被窃取超140G网络数据，TAO到底是什么？| 调查细节公布

国家计算机病毒应急处置中心，央视新闻2022年6月22日，西北工业大学发布《公开声明》，称该校受到国外网络攻击。 陕西省西安市公安局碑林分局很快公布了《警情通报》，证实在西北工业大学的信息网络中发现了很多来自国外的木马样本，西安警方对此正式立案调查。 国家计算机病毒应急处置中心和360公司联合组建技术团队(以下简称“技术团队”)参与该事件的技术分析。 技术团队先后从西北工业大学多个信息系统和互联网终端提取了多个木马样本，综合使用国内现有数据资源和分析手段，在欧洲、南亚部分国家合作伙伴的协助下，对相关攻击事件的总体概况、技术特点、攻击全面恢复攻击路径和攻击源，相关攻击活动进入美国国家安全局( NSA )“特定入侵行动办公室”(一、攻击事件概况据调查，近年来，美国NSA下属的TAO对中国国内网络目标实施了数万次恶意网络攻击控制数以万计的网络设备(网络服务器、互联网终端、网络交换机、电话交换机、路由器、防火墙等)，窃取了超过140GB的昂贵数据。 北约利用其网络攻击武器平台、“零日漏洞”( 0day )及其控制的网络设备等，不断扩大网络攻击范围。 经过技术分析和跟踪，技术团队目前已查明了TAO攻击活动中使用的网络攻击基础设施、专用武器装备和技战术，恢复了攻击过程和被盗文件，美国国安局及其下属TAO对中国信息网络实施了网络攻击和数据窃听美国国内直接对中国发起网络攻击的人员有13名，国安局为了通过掩护公司构筑网络攻击环境与美国电信运营商签订的合同有60多份，电子文件有170份二、攻击事件分析在对西北工业大学的网络攻击中， TAO使用40多种不同类型的NSA专用网络攻击武器，继续对西北工业大学进行攻击，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。 经取证分析，技术团队累计发现西北工业大学内部有攻击者渗透的攻击链路约1100条，操作命令列约90条，从入侵的网络设备中，发现被盗网络设备的配置文件、被盗网络具体情况分析如下： (一)为支持相关网络攻击基础设施的攻击行动，TAO在行动开始前做了较长时间的准备工作，主要进行匿名攻击基础设施的建设。 TAO利用针对SunOS操作系统的两个“零日漏洞”使用工具，选择了中国周边国家的教育机构、商业公司等网络APP流量较大的服务器作为攻击目标。 攻击成功后，安装了NOPEN木马程序(详见研究报告)，控制了很多棋盘机。 TAO在对西北工业大学的网络攻击活动中使用了54台跳汰机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。 这些棋盘机的功能仅限于命令中继。 这意味着将更高级别的板命令转发到目标系统，以隐藏NSA发起网络攻击的实际IP。 目前，至少TAO根据其访问环境(美国国内电信运营商)掌握控制板卡机的4个IP地址，分别是209.59.36.*、69.165.54.*、207.195.240.* 另外，为了进一步隐藏契机、代理服务器和NSA之间的关联，NSA利用美国Register公司的匿名保护服务，对相关域名、证书、注册者等可追溯性信息进行匿名化处理，无法通过公开途径进行查询。

