导读网络武器是什么？它就像一个特工，既能悄悄潜入敌方阵营，在长期潜伏中获取情报、监视动向，也能在时机成熟之时，一举搞瘫对手的网络系统。若是经过官方特训的特工，伤....

网络武器是什么？

它就像一个特工，既能悄悄潜入敌方阵营，在长期潜伏中获取情报、监视动向，也能在时机成熟之时，一举搞瘫对手的网络系统。

若是经过官方特训的特工，伤害指数更上层楼。

近期，西北工业大学遭境外网络武器攻击的新闻，频频在热搜露脸。

得益于技术团队专业而又细致的调查溯源，美国国安局的更多马脚被发现，此事今日再登热一。

我们不妨从头梳理一下这起攻击事件。

2022 年 6 月 22 日，西北工业大学发布一则声明，称遭到境外网络攻击。

而后，西安市公安局碑林分局发布《警情通报》，证实在西北工业大学的信息网络中，发现多款源于境外的木马样本，警方已正式立案调查。

接下来的技术分析，团队由两方联合构成：国家计算机病毒应急处理中心，以及 360 公司。

当调查日益深入，技术特征、攻击武器、攻击路径等脉络逐渐清晰，这起境外隐蔽攻击事件的幕后真凶才浮出水面：美国国家安全局“特定入侵行动办公室”（TAO）。

经过调查发现，近年，TAO 利用网络武器平台、零日漏洞及其控制的昂罗设备，持续扩大网络攻击和范围，对中国国内的网络目标实施了上千次的恶意网络攻击，控制了数以万计的网络设备，窃取了超过 140GB 的高价值数据。

在技术分析和溯源后，技术人员还原了攻击过程和被窃取的文件，并掌握了美国国安局及其下属 TAO 实施网络攻击和数据窃密的证据，涉及美国国内对中国直接发起网络攻击的人员 13 名，以及美国国安局为了隐蔽行动而与美国电信运营商签订的合同 60 余份，电子文件 170 余份。

美国国家安全局“特定入侵行动办公室” (TAO)，这个略显陌生的“办公室”，全称为 Office of Tailored Access Operation，是美国国家安全局（NSA）信息情报部（代号 S）数据侦察局（代号 S3）下属 TAO（代号 S32）部门。

你瞧这隐蔽程度，看的人眼晕。

TAO 成立于 1998 年，力量部署主要依托美国国安局在美国和欧洲的各个密码中心。目前，已被公布的密码中心有 6 个：

1、美国马里兰州米德堡的 NSA 总部；

2、美国夏威夷瓦胡岛的 NSA 夏威夷密码中心（NSAH）；

3、美国佐治亚州戈登堡的 NSA 佐治亚密码中心（NSAG）；

4、美国德克萨斯州圣安东尼奥的 NSA 德克萨斯密码中心（NSAT）；

5、美国科罗拉罗州丹佛马克利空军基地的 NSA 科罗拉罗密码中心（NSAC）；

6、德国达姆施塔特美军基地的 NSA 欧洲密码中心（NSAE）。

TAO 是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由 2000 多名军人和文职人员构成，内设多个机构。

远程操作中心（ROC，代号 S321），主要负责操作武器平台和工具进入并控制目标系统或网络。

先进/接入网络技术处（ANT，代号 S322），负责研究相关硬件技术，为 TAO 网络攻击行动提供硬件相关技术和武器装备支持。

数据网络技术处（DNT，代号 S323），负责研发复杂的计算机软件工具，为 TAO 操作人员执行网络攻击任务提供支撑。

电信网络技术处（TNT，代号 S324），负责研究电信相关技术，为 TAO 操作人员隐蔽渗透电信网络提供支撑。

任务基础设施技术处（MIT，代号 S325），负责开发与建立网络基础设施和安全监控平台，用于构建攻击行动网络环境与匿名网络。

接入行动处（ATO，代号 S326），负责通过供应链，对拟送达目标的产品进行后门安装。

需求与定位处（R&T，代号 S327），接收各相关单位的任务，确定侦察目标，分析评估情报价值。

项目计划整合处（PPI，代号 S32P），负责总体规划与项目管理。

网络战小组（NWT），负责与网络作战小队联络。

此次针对西北工业大学的攻击，行动代号为“阻击XXXX” (shot XXXX)，由 TAO 负责人罗伯特·乔伊斯直接指挥，多机构协同配合。

任务基础设施技术处，负责构建侦察环境、租用攻击资源；

需求与定位处，负责确定攻击行动战略和情报评估；

先进/接入网络技术处、数据网络技术处、电信网络技术处，负责提供技术支撑；

远程操作中心，负责组织开展攻击侦察行动。

TAO 负责人罗伯特·乔伊斯 (Robert Edward Joyce)，出生于 1967 年 9 月 13 日，1993 年于约翰斯·霍普金斯大学取得硕士学位。

