2022年6月22日，西北工業(yè)大學(xué)發(fā)布《公開(kāi)聲明》稱(chēng)，該校遭受境外網(wǎng)絡(luò)攻擊。陜西省西安市公安局碑林分局隨即發(fā)布《警情通報(bào)》，證實(shí)在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬程序樣本，西安警方已對(duì)此正式立案調(diào)查。

　　中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司第一時(shí)間成立技術(shù)團(tuán)隊(duì)開(kāi)展調(diào)查工作，全程參與此案技術(shù)分析。技術(shù)團(tuán)隊(duì)先后從多個(gè)信息系統(tǒng)和上網(wǎng)終端中捕獲到了木馬程序樣本，綜合使用國(guó)內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段，并得到歐洲、南亞部分國(guó)家合作伙伴的通力支持，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關(guān)攻擊活動(dòng)源自美國(guó)國(guó)家安全局(NSA)的“特定入侵行動(dòng)辦公室”(Office of Tailored Access Operation，后文簡(jiǎn)稱(chēng)TAO)。

　　該系列研究報(bào)告將公布美國(guó)國(guó)家安全局(NSA)“信號(hào)特定入侵行動(dòng)辦公室”(TAO)對(duì)西北工業(yè)大學(xué)發(fā)起的上千次網(wǎng)絡(luò)攻擊活動(dòng)中，某些特定攻擊活動(dòng)的重要細(xì)節(jié)，為全球各國(guó)有效防范和發(fā)現(xiàn)TAO的后續(xù)網(wǎng)絡(luò)攻擊行為提供可以借鑒的案例。

　　一、攻擊事件概貌

　　分析發(fā)現(xiàn)，美國(guó)NSA的“特定入侵行動(dòng)辦公室”(TAO)對(duì)中國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)目標(biāo)實(shí)施了上萬(wàn)次的惡意網(wǎng)絡(luò)攻擊，控制了相關(guān)網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機(jī)、電話交換機(jī)、路由器、防火墻等)，疑似竊取了高價(jià)值數(shù)據(jù)。與此同時(shí)，美國(guó)NSA還利用其控制的網(wǎng)絡(luò)攻擊武器平臺(tái)、“零日漏洞”(0day)和網(wǎng)絡(luò)設(shè)備，長(zhǎng)期對(duì)中國(guó)的手機(jī)用戶(hù)進(jìn)行無(wú)差別的語(yǔ)音監(jiān)聽(tīng)，非法竊取手機(jī)用戶(hù)的短信內(nèi)容，并對(duì)其進(jìn)行無(wú)線定位。經(jīng)過(guò)復(fù)雜的技術(shù)分析與溯源，技術(shù)團(tuán)隊(duì)現(xiàn)已澄清NSA攻擊活動(dòng)中使用的網(wǎng)絡(luò)資源、專(zhuān)用武器裝備及具體手法，還原了攻擊過(guò)程和被竊取的文件，掌握了美國(guó)NSA“特定入侵行動(dòng)辦公室”(TAO)對(duì)中國(guó)信息網(wǎng)絡(luò)實(shí)施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的證據(jù)鏈。

　　二、攻擊組織基本情況

　　經(jīng)技術(shù)分析和網(wǎng)上溯源調(diào)查發(fā)現(xiàn)，此次網(wǎng)絡(luò)攻擊行動(dòng)是美國(guó)國(guó)家安全局(NSA)信息情報(bào)部(代號(hào)S)數(shù)據(jù)偵察局(代號(hào)S3)下屬TAO(代號(hào)S32)部門(mén)。該部門(mén)成立于1998年，其力量部署主要依托美國(guó)國(guó)家安全局(NSA)在美國(guó)和歐洲的各密碼中心。