技术团队通过对威胁信息数据的相关性分析，发现西北工业大学攻击平台使用的网络资源共涉及5台代理服务器。 国安局通过两家秘密设立的掩护公司向美国特里马克( Terremark )公司购买了埃及、荷兰、哥伦比亚等地的IP地址，并租用了服务器。 这两家公司分别是杰克史密斯咨询公司( Jackson Smith Consultants )、穆勒多元系公司( Mueller Diversified Systems )。 另外，技术团队还发现，taoinfrastructuretechnology ( MIT )工作人员使用“阿曼达拉米雷斯”Amanda Ramirez”的名字，与域名共享的SSL证书( id:e 42 D3 bea 0a 1610 a ) 随后，上述域名和证书部署在位于美国本土的中间人攻击平台“酸狐”( Foxacid )上，对中国大量网络目标展开攻击。 特别是，TAO对西北工业大学等中国信息网络目标展开了多次持续性攻击、窃听行动。 (二)相关网络攻击武器TAO在对西北工业大学的网络攻击行动中，先后使用了41种国安局专用网络攻击武器装备。 此外，在攻击过程中，TAO会根据目标环境灵活配置相同的网络武器。 例如，在对西北工业大学实施网络攻击时使用的网络武器中，仅后门工具“狡猾的异端”( NSA命名)就有14个不同的版本。 技术团队将此次攻击活动中TAO使用的工具类别分为四大类，具体为： 1、漏洞攻击突破类武器TAO依托此类武器对西北工业大学边界网络设备、网关服务器、办公室内网主机等实施攻击突破这样的武器共有三种。 “剃须刀”该武器可以对已开放指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击，攻击时自动探测目标系统的服务开放情况，并获取相应版本的漏洞利用代码该武器用于对日本、韩国等国家跳板机的攻击，控制的跳板机用于对西北工业大学的网络攻击。 “孤岛”此武器同样可以对开放指定RPC服务的Solaris系统执行远程溢出攻击，直接获得目标主机的完全控制权。 与“剃须刀”的不同之处在于，该工具不具备自主检测目标服务开放情况的能力，需要使用者手动定位目标和相关参数。 国安局使用这个武器攻击控制了西北工业大学的边界服务器。 “酸狐狸”武器平台该武器平台部署在哥伦比亚，可与“二次约会”中间人攻击武器配合使用。 可以智能设置漏洞负载对IE、FireFox、Safari、Android Webkit等多平台上的主要浏览器进行远程溢出攻击，获得目标系统的控制权( TAO主要是这种2、持续化控制类武器TAO通过此类武器对西北工业大学网络进行隐藏持续控制，TAO行动队可以通过加密通道发送控制指令，操作此类武器实施对西北工业大学网络的渗透、控制、窃听等行为。 这样的武器共有六种。 “二次约会”该武器长期驻留在网关服务器、边界路由器等网络边界设备和服务器上，对海量数据流量进行精确过滤和自动劫持，实现中间人攻击功能。 TAO在西北工业大学边界设备上安装该武器，劫持流经该设备的流量并将其引导至“酸模狐狸”平台实施漏洞攻击。 “NOPEN”该武器是一种支持多种操作系统和不同体系结构的远程操作木马，可以通过加密隧道接受指令执行文件管理、进程管理、系统指令执行等多种操作，且自身具有权限提升和可持续能力。 (详见国家计算机病毒应急处置中心《美国国家安全局（NSA）“酸狐狸”漏洞攻击武器平台技术分析报告》。

TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持续化控制。 “怒发冲冠”该武器是一种远程操作木马，支持与基于Windows系统的多种操作系统不同的体系结构，可以根据目标系统环境定制生成不同类型的木马服务端TAO主要使用该武器配合“酸模狐狸”平台对西北工业大学办公网络内部的个人主机实施持续化控制。 “狡猾的异端”该武器为轻型后门植入工具，运行后可立即删除，具备提升权限能力，可持续驻留目标设备，随系统启动。 TAO主要使用该武器实现持久驻留，及时建立加密管道上传NOPEN木马，保障西北工业大学信息网络的长期控制。 参考译文：“耐心外科医生”此武器是对Linux、Solaris、JunOS、FreeBSD等四种操作系统的后门，可持续在目标设备上运行，并根据命令在目标设备上的指定文件、文件TAO主要使用这种武器隐藏NOPEN木马的文件和流程，以便被监视和发现。 技术分析表明，TAO在对西北工业大学的网络攻击中，累计使用了该武器的12个不同版本。 3、嗅探武器TAO利用此类武器窃取西北工业大学员工运维网络时使用的账号密码、命令行操作记录、西北工业大学网络内部机密信息和运维数据等。 这些武器包括：“饮茶”武器长期驻留在32位或64位Solaris系统上，通过嗅探进程间通信获取通过ssh、telnet、rlogin等多种远程登录方式暴露的帐户密码TAO主要使用该武器对西北工业大学业务员实施运输业务时产生的账号密码、命令行操作记录、日志文件等进行嗅探，对加密存储进行压缩后下载到NOPEN木马上。 “敌后行动”系列武器该系列武器是电信运营商特定业务系统专用的工具，根据被控业务设备的种类，“敌后行动”与不同的分析工具配合使用。 TAO在对西北工业大学的网络攻击中，使用了针对“魔法学校”、“小丑食物”、“诅咒之火”三种通信运营商的攻击窃听工具。 4、隐蔽消痕类武器TAO通过此类武器消除西北工业大学网络内部的行为痕迹，在隐藏、隐藏恶意操作和窃听行为的同时，为上述三类武器提供保护。 现在发现了一种这样的武器。 “吐司面包”。 此武器可以查看和修改utmp、wtmp、lastlog等日志文件，以消除操作痕迹。 TAO主要使用此武器删除和交换西北工业大学互联网设备上的各种日志文件，以掩盖恶意行为。 TAO对西北工业大学的网络攻击使用了三种不同版本的“吐司面包”。 三、攻击跟踪技术团队结合上述技术分析结果和跟踪调查情况，对西北工业大学实施网络攻击行动的是美国国家安全局( NSA )信息部(代号s )数据调查局)代号S3 )下属的TAO )代号S32 该部门成立于1998年，其力量的部署主要依靠美国国家安全局( NSA )的美国和欧洲各密码中心。 目前已公布的六个加密中心分别是： 1、美国马里兰州米德堡的美国国家安全局总部；2、美国夏威夷瓦胡岛的美国国家安全局夏威夷加密中心( NSAH )； 3、美国佐治亚州戈登堡国安局乔治亚密码中心( NSAG )； 4、美国德克萨斯州圣安东尼奥的国安局德克萨斯密码中心( NSAT )； 5、美国科罗拉多州丹佛麦克利空军基地国安局科罗拉多密码中心( NSAC )； 6、德国达姆施塔特美军基地国安局欧洲密码中心( NSAE )。

