西安工业大学成考毕业证模板（NSA使用此武器攻击控制了西北工业大学的边界服务器）

国家计算机病毒应急处理中心，央视新闻

西北工业大学于2022年6月22日发布公开声明，称该校遭受海外网络攻击。陕西省西安市公安局北林分局立即发布了《警方通知》，证实西北理工大学信息网发现了许多海外木马样本，西安警方已正式立案调查。

国家计算机病毒应急处理中心和360公司联合组建了技术团队（以下简称技术团队），参与了本案的技术分析。技术团队从西北理工大学的多个信息系统和互联网终端中提取了多个木马样本，综合利用现有的国内数据资源和分析手段，得到了欧洲和南亚一些国家合作伙伴的全力支持，全面还原相关攻击事件的总体概况、技术特征、攻击武器、攻击路径和攻击源，初步判断相关攻击来自美国国家安全局（NSA）特定入侵行动办公室（OfficeofTailoredAccessOperation，后文简称TAO）。

一、攻击事件概况

调查发现，近年来，美国NSA下属TAO对中国国内网络目标实施了数万次恶意网络攻击，控制了数万台网络设备（网络服务器、互联网终端、网络交换机、电话交换机、路由器、防火墙等），盗窃了140多台GB高价值数据。TAO利用其网络攻击武器平台，零日漏洞(0day）网络设备及其控制不断扩大网络攻击和范围。技术团队已经澄清了技术分析和可追溯性TAO网络攻击基础设施、专用武器装备和技术战术用于攻击活动，恢复攻击过程和被盗文件，掌握美国NSA及其下属TAO对中国信息网络实施网络攻击和数据盗窃的相关证据，涉及美国直接对中国发起网络攻击的13人，以及NSA与美国电信运营商签订的60多份合同信运营商签订了60多份合同和170多份电子文件。

二、攻击事件分析

在西北工业大学的网络攻击中，TAO使用了40多种不同的用途NSA专属网络攻击武器，继续攻击西北理工大学，窃取学校关键网络设备配置、网络管理数据、运维数据等核心技术数据。通过证据收集分析，技术团队发现攻击者渗透西北理工大学攻击链路1100多个，操作指令序列90多个，从入侵网络设备定位多个盗窃网络设备配置文件、嗅觉网络通信数据和密码、其他类型的日志和密钥文件等攻击活动相关的主要细节。具体分析如下：

(1)相关网络攻击基础设施

为掩护其攻击行动，TAO在开始行动之前，将进行长期的准备，主要建设匿名攻击基础设施。TAO利用它掌握的目标SunOS操作系统的两个零漏洞使用工具选择了中国周边国家的教育机构、商业公司等网络应用流量较大的服务器作为攻击目标；攻击成功后，安装NOPEN控制大量跳板机的木马程序(详见相关研究报告)。

TAO54台跳板机和代理服务器用于西北工业大学的网络攻击，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于日本、韩国等中国周边国家。

这些跳板机的功能仅限于指令中转，即将上一级跳板指令转发到目标系统，以掩盖美国国家安全局发起的网络攻击的真实性IP。至少已经掌握了TAO控制跳板机从其接入环境(美国国内电信运营商)的四个IP地址，分别是209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时，为了进一步掩盖跳板机和代理服务器NSA关系，NSA使用了美国Register公司匿名保护服务匿名处理相关域名、证书、注册人等可追溯信息，不能通过公共渠道查询。

(二)相关网络攻击武器

TAO在西北工业大学的网络攻击中，先后使用了41种NSA专用网络攻击武器装备。

TAO在西北工业大学的网络攻击中，先后使用了41种NSA专用网络攻击武器装备。

而且在攻击过程中，TAO同一网络武器将根据目标环境灵活配置。例如，在西北工业大学网络攻击中使用的网络武器中，只有后门工具狡猾的异端犯罪（NSA命名)有14个不同的版本。技术团队将在攻击活动中TAO工具类别分为四类，包括：

1.漏洞攻击突破武器

TAO依托此类武器，攻击西北理工大学边界网络设备、网关服务器、办公室内网主机，也用于攻击和控制海外跳板机构建匿名网络作为行动掩护。有三种武器：

这种武器可以为开放指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击，可自动检测目标系统服务的开放性，智能选择合适版本的漏洞使用代码，直接获得对目标主机的完整控制。该武器用于攻击日本、韩国等国家的跳板机，控制跳板机用于攻击西北工业大学的网络。