　　目前已被公布的六個(gè)密碼中心分別是：

　　1 國(guó)安局馬里蘭州的米德堡總部；

　　2 瓦湖島的國(guó)安局夏威夷密碼中心(NSAH)；

　　3 戈登堡的國(guó)安局喬治亞密碼中心(NSAG)；

　　4 圣安東尼奧的國(guó)安局德克薩斯密碼中心(NSAT)；

　　5 丹佛馬克利空軍基地的國(guó)安局科羅拉羅密碼中心(NSAC)；

　　6 德國(guó)達(dá)姆施塔特美軍基地的國(guó)安局歐洲密碼中心(NSAE)。

　　TAO是目前美國(guó)政府專(zhuān)門(mén)從事對(duì)他國(guó)實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊竊密活動(dòng)的戰(zhàn)術(shù)實(shí)施單位，由2000多名軍人和文職人員組成，下設(shè)10個(gè)單位：

　　第一處：遠(yuǎn)程操作中心(ROC，代號(hào)S321)

　　主要負(fù)責(zé)操作武器平臺(tái)和工具進(jìn)入并控制目標(biāo)系統(tǒng)或網(wǎng)絡(luò)。

　　第二處：先進(jìn)/接入網(wǎng)絡(luò)技術(shù)處(ANT，代號(hào)S322)

　　負(fù)責(zé)研究相關(guān)硬件技術(shù)，為T(mén)AO網(wǎng)絡(luò)攻擊行動(dòng)提供硬件相關(guān)技術(shù)和武器裝備支持。

　　第三處：數(shù)據(jù)網(wǎng)絡(luò)技術(shù)處(DNT，代號(hào)S323)

　　負(fù)責(zé)研發(fā)復(fù)雜的計(jì)算機(jī)軟件工具，為T(mén)AO操作人員執(zhí)行網(wǎng)絡(luò)攻擊任務(wù)提供支撐。

　　第四處：電信網(wǎng)絡(luò)技術(shù)處(TNT，代號(hào)S324)

　　負(fù)責(zé)研究電信相關(guān)技術(shù)，為T(mén)AO操作人員隱蔽滲透電信網(wǎng)絡(luò)提供支撐。

　　第五處：任務(wù)基礎(chǔ)設(shè)施技術(shù)處(MIT，代號(hào)S325)

　　負(fù)責(zé)開(kāi)發(fā)與建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全監(jiān)控平臺(tái)，用于構(gòu)建攻擊行動(dòng)網(wǎng)絡(luò)環(huán)境與匿名網(wǎng)絡(luò)。

　　第六處：接入行動(dòng)處(AO，代號(hào)S326)

　　負(fù)責(zé)通過(guò)供應(yīng)鏈，對(duì)擬送達(dá)目標(biāo)的產(chǎn)品進(jìn)行后門(mén)安裝。

　　第七處：需求與定位處(R&T，代號(hào)S327)

　　接收各相關(guān)單位的任務(wù)，確定偵察目標(biāo)，分析評(píng)估情報(bào)價(jià)值。

　　第八處：接入技術(shù)行動(dòng)處(ATO，編號(hào)S328)

　　負(fù)責(zé)研發(fā)接觸式竊密裝置，并與美國(guó)中央情報(bào)局和聯(lián)邦調(diào)查局人員合作，通過(guò)人力接觸方式將竊密軟件或裝置安裝在目標(biāo)的計(jì)算機(jī)和電信系統(tǒng)中。

　　S32P：項(xiàng)目計(jì)劃整合處(PPI，代號(hào)S32P)

　　負(fù)責(zé)總體規(guī)劃與項(xiàng)目管理。

　　NWT：網(wǎng)絡(luò)戰(zhàn)小組(NWT)

