美国国安局网络攻击中国上万次，窃取超140GB数据(2)

二、攻击事件分析

在针对西北工业大学的网络攻击中，TAO使用了40余种不同的NSA专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析，技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个，并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。具体分析情况如下：

（一）相关网络攻击基础设施

为掩护其攻击行动，TAO在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN木马程序（详见有关研究报告），控制了大批跳板机。

TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。

这些跳板机的功能仅限于指令中转，即：将上一级的跳板指令转发到目标系统，从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境（美国国内电信运营商）控制跳板机的四个IP地址，分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时，为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系，NSA使用了美国Register公司的匿名保护服务，对相关域名、证书以及注册人等可溯源信息进行匿名化处理，无法通过公开渠道进行查询。