这种武器也可以为开放指定RPC服务的Solaris系统实施远程溢出攻击，直接获得对目标主机的完全控制。与剃须刀不同的是，该工具没有能力独立探测目标服务的开放性，用户需要手动配置目标和相关参数。NSA西北工业大学边界服务器采用此武器攻击控制。

该武器平台部署在哥伦比亚，可与二次约会中间人攻击武器相结合，可智能配置漏洞载荷IE、FireFox、Safari、AndroidWebkit多平台主流浏览器进行远程溢出攻击，获取目标系统的控制权(详见:国家计算机病毒应急处理中心美国国家安全局（NSA）酸狐漏洞攻击武器平台技术分析报告)。TAO该武器平台主要用于入侵西北工业大学办公室内网主机。TAO该武器平台主要用于入侵西北工业大学办公室内网主机。

TAO依北工业大学网络依托此类武器隐蔽持久控制，TAO行动队可以通过加密通道发送控制指令操作此类武器，以渗透、控制和窃取西北工业大学网络的秘密。有六种武器：

该武器长期停留在网关服务器、边界路由器等网络边界设备和服务器上，可准确过滤和自动劫持大量数据流量，实现中间攻击功能。TAO武器安置在西北工业大学的边界设备上，劫持流经设备的流量，引导酸狐狸平台进行漏洞攻击。

该武器是一种远程控制木马，支持各种操作系统和不同的系统架构。可通过加密隧道接收指令执行文件管理、过程管理、系统命令执行等操作，并具有权限改进和持久能力（详见：国家计算机病毒应急处理中心NOPEN远程控制木马分析报告。TAO该武器主要用于持久控制西北工业大学网络内的核心业务服务器和关键网络设备。

这种武器是基于的Windows系统支持各种操作系统和不同系统架构的远程控制木马，可根据目标系统环境定制生成不同类型的木马服务端，具有较强的抗分析和反调试能力。TAO西北工业大学办公网内的个人主机主要采用酸狐狸平台进行持久控制。

该武器是一种轻量级后门植入工具，运行后自行删除，具有提高权限的能力，长期停留在目标设备上，并可与系统一起启动。TAO为了在适当的时间上传加密管道，主要使用该武器实现持久停留NOPEN确保西北工业大学信息网络的长期控制。

这种武器是针对性的Linux、Solaris、JunOS、FreeBSD对于四种操作系统的后门，该武器可以在目标设备上持续运行，并根据指令隐藏目标设备上的指定文件、目录和过程。TAO该武器主要用于隐藏NOPEN避免监控和发现木马的文件和过程。技术分析发现，TAO该武器的12个不同版本被用于西北工业大学的网络攻击。

3.嗅探窃取秘密武器

TAO依靠此类武器嗅探西北工业大学工作人员在运维网络中使用的账户密码和命令行操作记录，窃取西北工业大学网络中的敏感信息和运维数据。有两种武器：

该武器可长期停留在32或64位Solaris在系统中，通过嗅探过程之间的通信获得ssh、telnet、rlogin在多种远程登录方式下暴露的账号密码。TAO主要利用武器嗅探西北工业大学业务人员在实施操作和维护工作时产生的账户密码、命令行操作记录、日志文件等。NOPEN木马下载。

该系列武器是专门用于电信运营商特定业务系统的工具。根据被控业务设备的不同类型，敌后行动将与不同的分析工具一起使用。TAO在对西北工业大学的网络攻击中，使用了三种攻击盗密工具，如魔法学校、小丑食品和诅咒之火。

TAO依靠这些武器消除其在西北理工大学网络内的行为痕迹，隐藏和隐藏其恶意操作和秘密盗窃，并为上述三种武器提供保护。现在发现了一种这样的武器：

吐司面包可用于检查和修改utmp、wtmp、lastlog等待日志文件清除操作痕迹。TAO该武器主要用于清除和更换被控西北工业大学互联网设备上的各种日志文件，以隐藏其恶意行为。TAO在西北工业大学的网络攻击中，使用了三种不同版本的吐司面包。