　　負(fù)責(zé)與133個(gè)網(wǎng)絡(luò)作戰(zhàn)小隊(duì)聯(lián)絡(luò)。

　　此案在美國(guó)國(guó)家安全局(NSA)內(nèi)部攻擊行動(dòng)代號(hào)為“阻擊XXXX”(shotXXXX)。該行動(dòng)由TAO負(fù)責(zé)人直接指揮，由MIT(S325)負(fù)責(zé)構(gòu)建偵察環(huán)境、租用攻擊資源；由R&T(S327)負(fù)責(zé)確定攻擊行動(dòng)戰(zhàn)略和情報(bào)評(píng)估；由ANT(S322)、DNT(S323)、TNT(S324)負(fù)責(zé)提供技術(shù)支撐；由ROC(S321)負(fù)責(zé)組織開(kāi)展攻擊偵察行動(dòng)。由此可見(jiàn)，直接參與指揮與行動(dòng)的，主要包括TAO負(fù)責(zé)人，S321和S325單位。

　　NSA竊密期間的TAO負(fù)責(zé)人是羅伯特·喬伊斯(Robert Edward Joyce)。此人1967年9月13日出生，曾就讀于漢尼拔高中，1989年畢業(yè)于克拉克森大學(xué)，獲學(xué)士學(xué)位，1993年畢業(yè)于約翰·霍普金斯大學(xué)，獲碩士學(xué)位。1989年進(jìn)入美國(guó)國(guó)家安全局工作。曾經(jīng)擔(dān)任過(guò)TAO副主任，2013年至2017年擔(dān)任TAO主任。2017年10月開(kāi)始擔(dān)任代理美國(guó)國(guó)土安全顧問(wèn)。2018年4月至5月，擔(dān)任美國(guó)白宮國(guó)務(wù)安全顧問(wèn)，后回到NSA擔(dān)任美國(guó)國(guó)家安全局局長(zhǎng)網(wǎng)絡(luò)安全戰(zhàn)略高級(jí)顧問(wèn)，現(xiàn)擔(dān)任NSA網(wǎng)絡(luò)安全局主管。

　　三、TAO網(wǎng)絡(luò)攻擊實(shí)際情況

　　美國(guó)國(guó)家安全局TAO部門(mén)的S325單位，通過(guò)層層掩護(hù)，構(gòu)建了由49臺(tái)跳板機(jī)和5臺(tái)代理服務(wù)器組成的匿名網(wǎng)絡(luò)，購(gòu)買(mǎi)專(zhuān)用網(wǎng)絡(luò)資源，架設(shè)攻擊平臺(tái)。S321單位運(yùn)用40余種不同的NSA專(zhuān)屬網(wǎng)絡(luò)攻擊武器，持續(xù)對(duì)我國(guó)開(kāi)展攻擊竊密，竊取了關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)，竊密活動(dòng)持續(xù)時(shí)間長(zhǎng)，覆蓋范圍廣。技術(shù)分析中還發(fā)現(xiàn)，TAO已于此次攻擊活動(dòng)開(kāi)始前，在美國(guó)多家大型知名互聯(lián)網(wǎng)企業(yè)的配合下，掌握了中國(guó)大量通信網(wǎng)絡(luò)設(shè)備的管理權(quán)限，為NSA持續(xù)侵入中國(guó)國(guó)內(nèi)的重要信息網(wǎng)絡(luò)大開(kāi)方便之門(mén)。

　　經(jīng)溯源分析，技術(shù)團(tuán)隊(duì)現(xiàn)已全部還原了NSA的攻擊竊密過(guò)程，澄清其在西北工業(yè)大學(xué)內(nèi)部滲透的攻擊鏈路1100余條、操作的指令序列90余個(gè)，多份遭竊取的網(wǎng)絡(luò)設(shè)備配置文件，嗅探的網(wǎng)絡(luò)通信數(shù)據(jù)及口令、其它類(lèi)型的日志和密鑰文件，基本還原了每一次攻擊的主要細(xì)節(jié)。掌握并固定了多條相關(guān)證據(jù)鏈，涉及在美國(guó)國(guó)內(nèi)對(duì)中國(guó)直接發(fā)起網(wǎng)絡(luò)攻擊的人員13名，以及NSA通過(guò)掩護(hù)公司為構(gòu)建網(wǎng)絡(luò)攻擊環(huán)境而與美國(guó)電信運(yùn)營(yíng)商簽訂的合同60余份，電子文件170余份。

