美国国安局网络攻击中国上万次，窃取超140GB数据

西北工业大学遭美国NSA网络攻击事件调查报告（之一）

2022年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本，西安警方已对此正式立案调查。

国家计算机病毒应急处理中心和360公司联合组成技术团队（以下简称“技术团队”），全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，后文简称TAO）。

一、攻击事件概貌

本次调查发现，在近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”（0day）及其控制的网络设备等，持续扩大网络攻击和范围。经技术分析与溯源，技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术，还原了攻击过程和被窃取的文件，掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据，涉及在美国国内对中国直接发起网络攻击的人员13名，以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份，电子文件170余份。