今年6月，西北工业大学发布了一则声明，称有境外黑客组织向该学校师生发送包含木马附件的钓鱼邮件。随后，陕西省西安警方发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本，并正式对此进行立案调查。

西北工业大学，中华人民共和国工业和信息化部直属，中国唯一一所以同时发展航空、航天、航海工程教育和科学研究为特色的全国重点大学，位列国家“双一流”、“985工程”、“211工程”。

与此同时，中国国家计算机病毒应急处理中心和360公司第一时间联合组成技术团队，全程参与此案件的技术分析工作。调查期间提取到多款木马样本，在欧洲、南亚部分国家合作伙伴的支持下，综合利用各种手段对其进行分析，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明了相关攻击活动源自美国国家安全局（NSA）下属的“特定入侵行动办公室” （Office of Tailored Access Operation，后文简称TAO）。

TAO成立于1998年，是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成。经技术分析与溯源，技术团队现已掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据，比如实施攻击的人员13人，NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份、电子文件170余份。

为隐藏自身身份，TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN木马程序，控制了大批跳板机。

TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家。

在针对西北工业大学的网络攻击中，TAO使用了40余种不同的NSA专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析，技术团队从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。

根据调查结果，近些年美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，窃取了超过140GB的高价值数据。

官方报告链接：

https://www.cverc.org.cn/head/zhaiyao/news20220905-NPU.htm

编辑：左右里

资讯来源：中国国家计算机病毒应急处理中心

转载请注明出处和本文链接

每日涨知识

网页篡改

一种利用木马等病毒程序，篡改网页内容的黑客技术。具有传播速度快、复制容易、事后消除影响难和实时防范难的特点。

﹀

﹀

﹀