　　四、NSA攻擊網(wǎng)絡(luò)的構(gòu)建

　　經(jīng)技術(shù)團(tuán)隊(duì)溯源分析發(fā)現(xiàn)，美國(guó)國(guó)家安全局TAO部門(mén)對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動(dòng)先后使用了49臺(tái)跳板機(jī)，這些跳板機(jī)均經(jīng)過(guò)精心挑選，所有IP均歸屬于非“五眼聯(lián)盟”國(guó)家，而且大部分選擇了中國(guó)周邊國(guó)家(如日本、韓國(guó)等)的IP，約占70%。

　　TAO利用其掌握的針對(duì)SunOS操作系統(tǒng)的兩個(gè)“零日漏洞”利用工具(已提取樣本)，工具名稱(chēng)分別為EXTREMEPARR(NSA命名)和EBBISLAND(NSA命名)，選擇了中國(guó)周邊國(guó)家的教育機(jī)構(gòu)、商業(yè)公司等網(wǎng)絡(luò)應(yīng)用流量較多的服務(wù)器為攻擊目標(biāo)；攻擊成功后，安裝NOPEN(NSA命名，已提取樣本)后門(mén)，控制了大批跳板機(jī)。

　　根據(jù)溯源分析，本次竊密行動(dòng)共選用了其中的49臺(tái)跳板機(jī)，這些跳板機(jī)僅使用了中轉(zhuǎn)指令，將上一級(jí)的跳板指令轉(zhuǎn)發(fā)到目標(biāo)系統(tǒng)，從而掩蓋美國(guó)國(guó)家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實(shí)IP。

　　目前已經(jīng)至少掌握TAO攻擊實(shí)施者從其接入環(huán)境(美國(guó)國(guó)內(nèi)電信運(yùn)營(yíng)商)控制跳板機(jī)的四個(gè)IP：

　　209.59.36.*

　　69.165.54.*

　　207.195.240.*

　　209.118.143.*

　　TAO基礎(chǔ)設(shè)施技術(shù)處(MIT)人員通過(guò)將匿名購(gòu)買(mǎi)的域名和SSL證書(shū)部署在位于美國(guó)本土的中間人攻擊平臺(tái)“酸狐貍”(FOXACID，NSA命名)上，對(duì)中國(guó)境內(nèi)的大量網(wǎng)絡(luò)目標(biāo)開(kāi)展攻擊。特別值得關(guān)注的是，NSA利用上述域名和證書(shū)部署的平臺(tái)，對(duì)西北工業(yè)大學(xué)等中國(guó)信息網(wǎng)絡(luò)展開(kāi)了多輪持續(xù)性的攻擊、竊密行動(dòng)。

　　美國(guó)國(guó)家安全局NSA為了保護(hù)其身份安全，使用了美國(guó)Register公司的匿名保護(hù)服務(wù)，相關(guān)域名和證書(shū)無(wú)明確指向，無(wú)關(guān)聯(lián)人員。

　　TAO為了掩蓋其攻擊來(lái)源，并保護(hù)工具的安全，對(duì)需要長(zhǎng)期駐留互聯(lián)網(wǎng)的攻擊平臺(tái)，通過(guò)掩護(hù)公司向服務(wù)商購(gòu)買(mǎi)服務(wù)。

　　針對(duì)西北工業(yè)大學(xué)攻擊平臺(tái)所使用的網(wǎng)絡(luò)資源共涉及5臺(tái)代理服務(wù)器，NSA通過(guò)兩家掩護(hù)公司向美國(guó)泰瑞馬克(Terremark)公司購(gòu)買(mǎi)了埃及、荷蘭和哥倫比亞等地的IP，并租用一批服務(wù)器。

　　這兩家公司分別為杰克·史密斯咨詢(xún)公司(Jackson Smith Consultants)、穆勒多元系統(tǒng)公司(Mueller Diversified Systems)。

