13名美国网络攻击者“显形”，为何攻击西工大？美国究竟想怎样？

西北工业大学遭美国国安局攻击最新调查结果出炉：13名NSA成员身份已确认！西工大惹谁了？美国到底想怎样？

9月5日我国公布了西北工业大学遭美国国家安全局NSA网络攻击事件，近日，又发布了一份报告。不但公布了NSA攻击西工大的方式，还确认了13名攻击者的真实身份！

美国网络攻击西工大事件始末

事情先从6月22日西工大发表《公开声明》讲起，该声明生成学校遭受到了来自境外的网络攻击。随后，当地的公安部门发布《警情通报》证实了此事。

紧接着国家队下场，国家计算机病毒应急处理中心联合知名的杀毒公司合作，对本次事件进行了专业的技术分析，过程中还获得了欧洲、南亚部分国家合作伙伴的支持配合，终于判断出本次攻击来自于臭名昭著的美国国家安全局NSA旗下的特定入侵行动办公室（Office of Tailored Access Operation，简称TAO）。

TAO成立于1998年，是美国发动对外网络攻击时最重要的指挥枢纽。主要负责窃取他国的网络信息情报，该部门由多个网络战斗小队组成，每个小队都分包给承包商来运作。

本次攻击，TAO采用了四个方面的手段：

1. 单点突破、级联渗透。

美军长期施行针对他国网络的攻击行为，并设置多台服务器组成平台。其中针对中国和俄罗斯目标设置了专用的“酸狐狸”平台，其标号F0X00-6401的就是针对中国目标的服务器。本次攻击是TAO经过长期准备，利用“酸狐狸”平台劫持攻击西工大内部主机和服务器。先后控制了运维网、办公网，然后获取重要网络节点的控制权，窃取身份验证数据，实现逐步数据。就好比如说是盗用了西工大人员的通行证，进入了图书馆。

2.隐蔽驻留、“合法”监控；

TAO攻击的行为非常隐蔽，极其善于隐身。长期隐蔽控制西工大的服务器，偷偷替换三个原系统文件和三类系统日志，消除掉自己存在的痕迹。就像是更改收银系统后台账单，消除掉自己的消费记录。

还通过盗用网络设备配置文件，远程“合法”操控网络设备。就如同换了保安的马甲，遛进保安室调取监控录像。在外人眼中，这些举动都是“合法”的。

3.搜集身份验证数据、渗透基础设施；

TAO通过窃取工作人员的账户密码，又偷到了一批网络设备密码。再伪装成西工大人员的方式，渗透到其他基础设施运营商，即伪装身份对身边部门进行攻击。

4..控制重要业务系统，实施用户数据窃取。

在以上的几步操作之后，TAO还窃取了我国基础设备运营商防火墙的账号密码，以“合法”身份渗透到运营商的网络，窃取了一批敏感身份人员信息。就如同换了网络公司后台人员的身份，对用户资料进行窃取。

攻击方式被查出，攻击时间、节点也被确认

虽然TAO的行动非常狡猾，但是我国的网络安全人员也不遑多让，不但查出了他们的攻击方式，连攻击的具体时间点、攻击路径都在《公告》中清清楚楚地列了出来。各种偷偷摸摸的行为都被昭告天下。

五个致命要点，令TAO露出狐狸尾巴

之所以我们能够查到并确定TAO的罪恶行径，是因为他们在这五个环节露出了马脚。

1. 网络攻击的实施时间与美国工作时间完全吻合。

经过大数据分析，98%的攻击行为发生在美国东部时间上午九点到下午四点，正好符合当地的工作时间段，周六、周日均没有攻击行为。美国的三天纪念日假期，一天独立日假期，都没有发动攻击。多年的圣诞节期间，网络攻击都静默了。由此可见，美国发动网络攻击真是毫无忌惮。不做掩饰，而且作息规律，从不加班。这一点已经让很多996的国人愤怒了！

2.语言行为彰显美式风格

攻击者有着明显的美式英语特点，被操控的设备上均安装应为操作系统以及多项英文版的应用程序，而且攻击者使用美式键盘输入。这些特点很明显体现了美式风格。

3.操作失误暴露工作路径

如果说以上两点还只能算是猜测，这一点就非常致命了。由于攻击者的操作疏忽，在上传脚本工具是出现人为失误，脚本执行后出现错误信息，暴露了攻击者的行踪。

4.多项武器已被曝光

“影子经纪人”是个神秘的黑客组织，该组织在2017年5月曝光了美国国安局NSA众多病毒代码，让NSA的无耻行径得以昭示天下。同时，在被曝光的众多网络攻击武器中，有16款就是本次攻击使用的武器。另外还有23款病毒与被曝光的武器有97%的相似度。高度的同源性将证据直指NSA的TAO。

5.网络攻击早在曝光前就以开始。

在被曝光之前，TAO就已经对西工大进行了网络攻击，早早地植入了木马。可见这是处心积虑，蓄谋已久的攻击。

种种迹象让TAO露出了“狐狸尾巴”。我们的本次通告，不仅公开了整个事件的来龙去脉，还确认了13名美国攻击者的真实身份。天网恢恢疏而不漏，不知身在大洋彼岸的13人是否已经吓得瑟瑟发抖呢？

回顾事件，不禁令人好奇：西工大惹谁了？

为何攻击西北工业大学？它有多厉害呢？

西北工业大学直属工业和信息化部，同时发展航空、航天、航海工程教育和科研工作。“985”、“211”、“双一流”都有它的身影。被称为“国防七子”，在美国的制裁名单中，西工大也位列其中。

我国歼-20总设计师杨伟、运-20总设计师唐长红、歼-15常务总师赵霞都是西工大78级的同班同学。还有轰-20、直-20等众多代表性机型总设计师都来自于西工大。

由此可见，西工大对于我国的国防事业培养了大批人才。这也就难怪成为美国攻击的目标了。

美国究竟打着什么算盘？

至于美国从西工大窃取了什么资料？有一个事情可以侧面说明：目前美国尚没有高超音速试验风洞，近几年的相关研究也屡屡受挫。但美国军方宣称2023年部署高超音速导弹，那么他们的试验数据是从哪里得来的？这种非常类似我国东风系列的导弹，很难不令人怀疑，是否是从西工大窃取的数据。

其实这并不是美国第一次被抓“现行”了。二十年前斯诺登曝光的“棱镜”窃听计划就已经让世人认清了美国的真面目。在这二十年间，美国不但没有悔过，反而变本加厉，长期监听、渗透、控制他国网络系统。

当今世界并不太平，现实世界与虚拟网络都是暗流涌动。本次我们将美国的丑恶行径的公开示众，足以让美国难堪，但很难撼动美国攻击他国网络的决心。

面对美国的攻击，我们唯有练就一身过硬本领，正面迎敌，以实力捍卫网络上的“国土安全”！打赢这一场没有硝烟的战争！

作者：方骥 校稿：川川