? ? ? ? ? ?美國NSA下屬TAO對(duì)中國國內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬次的惡意網(wǎng)絡(luò)攻擊，控制了數(shù)以萬計(jì)的網(wǎng)絡(luò)設(shè)備（網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等），竊取了超過140GB的高價(jià)值數(shù)據(jù)。TAO利用其網(wǎng)絡(luò)攻擊武器平臺(tái)、“零日漏洞”（0day）及其控制的網(wǎng)絡(luò)設(shè)備等，持續(xù)擴(kuò)大網(wǎng)絡(luò)攻擊和范圍。

? ? ? ? ? ?TAO在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)中，先后使用了41種NSA的專用網(wǎng)絡(luò)攻擊武器裝備。并且在攻擊過程中，TAO會(huì)根據(jù)目標(biāo)環(huán)境對(duì)同一款網(wǎng)絡(luò)武器進(jìn)行靈活配置。例如，對(duì)西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊中使用的網(wǎng)絡(luò)武器中，僅后門工具“狡詐異端犯”（NSA命名）就有14個(gè)不同版本。技術(shù)團(tuán)隊(duì)將此次攻擊活動(dòng)中TAO所使用工具類別分為四大類，具體包括：漏洞攻擊突破類武器、持久化控制類武器、嗅探竊密類武器隱蔽消痕類武器。具體如下：

? ? ? ? ? ?1、漏洞攻擊突破類武器

? ? ? ? ? ?TAO依托此類武器對(duì)西北工業(yè)大學(xué)的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器、辦公內(nèi)網(wǎng)主機(jī)等實(shí)施攻擊突破，同時(shí)也用來攻擊控制境外跳板機(jī)以構(gòu)建匿名化網(wǎng)絡(luò)作為行動(dòng)掩護(hù)。此類武器共有3種：

? ? ? ? ? ?①“剃須刀”。此武器可針對(duì)開放了指定RPC服務(wù)的X86和SPARC架構(gòu)的Solarise系統(tǒng)實(shí)施遠(yuǎn)程漏洞攻擊，攻擊時(shí)可自動(dòng)探知目標(biāo)系統(tǒng)服務(wù)開放情況并智能化選擇合適版本的漏洞利用代碼，直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。此武器用于對(duì)日本、韓國等國家跳板機(jī)的攻擊，所控制跳板機(jī)被用于對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊。

? ? ? ? ? ?②“孤島”。此武器同樣可針對(duì)開放了指定RPC服務(wù)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊，直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。與“剃須刀”的不同之處在于此工具不具備自主探測目標(biāo)服務(wù)開放情況的能力，需由使用者手動(dòng)配置目標(biāo)及相關(guān)參數(shù)。NSA使用此武器攻擊控制了西北工業(yè)大學(xué)的邊界服務(wù)器。

? ? ? ? ? ?③“酸狐貍”武器平臺(tái)。此武器平臺(tái)部署在哥倫比亞，可結(jié)合“二次約會(huì)”中間人攻擊武器使用，可智能化配置漏洞載荷針對(duì)IE、FireFox、Safari、Android Webkit等多平臺(tái)上的主流瀏覽器開展遠(yuǎn)程溢出攻擊，獲取目標(biāo)系統(tǒng)的控制權(quán)（詳見：國家計(jì)算機(jī)病毒應(yīng)急處理中心《美國國家安全局（NSA）“酸狐貍”漏洞攻擊武器平臺(tái)技術(shù)分析報(bào)告》）。TAO主要使用該武器平臺(tái)對(duì)西北工業(yè)大學(xué)辦公內(nèi)網(wǎng)主機(jī)進(jìn)行入侵。

? ? ? ? ? ?2、持久化控制類武器

? ? ? ? ? ?TAO依托此類武器對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)進(jìn)行隱蔽持久控制，TAO行動(dòng)隊(duì)可通過加密通道發(fā)送控制指令操作此類武器實(shí)施對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)的滲透、控制、竊密等行為。此類武器共有5種：

? ? ? ? ? ?①“二次約會(huì)”。此武器長期駐留在網(wǎng)關(guān)服務(wù)器、邊界路由器等網(wǎng)絡(luò)邊界設(shè)備及服務(wù)器上，可針對(duì)海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過濾與自動(dòng)化劫持，實(shí)現(xiàn)中間人攻擊功能。TAO在西北工業(yè)大學(xué)邊界設(shè)備上安置該武器，劫持流經(jīng)該設(shè)備的流量引導(dǎo)至“酸狐貍”平臺(tái)實(shí)施漏洞攻擊。