三、攻击溯源

结合上述技术分析结果和可追溯性调查，技术团队初步判断美国国家安全局对西北工业大学实施网络攻击（NSA）信息情报部(代码S）数据调查局(代码S3）下属TAO（代号S32）部门。该部门成立于1998年，其力量部署主要依靠美国国家安全局（NSA）密码中心在美国和欧洲。已公布的六个密码中心是：

1.美国马里兰州米德堡NSA总部；

2.美国夏威夷瓦胡岛NSA夏威夷密码中心（NSAH）；

3.美国佐治亚州戈登堡NSA佐治亚密码中心（NSAG）；

4.得克萨斯州圣安东尼奥NSA德克萨斯密码中心（NSAT）；

5.科罗拉罗州丹佛马克利空军基地NSA科罗拉罗密码中心（NSAC）；

6.德国达姆施塔特美军基地NSA欧洲密码中心（NSAE）。

TAO目前，美国政府是由2000多名士兵和文职人员组成的战术实施单位，专门从事对其他国家的大规模网络攻击和盗窃活动，其内部机构包括：

第一：远程操作中心：（ROC，代号S321)主要负责操作武器平台和工具进入和控制目标系统或网络。

第二：先进/接入网络技术部（ANT，代号S322)负责研究相关硬件技术TAO硬件相关技术和武器装备支持网络攻击行动。

第三：数据网络技术部（DNT，代号S323)负责复杂计算机软件工具的研发TAO支持操作人员执行网络攻击任务。

第四：电信网络技术部（TNT，代号S324)负责电信相关技术的研究TAO隐藏渗透电信网络的操作人员提供支持。

第五，任务基础设施技术部（MIT，代号S325)负责开发和建立攻击行动网络环境和匿名网络的网络基础设施和安全监控平台。

第六：接入行动处（ATO，代号S326)负责后门安装拟送达目标的产品。

第七：需求与定位（R&T，代号S327)接受相关单位的任务，确定侦察目标，分析评价情报价值。

S32P：整合项目计划

处（PPI，代号S32P），负责总体规划和项目管理。

NWT：网络战小组（NWT），负责联系网络作战队。

美国国家安全局（NSA）西北工业大学的攻击行动代号为阻击XXXX”（shotXXXX）。该行动由TAO由负责人直接指挥MIT（S325)负责侦察环境，租用攻击资源；R&T（S327)确定攻击行动战略和情报评估；ANT（S322）、DNT（S323）、TNT（S324)负责提供技术支持；ROC（S321)组织开展攻击侦察行动。由此可见，直接参与指挥和行动主要包括TAO负责人，S321和S325单位。

NSA在攻击西北工业大学盗窃期间TAO罗伯特负责人乔伊斯（RobertEdwardJoyce）。他出生于1967年9月13日，曾在汉尼拔高中学习，1989年毕业于克拉克森大学，获得学士学位，1993年毕业于约翰斯获得硕士学位的霍普金斯大学。1989年进入美国国家安全局。曾经担任过TAO2013年至2017年担任副主任TAO主任。从2017年10月开始担任代理美国国土安全顾问。2018年4月至5月，他担任白宫国务安全顾问，然后回国NSA担任国家安全局长网络安全战略高级顾问，现担任国家安全局局长NSA网络安全主管。

四、总结

根据国家计算机病毒应急处理中心和360公司联合技术团队的分析结果，本报告揭示了美国NSA长期以来，中国信息网用户和重要单位开展网络间谍活动，包括西北理工大学。后续技术团队还将公布更多相关事件调查的技术细节。

更多细节由技术团队公布

西安市公安局碑林分局副局长金琪：

西北理工大学是中国从事航空、航天、航海工程教育和科研领域的重点大学。拥有大量的国家顶尖科研团队和高端人才，承担了许多国家重点科研项目。其地位非常特殊，网络安全非常关键。网络攻击的针对性目标是由于其特殊的地位和敏感的科学研究。

调查报告显示，美国国家安全局（NSA）在西北工业大学的网络攻击行动中，先后使用了41种特殊的网络攻击武器装备，只有后门工具狡猾的异端犯罪（NSA命名)有14个不同的版本。

360公司网络安全专家边亮：前期会有一些调查模块。然后调查发现，如果在其目标环境中，有些人可能需要窃取密码或重要的信息，并根据不同的情况、不同的系统或不同的平台定制武器攻击和交付。