北约现在是美国政府对其他国家实施大规模网络攻击和秘密活动的战术实施机构，由2000多名军人和文职人员组成。 其内设机构如下。 第一位置：远程操作中心( ROC，代号S321 )，主要操作武器平台和工具来访问和控制目标系统或网络。 其次，高级/接入网络技术处( ANT，代号S322 )负责研究相关硬件技术，并向TAO网络攻击行动提供硬件相关技术和武器装备支持。 第三，数据网络技术部( DNT，代号S323 )负责开发复杂的计算机软件工具，为TAO运营商执行网络攻击任务提供支持。 第四，电信网络技术处( TNT，代号S324 )负责电信相关技术的研究，支持TAO操作人员隐身渗透电信网络。 第五，任务基础设施技术处( MIT，代号S325 )负责开发和建立用于攻击移动网络环境和匿名网络的网络基础设施和安全监测平台。 访问第六个地方( ATO，代号S326 )，负责通过供应链送达目标产品的后门设置。 第七地点：需求与定位站( RT，代号S327 )，接受各相关单位任务，确定侦察目标，分析评估情报价值。 S32P )项目规划整合处( PPI，代号S32P )，负责总体规划和项目管理。 NWT :网络战团队( NWT )负责与网络战团队的联络。 美国国家安全局( NSA )对西北工业大学的攻击行动编号为“xxxx”( shot xxxx )。 该行动由TAO负责人直接指挥，MIT(s325 )负责建立侦察环境、租用攻击资源； 由rt(s327 )负责决定攻击行动战略和情报评估； ant(s322 )、ant(s322 )、ant(s322 )负责提供技术支持； roc(s321 )组织攻击侦察行动。 由此可见，直接参与指挥和行动的主要是TAO负责人、S321和S325机构。 国安局入侵西北工业大学期间的TAO负责人是罗伯特乔伊斯( Robert Edward Joyce )。 这个人出生于1967年9月13日，在汉尼拔高中上学。 1989年毕业于克拉克森大学，获学士学位，1993年毕业于约翰斯霍普金斯大学，获硕士学位。 1989年加入了国安局。 曾任TAO副主任，2013年至2017年担任TAO主任。 从2017年10月开始担任美国国土安全顾问的代理。 2018年4月至5月，担任美国白宫国务安全顾问后，返回国安局担任国安局网络安全局长网络安全战略高级顾问，目前担任国安局网络安全负责人。 四、总结本次报告，基于国家计算机病毒应急处置中心和360家联合技术团队的分析成果，揭示了美国国安局长期以来对包括西北工业大学在内的中国信息网络用户和重要机构开展网络间谍活动的真相。 随后，技术小组将陆续公布相关事件调查的更多技术细节。

技术小组公开更详细的信息

西安市公安局碑林分局副局长靳琪：西北工业大学是目前我国从事航空、航天、航海工程教育和科研领域的重点大学，拥有众多国家顶级科研队伍和高端人才，承担着国家许多重点科研项目，地位非常特殊，网络安全非常重要由于其特殊的地位和所从事的敏感科学研究，成为了这次网络攻击的目标。

调查报告显示，美国国家安全局( NSA )在对西北工业大学的网络攻击活动中，使用了41种专用网络攻击武器装备，仅后门工具“狡猾异端犯”( NSA命名)就有14种不同的版本。