1989 年，罗伯特进入美国国家安全局工作，2013 年至 2017 年，担任 TAO 主任。

2017 年 10 月，罗伯特开始担任代理美国国土安全顾问，半年后，担任美国白宫国务安全顾问，后又重返 NSA，担任国安局局长网络安全战略高级顾问，现为 NSA 网络安全主管。

此次，由罗伯特直接指挥 TAO，对西北工业大学发起攻击，使用的美国国安局专用网络攻击武器装备，数量多达 41 种。

不仅武器数量多，而妙的是，武器还能因地制宜，根据目标环境的不同调整配置，举个例子你感受下。

网络武器之一“狡诈异端犯”，是一个后门工具（名字是美方自己取的），在实际攻击中，“狡诈异端犯”这款工具就有多达 14 个版本，狡诈之心尽显。

TAO 使用的 41 种攻击工具，可以分为四大类：

1、漏洞攻击突破类：寻找攻击突破口

这类工具的任务，是对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。

(1) “孤岛”：NSA 使用此武器，攻击控制了西北工业大学的边界服务器。

(2) “酸狐狸”：这是一个武器平台，部署在哥伦比亚，用于对西北工业大学办公内网主机进行入侵。

(3) “剃须刀”：针对开放了指定 RPC 服务的 X86 和 SPARC 架构的 Solarise 系统实施远程漏洞攻击，攻击时可自动探知目标系统服务开放情况，智能选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权。

此武器用于对日本、韩国等国家跳板机的攻击，所控制跳板机被用于对西北工业大学的网络攻击。

2、持久化控制类：隐蔽实施渗透控制行为

通过加密通道发送控制指令，操作这类工具实施对西北工业大学网络的渗透、控制、窃密等行为。

(1) “二次约会”：劫持西北工业大学流经边界设备的流量，引导至“酸狐狸”平台实施漏洞攻击。

它能够长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。

(2) “NOPEN”：对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。

这是一种支持多种操作系统和不同体系架构的远控木马，能通过加密隧道接收指令，执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力。

(3) “怒火喷射”：配合“酸狐狸”，对西北工业大学办公网内部的个人主机实施持久化控制。

这是一款基于 Windows 系统、但支持多种操作系统和不同体系架构的远控木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。

(4) “狡诈异端犯”：实现持久驻留，伺机建立加密管道，上传 NOPEN 木马，在对西北工业大学信息网络长期控制方面，起保驾护航作用。

这是一款轻量级的后门植入工具，运行后即自删除，具备权限提升能力，持久驻留于目标设备上并可随系统启动。

(5) “坚忍外科医生”：隐藏 NOPEN 木马的文件和进程，避免被监控发现。

这是一款针对 Linux、Solaris、JunOS、FreeBSD 操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。

技术分析发现，TAO 在对西北工业大学的网络攻击中，累计使用了该武器的 12 个不同版本。

3、嗅探窃密类：窃取敏感信息和运维数据

TAO 依托此类武器，嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录，进而窃取相关信息。

(1)“饮茶”：嗅探业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等，压缩加密存储后，供 NOPEN 木马下载。

它能够长期驻留在 32 位或 64 位的 Solaris 系统中，通过嗅探进程间通信的方式获取 ssh、telnet、rlogin 等多种远程登录方式下暴露的账号口令。

(2)“敌后行动”系列武器：针对电信运营商特定业务系统的窃密工具。

“系列”一词，说明这类武器有多个成员，在对西北工业大学的网络攻击中，TAO 使用了“魔法学校”、“小丑食物”和“诅咒之火”。

4、隐蔽消痕类：清除犯罪痕迹。

此类武器能够消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。

比如“吐司面包”：用于清除、替换被控西北工业大学上网设备上的各类日志文件，隐藏其恶意行为，TAO 在攻击中先后使用了 3 种版本。

随着调查的深入，诶，有趣的情节出现了。

你没看错，如此严肃的攻击事件调查中，竟也潜藏着一些有趣的东西，那就是 TAO 没藏好、也根本藏不住的狐狸尾巴。

1、从不加班的“正规攻击者”

由于部分攻击操作不是自动/半自动流程，比如使用 tipoff 激活指令和远程控制 NOPEN 木马，攻击者必须手动操作，所以通过分析这些攻击工具的攻击时间，就能知晓攻击者的工作时间。

