“特定入侵办公室”（TAO）的攻击技术管窥

一、事件概述

2022年6月22日，西北工业大学发布《公开声明》，该校受到境外网络攻击。经过一系列调查溯源，全面还原了攻击事件的总体概貌、技术特征、攻击武器和攻击源头，初步结果显示，该攻击活动源于美国国家安全局（NSA）的“特定入侵办公室”（“TAO”）。

本文将会对NSA的攻击网络构建、所使用的武器装备做统计和总结。

• 二、TAO攻击网络的构建

根据溯源分析，攻击网络是由49台跳板机和5台代理服务器组成的匿名网络，这些跳板机仅使用了中转指令，将上一级的跳板指令转发到目标系统，从而掩盖美国国家安全局发起网络攻击的真实IP。

跳板IP举例如下：

序号 IP地址 归属地

1 211.119.××.×× 韩国

2 210.143.××.×× 日本

3 211.119.××.×× 韩国

4 210.143.××.×× 日本

5 211.233.××.×× 韩国

6 143.248.××.×× 韩国大田高等科学技术研究学院

7 210.143.××.×× 日本

8 211.233.××.×× 韩国

9 210.135.××.×× 日本

10 210.143.××.×× 日本

11 210.115.××.×× 韩国首尔国立江原大学

12 222.122.××.×× 韩国KT电信

13 89.96.××.×× 意大利伦巴第米兰

14 210.135.××.×× 日本东京

15 147.32.××.×× 捷克布拉格

16 132.248.××.×× 墨西哥

17 195.162.××.×× 瑞士

18 213.130.××.×× 卡塔尔

19 210.228.××.×× 日本

20 211.233.××.×× 韩国

21 134.102.××.×× 德国不莱梅大学

22 129.187.××.×× 德国慕尼黑

23 210.143.××.×× 日本

24 91.217.××.×× 芬兰

25 211.233.××.×× 韩国

26 84.88.××.×× 西班牙巴塞罗那

27 130.54.××.×× 日本京都大学

28 132.248.××.×× 墨西哥

29 195.251.××.×× 希腊

30 222.122.××.×× 韩国

31 192.167.××.×× 意大利

32 218.232.××.×× 韩国 首尔

33 148.208.××.×× 墨西哥

34 61.115.××.×× 日本

35 130.241.××.×× 瑞典

36 61.1.××.×× 印度

37 210.143.××.×× 日本

38 202.30.××.×× 韩国

39 85.13.××.×× 奥地利

40 220.66.××.×× 韩国

41 220.66.××.×× 韩国

42 222.122.××.×× 韩国

43 141.57.××.×× 德国莱比锡技术经济和文化学院

44 212.109.××.×× 波兰

45 210.135.××.×× 日本东京

46 212.51.××.×× 波兰

47 82.148.××.×× 卡塔尔

48 46.29.××.×× 乌克兰

49 143.248.××.×× 韩国大田高等科学技术研究学院

TAO基础设施技术处（MIT）人员通过将匿名购买的域名和SSL证书部署在位于美国本土的中间人攻击平台“酸狐狸”（FOXACID，NSA命名）上，对中国境内的大量网络目标开展攻击。

针对西北工业大学攻击平台所使用的5台代理服务器，NSA通过两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP，并租用一批服务器。

服务器IP举例如下：

序号 IP地址 国家 说明

1 190.242.××.×× 哥伦比亚 构建酸狐狸中间人攻击平台

2 81.31.××.×× 捷克 木马信息回传平台

3 80.77.××.×× 埃及 木马信息回传平台

4 83.98.××.×× 荷兰 木马信息回传平台

5 82.103.××.×× 丹麦 木马信息回传平台

三、TAO攻击所使用的武器装备

1、漏洞攻击突破类武器

TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。

①“剃须刀”

该武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击，攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击，利用所控制的跳板机对西北工业大学进行网络攻击。

②“孤岛”

该武器针对开放了指定RPC服务的Solaris系统实施远程溢出攻击，直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。

③“酸狐狸”武器平台

该武器平台部署在哥伦比亚，可结合“二次约会”中间人攻击武器使用，可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击，获取目标系统的控制权。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。

2、持久化控制类武器

TAO依托此类武器对西北工业大学网络进行隐蔽持久控制，TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。

①“二次约会”

该武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器，劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

②“NOPEN”

该武器是一种支持多种操作系统和不同体系架构的远控木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

③“怒火喷射”

该武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。

④“狡诈异端犯”

该武器是一款轻量级的后门植入工具，运行后即自删除，具备权限提升能力，持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留，以便在合适时机建立加密管道上传NOPEN木马，保障对西北工业大学信息网络的长期控制。

⑤“坚忍外科医生”

该武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程，避免其被监控发现。技术分析发现，TAO在对西北工业大学的网络攻击中，累计使用了该武器的12个不同版本。

3、嗅探窃密类武器

TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种：

①“饮茶”

该武器可长期驻留在32位或64位的Solaris系统中，通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等，压缩加密存储后供NOPEN木马下载。

②“敌后行动”系列武器

该系列武器是专门针对电信运营商特定业务系统使用的工具，根据被控业务设备的不同类型，“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。

4、隐蔽消痕类武器

TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。

“吐司面包”

该武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。

四、小结

随着信息化进程的加快和网络安全行业的快速发展，网络安全问题也如影随形。美国不择手段通过各种途径，对我国各大行业基础设施实施长期网络攻击活动和监听，窃取大量隐私数据、敏感信息、维护管理信息等等。给我国的网络安全、基础设施安全、社会安全、生产环境安全、经济安全、文化安全以及个人信息造成严重危害，极大影响正常工作、学习和生活。

此次事件为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴和防范的案例。同时，对西北工业大学发布公开声明予以肯定，该事件体现了西北工业大学的决心、毅力、实事求是，为国家、社会、学校负责到底的精神，值得学习借鉴。

同时，让大众意识到网络安全的重要性。网络信息安全不能仅靠硬件设备（杀毒软件、防火墙、漏洞检测）等的防护，还应意识到计算机网络系统是一个人机系统，计算机是安全保护的对象，但执行保护的主体是人，只有树立人的计算机安全意识，才有可能防微杜渐，同时还要不断进行网络信息安全保护技术手段的研究和创新，从而使网络信息能安全可靠地为公民服务。

参考下列文章：

https://mp.weixin.qq.com/s/CfkLGhqLB3hyVcDzqUQwJQ

发布平台： 360威胁情报中心