360公司网络安全专家边亮：前期的话，有几个侦查模块。 侦查结果显示，一些目标环境需要例如窃取密码、窃取重要信息，还需要根据不同情况、不同系统、不同平台定制武器攻击、不同配送。

经取证分析，技术团队累计发现西北工业大学内部有攻击者渗透的攻击链路约1100条，操作命令列约90条，被入侵网络设备中被盗网络设备的配置文件、网络钓鱼

技术小组将此次攻击活动中使用的武器种类分为四类，具体如下： 1、漏洞攻击突破型武器； 2、持续化控制类武器； 3、窃听隐密类武器4、隐匿消痕类武器。

国家计算机病毒应急处置中心高级工程师杜振华：你说从最初的这种漏洞攻击突破，突破后，再投送这第二类，持续控制系统的武器道具。 好了，进入第三类。 那么，它会实现这个嗅探者的窃听。 那么，长期潜伏会窃取我们的重要数据。 然后，将这次攻击活动，认为它是任务完成后，开始使用第4类武器的是隐藏痕迹类。 清理现场，避免被受害者发现。

此次调查报告显示，美国国家安全局( NSA )利用大量网络攻击武器，长期对我国各行业龙头企业、政府、高校、医疗、科研等机构进行秘密黑客活动。

360公司创始人周鸿祎：国家的这种以科研机构、政府部门、军工、高校等为目标，窃取信息、窃取数据。 从攻击到策划到部署，通过这个漫长的跳板，到核心岗位，可能持续的时间长达数年。 那么，危害也非常大。 将来我们整个国家都在进行数字化，所以我们很多重要的这类业务都是由数据驱动的。 我认为数据被盗或破坏会带来严重的风险。

调查显示，国安局还利用其控制的网络攻击武器平台“Oday”、互联网设备，对中国手机用户进行无差别语音拦截，非法窃取手机用户短信内容，通过无线定位。

NSA隐藏真实的IP，精心伪装网络攻击的痕迹

根据这次的调查报告，美国国家安全局( NSA )为了隐匿对西北工业大学等中国信息网络实施网络攻击的行为，进行了长时间的准备，并进行了精心的伪装。

据技术团队分析，美国国家安全局( NSA )旗下的特定入侵行动办公室( TAO )在行动开始前进行了较长时间的准备工作，主要进行匿名化攻击基础设施的建设。 特定移动办公室( TAO )利用针对SunOS操作系统的两个“零日漏洞”使用工具，将中国周边国家的教育机构、商业公司等网络APP流量较大的服务器选为攻击目标。 攻击成功后，安装了NOPEN木马程序，控制了很多棋盘机。

特定行动办公室( TAO )在对西北工业大学的网络攻击行动中使用了54台跳汰机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等其中，隐藏实际IP的棋盘机经过精心挑选，所有IP均属于非“五眼联盟”国家。

西北工业大学攻击平台使用的网络资源涉及代理服务器，美国国家安全局( NSA )通过秘密设立的两家掩护公司购买了埃及、荷兰、哥伦比亚等地的IP，并租用了服务器。

国家计算机病毒应急处理中心高级工程师杜振华：使用的是这种虚拟身份，或者代理人身份。 那么，我就借用网上的这样的服务器、IP地址、域名来购买。 此外，还可以通过这种网络攻击手段在对方不知情的情况下接管第三方用户的这种服务器资源。 那么实施网络攻击，借这样的刀实现杀人的效果。

国安局美国国家安全局为了保护其身份安全，使用了美国隐私保护公司的匿名保护服务。 相关域名和证书指向无关人员，以掩盖攻击平台对西北工业大学等中国信息网络的持续攻击、窃听行为。

国家计算机病毒应急处置中心高级工程师杜振华：有了这些棋盘机，TAO就可以躲在这些棋盘机后面，对目标发动网络攻击。 这样从受害者的角度来看，即使他发现了攻击，实际上也是这些跳汰机的。 这样起到一个作用，就是保护实际的攻击方网络地址。

技术团队还表示，在相关网络攻击活动开始前，美国国家安全局( NSA )在美国多家大型知名互联网企业的协助下，将向美国国家安全局等情报机构提供中国大量通信网络设备的管理权限，为持续侵入中国境内的重要信息网络打开方便之门