通过证据收集分析，技术团队发现攻击者渗透西北理工大学攻击链路1100多个，操作指令序列90多个，从入侵网络设备定位多个盗窃网络设备配置文件、嗅觉网络通信数据和密码、其他类型的日志和密钥文件等攻击活动相关的主要细节。

技术团队将攻击中使用的武器分为四类，包括：1、漏洞攻击突破武器；2、持久控制武器；3、嗅探秘密武器；4、隐藏消除痕迹武器。

杜振华，国家计算机病毒应急处理中心高级工程师：

从这个漏洞的攻击突破开始，突破后投入这个第二类，我们说持久控制武器工具。然后到第三类，然后它实现了嗅觉的秘密窃取，然后长期潜伏窃取我们的重要数据，然后攻击活动，它认为任务已经完成，然后开始使用第四类武器是隐藏的痕迹，清理现场，让受害者无法察觉。

根据调查报告，美国国家安全局（NSA）利用大量的网络攻击武器，对中国各行业龙头企业、政府、大学、医疗、科研等机构进行长期的秘密黑客攻击。

360公司创始人周鸿毅：针对国家科研机构、政府部门、军事单位、大学窃取信息或数据，从攻击从规划到部署，通过长跳板，到核心岗位，可能持续几年。那么危害是非常大的，因为未来我们整个国家都在从事数字化，我们的许多重要业务都是由数据驱动的。你认为一旦数据被盗或损坏，它肯定会带来严重的风险。

调查还发现，美国国家安全局（NSA）它还利用其控制的网络攻击武器平台和零日漏洞（Oday）与网络设备一样，中国手机用户长期进行语音监控，非法窃取手机用户短信内容，无线定位。

NSA掩盖真实IP精心伪装网络攻击痕迹

根据调查报告，美国国家安全局（NSA）为了隐瞒其对西北工业大学等中国信息网络实施网络攻击的行为，做了长期准备，并精心伪装。

技术团队发现，美国国家安全局（NSA）下属具体入侵行动办公室（TAO）在开始行动之前，将进行长期的准备，主要建设匿名攻击基础设施。特定入侵办公室（TAO）利用它掌握的目标SunOS操作系统的两个零日漏洞使用工具选择了中国周边国家的教育机构、商业公司等网络应用流量较大的服务器作为攻击目标；攻击成功后，安装NOPEN控制大量跳板机的木马程序。

特定入侵办公室（TAO）54台跳板机和代理服务器用于西北工业大学的网络攻击，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于日本、韩国等中国周边国家。用来掩盖真相IP所有的跳板机都是精心挑选的。IP都属于非五眼联盟国家。

涉及代理服务器的网络资源用于西北工业大学攻击平台，美国国家安全局（NSA）两家秘密掩护公司购买了埃及、荷兰和哥伦比亚IP，并租用一批服务器。

杜振华，国家计算机病毒应急处理中心高级工程师：

它使用虚拟身份或代理身份。然后在互联网上租用和购买这种服务器，IP地址、域名，甚至可以在对方不知情的情况下接管第三方用户的服务器资源。然后实施网络攻击，实现借刀杀人的效果。

美国国家安全局（NSA）为了保护其身份安全，美国隐私保护公司使用匿名保护服务，相关域名和证书指向无关人员，以掩盖西北理工大学等中国信息网络的真实攻击平台。

有了这些跳板机，TAO你可以躲在这些跳板机后面，向目标发动网络攻击。从受害者的角度来看，即使他发现了攻击，实际上也是这些跳板机。所以这样起到了保护真实攻击源网络地址的作用。

美国国家安全局还发现，在相关网络攻击开始前（NSA）在美国众多知名互联网企业的配合下，向美国国家安全局等情报机构提供了大量中国通信网络设备的管理权限，为不断入侵中国的重要信息网络开辟了便利之门。

TAO到底是什么？

根据调查报告，美国国家安全局（NSA）下属特定入侵行动办公室(TAO)不仅对中国重点企事业单位实施恶意网络攻击，而且对中国手机用户进行长期语音监控，非法窃取手机用户短信内容，进行无线定位。所以这个简称TAO具体入侵办公室是什么机构？