通过大数据分析，有趣的事情出现了：

（1）对西北工业大学的网络攻击行动，98% 集中在北京时间 21 时至凌晨 4 时之间，也就是美国东部时间 9 时至 16 时，这刚好是美国国内的工作时间段。

（2）美国时间的全部周六、周日中，均未发生对西北工业大学的网络攻击行动。

（3）在美国特有的节假日期间，例如“阵亡将士纪念日”放假 3 天，“独立日”放假 1 天，攻击方没有实施任何攻击窃密行动。

（4）长时间对攻击行为密切跟踪发现，在历年圣诞节期间，所有网络攻击活动都处于静默状态。

从以上发现可知，针对西北工业大学的攻击窃密者，是严格按照美国国内工作日的时间实施攻击活动的。

按时出勤。加班？没这回事。

2、难以改变的语言习惯

在对攻击者的长时间追踪和反渗透中发现，攻击者具有明显的语言特征：

（1）攻击者熟练使用美式英语；

（2）与攻击者相关联的上网设备，都装有英文操作系统，以及各类英文版应用程序；

（3）攻击者使用美式键盘进行输入。

3、不完美的犯罪现场

攻击者在某次对西北工业大学实施第三级渗透，试图控制一台网络设备时，攻击者出现人为失误：在运行上传 PY 脚本工具时，没有修改指定参数，脚本执行后返回的出错信息中，赫然暴露出攻击者上网终端的工作目录及相应文件名。

信息显示，木马控制端的系统环境为 Linux系统，相应目录名为“/etc/autoutils”，autoutils 是 TAO 网络攻击武器工具目录的专用名称。

4、高度同源的武器工具

“影子经纪人”是一个非常神秘的黑客组织，曾公开包括“永恒之蓝”在内的一大批极具破坏力的网络攻击武器。

这次，针对西北工业大学的网络攻击武器多达 41 款，经过与“影子经纪人”曝光的 TAO 网络攻击武器对比，发现以下几点：

（1）其中 16 款与被曝光的 TAO 武器完全一致；

（2）有 23 款工具虽与“影子经纪人”曝光的工具不完全相同，但基因相似度高达 97%，属于同一类武器，只是相关配置不甚相同；

（3）另有 2 款工具，虽无法对应“影子经纪人”曝光的工具，但这 2 款工具需要与 TAO 的其它网络攻击武器工具配合使用。

综上，此次攻击西北工业大学的网络攻击武器，均归属于 TAO。

在持续的技术分析与攻击溯源中，技术团队还发现了一批服务器 IP 地址，是 TAO 用来托管攻击行动所使用的武器装备。

此外，技术团队还锁定了 TAO 对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端，发现了攻击实施者的身份线索，成功查明 13 名攻击者的真实身份。?

而在坚持不懈的技术调查中，美国国安局攻击西工大的另一图谋也浮出水面：查询中国境内敏感身份人员信息。

借助网络攻击武器，TAO 以“合法身份”成功混入运营商网络，在内网实施渗透拓展，先后控制运营商的服务质量监控系统和短信网关服务器，再利用“魔法学校”等专门针对运营商设备的武器，查询了一批中国境内敏感身份人员，并将相关信息打包加密，回传到了美国国安局总部。

由此便能感受到：网络攻击防不胜防，网络安全任重道远。

世界经济论坛《全球网络安全展望》报告显示，2021 年，全球网络攻击数量增加了一倍以上。

面对网络武器问题，国际刑警组织秘书长 Jurgen Stock 深深忧虑：也许当前由军方开发使用的数字武器，明天就会被恶意黑客所利用。

永恒之蓝，就是这种担忧的一个实证。

由美国国安局开发的网络武器“永恒之蓝”，被恶意黑客改造为 WannaCry 勒索病毒，在短短 5 个小时内，暴风骤雨般席卷了大半个地球，英国、俄罗斯、整个欧洲以及中国多个高校校内网、大型企业内网和政府机构专网中招，银行、电力系统、通讯系统、能源企业、机场等重要基础设施均受波及，损失惨重。

由此，WannaCry 化身为网络安全史上一个沉重的里程碑。

谁都无法保证，那些今日尚未公开、由国家开发的网络武器，明日不会被黑客掌握，甚至堂而皇之的在暗网被售卖。

谁都无法保证，今日针对西北工业大学的攻击，明天不会有另一个受害者。

墨菲定律说：会出错的事，总会出错。

我们都清楚，那一天总会到来，这就是网络安全的终极本质：永无休止的攻防对抗。

参考资料：

1、https://weibo.com/ttarticle/x/m/show/id/2309404810286572896311?_wb_client_=1

2、https://weibo.com/ttarticle/x/m/show#/id=2309404818257147199763&_wb_client_=1

---

文 | 木子Yanni

嗨，这里是浅黑科技，在未来面前，我们都是孩子。

想看更多科技故事，欢迎戳→浅黑科技。