TAO到底是什么？

调查报告显示，美国国家安全局( NSA )旗下的“特定入侵行动办公室”( TAO )不仅对中国国内各重点企业和机构实施恶意网络攻击，还长期对中国手机用户进行无差别语音监听，对手机用户的短信那么，这个简称TAO的特定入侵行动办公室到底是什么样的机构呢？

技术分析和网上跟踪调查表明，实施此次网络攻击行动的美国国家安全局( NSA )下属的特定入侵行动办公室( TAO )部门成立于1998年，其力量部署主要依靠美国和欧洲的各个密码中心。 目前公开的六个密码中心分别是：

1、国家安全局马里兰州米德堡总部

2、瓦湖岛国安局夏威夷密码中心( NSAH )；

3、戈登堡国安局乔治亚密码中心( NSAG )；

4、圣安东尼奥国家安全局德克萨斯密码中心( NSAT )；

5、丹麦克利空军基地国安科罗拉多密码中心( NSAC )；

6、德国达姆施塔特美军基地国安局欧洲密码中心( NSAE )。

特定行动办公室TAO是目前美国政府对其他国家实施大规模网络攻击秘密活动的战术实施机构，由2000多名军人和文职人员组成。 设定10个单位：

1、远程操作中心( ROC，代号S321 )，主要操作武器平台和工具访问和控制目标系统或网络。

2、先进/接入网技术处( ANT，代号S322 )，负责相关硬件技术研究，为TAO网络攻击行动提供硬件相关技术和武器装备支持。

3、数据网络技术处理( DNT，代号S323 )负责开发复杂的计算机软件工具，为TAO运营商执行网络攻击任务提供支持。

4、电信网络技术处( TNT，代号S324 )负责电信相关技术研究，为TAO操作人员提供隐蔽渗透电信网络支持。

5、任务基础设施技术处( MIT，代号S325 )负责开发和建立网络基础设施和安全监测平台，建立攻击移动网络环境和匿名网络。

6、接入目的地( AO，代号S326 )，负责通过供应链到达目标的产品后门安装。

7、需求与定位( RT，代号S327； 接受各有关单位任务，确定侦察目标，分析评估情报价值。

8、访问技术行动处( ATO，编号S328 )，负责接触式窃听装置的开发，配合美国中央情报局和联邦调查局人员，通过人力接触方式将窃听软件或装置安装到目标计算机和电信系统上。

9、S32P :项目规划整合处( PPI，代号S32P )，负责总体规划和项目管理。

10、NWT :网络战团队( NWT )负责与133个网络战团队的联络。

美国国家安全局对西北工业大学攻击的窃听行动负责人是罗伯特乔伊斯( Robert Edward Joyce )。 此人出生于1967年9月13日，1989年进入美国国家安全局工作。 曾任“特定入侵行动办公室TAO”副主任、主任，现任美国国家安全局国安局网络安全负责人。

360家网络安全专家边亮：据我们了解，( TAO )代表了全球网络攻击的最高级别。 他们拥有的大量攻击武器，就像拥有互联网万能钥匙一样，可以访问任意目的设备，进行信息窃取和破坏等动作。

你的信息可能也泄露了！

专家呼吁提高网络安全性

调查报告显示，此前，美国国家安全局( NSA )长期对我国各行各业的龙头企业、政府、大学、医疗机构、科研机构，乃至关系国计民生的重要信息基础设施运输机构等机构进行秘密黑客活动。 其行为或严重危害我国国防安全、关键基础设施安全、金融安全、社会安全、生产安全及公民个人信息，值得我们深思和警惕。

这次西北工业大学联合中国国家计算机病毒应急处置中心和360公司，全面恢复了几年来美国国家安全局( NSA )利用网络武器发动的一系列攻击行为，打破了美国对我国单方面透明的优势。 对于有国家级背景的强大对手，首先要知道风险在哪里，是什么样的风险，什么时候是风险。

360公司创始人周鸿祎：如果能迅速发现，就能看到这个威胁，感知到这个攻击。 可以确立可追溯性，知道从哪里进来的，他们是用什么样的洞进来的，在处理、打扫的同时，可以修补所有需要修补的洞。

调查报告显示，西北工业大学此次发表声明称，受到国外网络攻击，本着实事求是、绝不姑息的决心，坚决调查到底、积极采取防御措施的行动值得全球国安局网络攻击活动的受害者学习

本期编辑邹姗姗

• 上一篇：上海抗原检测结果在哪查询，上海今天抗原检测全市结果如何
• 下一篇：魔兽世界怀旧服60级号制造流程，魔兽世界怀旧服58到60要多少经验