通。

美国才是名副其实的全球头号“黑客帝国”，其滥用技术优势在全球各地大搞监听、窃密的劣迹罄竹难书。从“棱镜”计划、“怒角”计划、“星风”计划，到“电幕行动”、“蜂巢”平台、“量子”攻击系统，这些被曝光的事实证据足以让美国坐实“黑客帝国”“监听帝国”“窃密帝国”的名号。美国情报机构的窃密手段五花八门，包括利用模拟手机基站信号接入手机盗取数据，操控手机应用程序、侵入云服务器，通过海底光缆进行窃密，利用美驻外使领馆对驻在国窃密等等。美国实施的是“无差别”监视监听，从竞争对手到盟友，甚至包括德国前总理默克尔、法国多任总统等盟国领导人以及联合国秘书长古特雷斯，无不在其监听范围。前段时间发生的美军方“泄密门”事件再次暴露了美国肆意对他国进行窃听、发动网络攻击等霸凌恶行。美国记者巴顿·格尔曼在《美国黑镜》一书中说：“没有可避难之地，没有可安息之所，美国政府不会接受任何地方处于其监控视野之外。”

文章指出，美国长期把中国作为网络攻击的主要目标之一，攻击对象涉及航空航天、科研机构、石油行业、大型互联网公司以及政府机构等。中国国家互联网应急中心网站发布的一份报告显示，2020年中国捕获计算机恶意程序样本数量超过4200万个，其中境外恶意程序主要来自美国，占比达53.1%。2020年，控制中国境内主机的境外计算机恶意程序控制服务器数量达5.2万个，其中位于美国的控制服务器数量同样高居首位。去年9月，中国有关机构发布报告，详细披露了美国家安全局网络攻击中国西北工业大学情况。

美国诬陷栽赃的调门越高，世人越能看清“黑客帝国”的真面目。奉劝执迷于网络霸权的美国反躬自省，停止对中国的网络攻击和恶意抹黑，还世界一个和平、安全、开放、合作、有序的网络空间。

每日经济新闻综合央视新闻、新华社

封面图片来源：视觉中国