? ? ? ? ? ?②“NOPEN”。此武器是一種支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬，可通過加密隧道接收指令執(zhí)行文件管理、進(jìn)程管理、系統(tǒng)命令執(zhí)行等多種操作，并且本身具備權(quán)限提升和持久化能力。TAO主要使用該武器對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制。

? ? ? ? ? ?③“怒火噴射”。此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構(gòu)的遠(yuǎn)控木馬，可根據(jù)目標(biāo)系統(tǒng)環(huán)境定制化生成不同類型的木馬服務(wù)端，服務(wù)端本身具備極強(qiáng)的抗分析、反調(diào)試能力。TAO主要使用該武器配合“酸狐貍”平臺(tái)對(duì)西北工業(yè)大學(xué)辦公網(wǎng)內(nèi)部的個(gè)人主機(jī)實(shí)施持久化控制。

? ? ? ? ? ?④“狡詐異端犯”。此武器是一款輕量級(jí)的后門植入工具，運(yùn)行后即自刪除，具備權(quán)限提升能力，持久駐留于目標(biāo)設(shè)備上并可隨系統(tǒng)啟動(dòng)。TAO主要使用該武器實(shí)現(xiàn)持久駐留，以便在合適時(shí)機(jī)建立加密管道上傳NOPEN木馬，保障對(duì)西北工業(yè)大學(xué)信息網(wǎng)絡(luò)的長期控制。

? ? ? ? ? ?⑤“堅(jiān)忍外科醫(yī)生”。此武器是一款針對(duì)Linux、Solaris、JunOS、FreeBSD等4種類型操作系統(tǒng)的后門，該武器可持久化運(yùn)行于目標(biāo)設(shè)備上，根據(jù)指令對(duì)目標(biāo)設(shè)備上的指定文件、目錄、進(jìn)程等進(jìn)行隱藏。TAO主要使用該武器隱藏NOPEN木馬的文件和進(jìn)程，避免其被監(jiān)控發(fā)現(xiàn)。技術(shù)分析發(fā)現(xiàn)，TAO在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中，累計(jì)使用了該武器的12個(gè)不同版本。

? ? ? ? ? ?3、嗅探竊密類武器

? ? ? ? ? ?TAO依托此類武器嗅探西北工業(yè)大學(xué)工作人員運(yùn)維網(wǎng)絡(luò)時(shí)使用的賬號(hào)口令、命令行操作記錄，竊取西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的敏感信息和運(yùn)維數(shù)據(jù)等。此類武器共有兩種：

? ? ? ? ? ?①“飲茶”。此武器可長期駐留在32位或64位的Solaris系統(tǒng)中，通過嗅探進(jìn)程間通信的方式獲取ssh、telnet、rlogin等多種遠(yuǎn)程登錄方式下暴露的賬號(hào)口令。TAO主要使用該武器嗅探西北工業(yè)大學(xué)業(yè)務(wù)人員實(shí)施運(yùn)維工作時(shí)產(chǎn)生的賬號(hào)口令、命令行操作記錄、日志文件等，壓縮加密存儲(chǔ)后供NOPEN木馬下載。

? ? ? ? ? ?②“敵后行動(dòng)”系列武器。此系列武器是專門針對(duì)電信運(yùn)營商特定業(yè)務(wù)系統(tǒng)使用的工具，根據(jù)被控業(yè)務(wù)設(shè)備的不同類型，“敵后行動(dòng)”會(huì)與不同的解析工具配合使用。TAO在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中使用了“魔法學(xué)?！?、“小丑食物”和“詛咒之火”等3類針對(duì)電信運(yùn)營商的攻擊竊密工具。

? ? ? ? ? ?4、隱蔽消痕類武器。

? ? ? ? ? ?TAO依托此類武器消除其在西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的行為痕跡，隱藏、掩飾其惡意操作和竊密行為，同時(shí)為上述三類武器提供保護(hù)?，F(xiàn)已發(fā)現(xiàn)1種此類武器：

? ? ? ? ? ?“吐司面包” ，此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡。TAO主要使用該武器清除、替換被控西北工業(yè)大學(xué)上網(wǎng)設(shè)備上的各類日志文件，隱藏其惡意行為。TAO對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中共使用了3款不同版本的“吐司面包”。