　　五、TAO的武器裝備分析

　　技術(shù)分析發(fā)現(xiàn)，TAO先后使用了41種NSA的專(zhuān)用網(wǎng)絡(luò)攻擊武器裝備，通過(guò)分布于日本、韓國(guó)、瑞典、波蘭、烏克蘭等17個(gè)國(guó)家的49臺(tái)跳板機(jī)和5臺(tái)代理服務(wù)器，對(duì)西北工業(yè)大學(xué)發(fā)起了攻擊竊密行動(dòng)上千次，竊取了一批網(wǎng)絡(luò)數(shù)據(jù)。

　　美國(guó)國(guó)家安全局TAO的網(wǎng)絡(luò)攻擊武器裝備針對(duì)性強(qiáng)，得到了美國(guó)互聯(lián)網(wǎng)巨頭的鼎力支持。同一款裝備會(huì)根據(jù)目標(biāo)環(huán)境進(jìn)行靈活配置，在這中使用的41款裝備中，僅后門(mén)工具“狡詐異端犯”(NSA命名)在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中就有14款不同版本。NSA所使用工具類(lèi)別主要分為四大類(lèi)，分別是：

　　(一)漏洞攻擊突破類(lèi)武器

　　TAO依托此類(lèi)武器對(duì)西北工業(yè)大學(xué)的邊界網(wǎng)絡(luò)設(shè)備、網(wǎng)關(guān)服務(wù)器、辦公內(nèi)網(wǎng)主機(jī)等實(shí)施攻擊突破，同時(shí)也用來(lái)攻擊控制境外跳板機(jī)以構(gòu)建匿名網(wǎng)絡(luò)。此類(lèi)武器共有3種：

　　1.“剃須刀”

　　此武器可針對(duì)開(kāi)放了指定RPC服務(wù)的X86和SPARC架構(gòu)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊，攻擊時(shí)可自動(dòng)探知目標(biāo)系統(tǒng)服務(wù)開(kāi)放情況并智能化選擇合適版本的漏洞利用代碼，直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。

　　此武器用于對(duì)日本、韓國(guó)等國(guó)家跳板機(jī)的攻擊，所控制跳板機(jī)被用于對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊。

　　2.“孤島”

　　此武器同樣可針對(duì)開(kāi)放了制定RPC服務(wù)的Solaris系統(tǒng)實(shí)施遠(yuǎn)程溢出攻擊，直接獲取對(duì)目標(biāo)主機(jī)的完整控制權(quán)。

　　與“剃須刀”工具不同之處在于此工具不具備自主探測(cè)目標(biāo)服務(wù)開(kāi)放情況的能力，需由使用者手動(dòng)選擇欲打擊的目標(biāo)服務(wù)。

　　NSA使用此武器攻擊控制了西北工業(yè)大學(xué)的邊界服務(wù)器。

　　3.“酸狐貍”武器平臺(tái)

　　此武器平臺(tái)部署在哥倫比亞，可結(jié)合“二次約會(huì)”中間人攻擊武器使用，可智能化配置漏洞載荷針對(duì)IE、FireFox、Safari、Android Webkit等多平臺(tái)上的主流瀏覽器開(kāi)展遠(yuǎn)程溢出攻擊，獲取目標(biāo)系統(tǒng)的控制權(quán)。

　　TAO主要使用該武器平臺(tái)對(duì)西北工業(yè)大學(xué)辦公內(nèi)網(wǎng)主機(jī)開(kāi)展突破攻擊。

　　(二)持久化控制類(lèi)武器

　　TAO依托此類(lèi)武器對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)進(jìn)行隱蔽持久控制，TAO工作人員可通過(guò)加密通道發(fā)送控制指令操作此類(lèi)武器實(shí)施對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)的滲透、控制、竊密等行為。此類(lèi)武器共有5種：

　　1.“二次約會(huì)”

