国家计算机病毒应急处理中心高级工程师杜振华:进入到这些服务器之后,它会对网络流量进行劫持,那么采用这种中间人攻击的方式,把其他的武器投送到西北工业大学内网的主机或者服务器上,投送成功之后,尤其是投送持久控制类武器之后,可以说获得了西北工业大学内网的访问权。那么在这个基础上,会对内网进行这种探测,去寻找高价值的服务器,高价值的主机,然后再向这些服务器和主机进行横向移动,成功地进入之后,可以去部署这种嗅探窃密类的武器。
报告显示,特定入侵行动办公室(TAO)通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。
360公司网络安全专家边亮:它控制了西北工大(相关设备)之后,相当于利用西北工大再去对其他单位进行攻击,这个过程是一个打引号的合法。相当于我们数据库当中有类似于这种人脸识别这么一个防护机制一样。如果说一个比如美国人来的话,我们直接给他拦住了,不让他进去,但是他刷了比如像西工大的脸,我们认为他是一个正常的用户,那么在网络数据当中就对他进行了一个放行这么一个操作。但实际上西工大的相关服务器是被美国(TAO)所控制的,那么(TAO)去进一步对其他单位产生攻击。