美国国家安全局通过技术分析和查，美国国家安全局实施了网络攻击行动（NSA）具体入侵行动办公室（TAO）该部门成立于1998年，主要依靠美国国家安全局（NSA）密码中心在美国和欧洲。已公布的六个密码中心是：

米德堡总部，国安局马里兰州；

2.夏威夷密码中心，瓦湖岛国安局（NSAH）；

3.乔治亚密码中心，戈登堡国安局（NSAG）；

4.圣安东尼奥国安局得克萨斯密码中心（NSAT）;

科罗拉罗密码中心，丹佛马克利空军基地（NSAC）;

国安局欧洲密码中心，德国达姆施塔特美军基地（NSAE）。

特定入侵办公室TAO由2000多名士兵和文职人员组成，美国政府专门从事对其他国家进行大规模网络攻击和盗窃活动的战术实施单位。

特定入侵办公室TAO目前，美国政府是由2000多名士兵和文职人员组成的战术实施单位，专门从事对其他国家的大规模网络攻击和盗窃活动。有10个单位：

1.远程操作中心（ROC，代号S321)主要负责操作武器平台和工具进入和控制目标系统或网络。

2.先进/接入网络技术部（ANT，代号S322)负责研究相关硬件技术TAO硬件相关技术和武器装备支持网络攻击行动。

3.数据网络技术办公室（DNT，代号S323)负责复杂计算机软件工具的研发TAO支持操作人员执行网络攻击任务。

4.电信网络技术部（TNT，代号S324)负责电信相关技术的研究TAO隐藏渗透电信网络的操作人员提供支持。

5.任务基础设施技术部（MIT，代号S325)负责开发和建立攻击行动网络环境和匿名网络的网络基础设施和安全监控平台。

6、接入行动处（AO，代号S326)负责后门安装拟送达目标的产品。

7.需求和定位（R&T，代号S327)；接受相关单位的任务，确定侦察目标，分析评价情报价值。

8.接入技术行动处（ATO，编号S328)负责开发接触式秘密盗窃设备，并与美国中央情报局和联邦调查局合作，通过人工接触将秘密盗窃软件或设备安装在目标计算机和电信系统中。

9、S32P：项目规划整合处（PPI，代号S32P），负责总体规划和项目管理。

10、NWT：网络战小组（NWT），联系133个网络作战队。

美国国家安全局NSA罗伯特是西北工业大学攻击盗窃的负责人·乔伊斯（RobertEdwardJoyce）。这名男子出生于1967年9月13日，1989年进入美国国家安全局工作。曾担任特定入侵行动办公室TAO副主任、主任，现任美国国家安全局NSA网络安全主管。

360公司网络安全专家边亮：

据我们所知，目前是（TAO）它代表了全球网络攻击的最高水平。他们掌握的大量攻击武器相当于拥有互联网上的通用钥匙。它可以随意进出所需的目标设备，从而窃取或破坏情报等动作。

你的信息也可能被泄露！

专家呼吁提高网络安全防范

调查报告显示，美国国家安全局长期以来一直存在（NSA）长期以来，我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至与国计民生有关的重要信息基础设施运维单位开展秘密黑客攻击活动。其行为或对国防安全、关键基础设施安全、金融安全、社会安全、生产安全和公民个人信息造成严重危害，值得深思和警惕。

西北工业大学与中国国家计算机病毒应急处理中心和360公司合作，多年来全面恢复了美国国家安全局（NSA）利用网络武器发起的一系列攻击，打破了美国对中国的单向透明优势。面对强大的国家背景竞争对手，首先要知道风险在哪里，什么样的风险，什么时候的风险。

360创始人周鸿祎：只要能快速发现，就能看到威胁，感知到攻击。然后你可以定位追溯性，知道它从哪里进来，知道它们使用了什么漏洞，然后你可以处理它，清理它，同时修复所有的漏洞。

根据调查报告，西北理工大学公开发布了一份关于海外网络攻击的声明。本着实事求是、绝不姑息的决心，坚决查到底，积极采取防御措施的行动值得世界各地的美国国家

安全局（NSA）学习网络攻击受害者将成为世界各国对美国国家安全局的有效防范（NSA）有力借鉴后续网络攻击行为。

被窃取超140G网络数据，TAO调查细节公布的主要内容是什么？