　　此武器長(zhǎng)期駐留在網(wǎng)關(guān)服務(wù)器、邊界路由器等網(wǎng)絡(luò)邊界設(shè)備及服務(wù)器上，可針對(duì)海量數(shù)據(jù)流量進(jìn)行精準(zhǔn)過(guò)濾與自動(dòng)化劫持，實(shí)現(xiàn)中間人攻擊功能。

　　TAO在西北工業(yè)大學(xué)邊界設(shè)備上安置該武器，劫持流經(jīng)該設(shè)備的流量引導(dǎo)至“酸狐貍”平臺(tái)實(shí)施漏洞攻擊。

　　2.“NOPEN”木馬

　　此武器是一種支持多種操作系統(tǒng)和不同體系架構(gòu)的控守型木馬，可通過(guò)加密隧道接收指令執(zhí)行文件管理、進(jìn)程管理、系統(tǒng)命令執(zhí)行等多種操作，并且本身具備權(quán)限提升和持久化能力。

　　TAO主要使用該武器對(duì)西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的核心業(yè)務(wù)服務(wù)器和關(guān)鍵網(wǎng)絡(luò)設(shè)備實(shí)施持久化控制。

　　3.“怒火噴射”

　　此武器是一款基于Windows系統(tǒng)的支持多種操作系統(tǒng)和不同體系架構(gòu)的控守型木馬，可根據(jù)目標(biāo)系統(tǒng)環(huán)境定制化生成不同類(lèi)型的木馬服務(wù)端，服務(wù)端本身具備極強(qiáng)的抗分析、反調(diào)試能力。

　　TAO主要使用該武器配合“酸狐貍”平臺(tái)對(duì)西北工業(yè)大學(xué)辦公網(wǎng)內(nèi)部的個(gè)人主機(jī)實(shí)施持久化控制。

　　4.“狡詐異端犯”

　　此武器是一款輕量級(jí)的后門(mén)植入工具，運(yùn)行后即自刪除，具備提權(quán)功能，持久駐留于目標(biāo)設(shè)備上并可隨系統(tǒng)啟動(dòng)。

　　TAO主要使用該武器實(shí)現(xiàn)持久駐留，以便在合適時(shí)機(jī)建立加密管道上傳NOPEN木馬，保障對(duì)西北工業(yè)大學(xué)信息網(wǎng)絡(luò)的長(zhǎng)期控制。

　　5.“堅(jiān)忍外科醫(yī)生”

　　此武器是一款針對(duì)Linux、Solaris、JunOS、FreeBSD等4種類(lèi)型操作系統(tǒng)的后門(mén)，該武器可持久化運(yùn)行于目標(biāo)設(shè)備上，根據(jù)指令對(duì)目標(biāo)設(shè)備上的指定文件、目錄、進(jìn)程等進(jìn)行隱藏。

　　TAO主要使用該武器隱藏NOPEN木馬的文件和進(jìn)程，避免其被監(jiān)控發(fā)現(xiàn)。

　　TAO在對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中共使用該武器的12個(gè)不同版本。

　　(三)嗅探竊密類(lèi)武器

　　TAO依托此類(lèi)武器嗅探西北工業(yè)大學(xué)工作人員運(yùn)維網(wǎng)絡(luò)時(shí)使用的賬號(hào)口令、生成的操作記錄，竊取西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的敏感信息和運(yùn)維數(shù)據(jù)等。此類(lèi)武器共有兩種：

　　1.“飲茶”

　　此武器可長(zhǎng)期駐留在32位或64位的Solaris系統(tǒng)中，通過(guò)嗅探進(jìn)程間通信的方式獲取ssh、telnet、rlogin等多種遠(yuǎn)程登錄方式下暴露的賬號(hào)口令。

　　TAO主要使用該武器嗅探西北工業(yè)大學(xué)業(yè)務(wù)人員實(shí)施運(yùn)維工作時(shí)產(chǎn)生的賬號(hào)口令、操作記錄、日志文件等，壓縮加密存儲(chǔ)后供NOPEN木馬下載。

　　2.“敵后行動(dòng)”系列武器

　　此系列武器是專(zhuān)門(mén)針對(duì)運(yùn)營(yíng)商特定業(yè)務(wù)系統(tǒng)使用的工具，根據(jù)被控業(yè)務(wù)設(shè)備的不同類(lèi)型，“敵后行動(dòng)”會(huì)與不同的解析工具配合使用。

　　在對(duì)西北工業(yè)大學(xué)運(yùn)維管道的攻擊中共使用了“魔法學(xué)校”、“小丑食物”和“詛咒之火”等3類(lèi)針對(duì)運(yùn)營(yíng)商的攻擊竊密工具。

　　(四)隱蔽消痕類(lèi)武器

　　TAO依托此類(lèi)武器消除其在西北工業(yè)大學(xué)網(wǎng)絡(luò)內(nèi)部的行為痕跡，隱藏、掩飾其惡意操作和竊密行為，同時(shí)為上述三類(lèi)武器提供保護(hù)。

　　現(xiàn)已發(fā)現(xiàn)的此類(lèi)武器共有1種：

　　1.“吐司面包”

　　此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕跡。

　　TAO主要使用該武器清除、替換被控西北工業(yè)大學(xué)上網(wǎng)設(shè)備上的各類(lèi)日志文件，隱藏其惡意行為。

　　TAO對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中共使用了3款不同版本的“吐司面包”。

　　小結(jié)：

　　一直以來(lái)，美國(guó)國(guó)家安全局(NSA)針對(duì)我國(guó)各行業(yè)龍頭企業(yè)、政府、大學(xué)、醫(yī)療機(jī)構(gòu)、科研機(jī)構(gòu)甚至關(guān)乎國(guó)計(jì)民生的重要信息基礎(chǔ)設(shè)施運(yùn)維單位等機(jī)構(gòu)長(zhǎng)期進(jìn)行秘密黑客攻擊活動(dòng)。其行為或?qū)ξ覈?guó)的國(guó)防安全、關(guān)鍵基礎(chǔ)設(shè)施安全、金融安全、社會(huì)安全、生產(chǎn)安全以及公民個(gè)人信息造成嚴(yán)重危害，值得我們深思與警惕。

　　此次西北工業(yè)大學(xué)聯(lián)合中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心與360公司，全面還原了數(shù)年間美國(guó)NSA利用網(wǎng)絡(luò)武器發(fā)起的一系列攻擊行為，打破了一直以來(lái)美國(guó)對(duì)我國(guó)的單向透明優(yōu)勢(shì)。面對(duì)國(guó)家級(jí)背景的強(qiáng)大對(duì)手，首先要知道風(fēng)險(xiǎn)在哪，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候的風(fēng)險(xiǎn)，從此次美國(guó)NSA攻擊事件也可證明，看不見(jiàn)就要挨打。這是一次三方集中精力聯(lián)手攻克“看見(jiàn)”難題的成功實(shí)踐，幫助國(guó)家真正感知風(fēng)險(xiǎn)、看見(jiàn)威脅、抵御攻擊，一舉將境外黑客攻擊暴露在陽(yáng)光下。

　　西北工業(yè)大學(xué)公開(kāi)發(fā)布遭受境外網(wǎng)絡(luò)攻擊的聲明，體現(xiàn)了其對(duì)國(guó)家負(fù)責(zé)、對(duì)學(xué)校負(fù)責(zé)、對(duì)社會(huì)負(fù)責(zé)的精神，本著實(shí)事求是、絕不姑息的決心，堅(jiān)決一查到底。其積極采取防御措施的行動(dòng)更是值得遍布全球的NSA網(wǎng)絡(luò)攻擊活動(dòng)受害者學(xué)習(xí)，這將成為世界各國(guó)有效防范抵御美國(guó)NSA后續(xù)網(wǎng)絡(luò)攻擊行為的有力借鑒。