发布日期:
再添新证!网攻西工大的神秘黑客身份被锁定
近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。技术分析报告显示,“二次约会”间谍软件是美国国家安全局(NSA)开发的网络间谍武器,该软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,它与其他恶意软件配合可以完成复杂的网络“间谍”活动。
起底“二次约会”间谍软件
近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。据了解,在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局(NSA)网络攻击案过程中,成功提取了这款间谍软件的多个样本,并锁定了这起网络间谍行动背后美国国家安全局(NSA)工作人员的真实身份。
技术分析报告显示,“二次约会”间谍软件是美国国家安全局(NSA)开发的网络间谍武器,该软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,它与其他恶意软件配合可以完成复杂的网络“间谍”活动。
国家计算机病毒应急处理中心高级工程师杜振华介绍,该软件是具有高技术水平的网络间谍工具,使攻击者能够全面接管被攻击的(目标)网络设备以及流经这些网络设备的网络流量,从而实现对目标网络中主机和用户的长期窃密,同时还可以作为下一阶段攻击的“前进基地”,随时向目标网络中投送更多网络攻击武器。
据专家介绍,“二次约会”间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上,其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。另外,“二次约会”间谍软件支持在各类操作系统上运行,同时兼容多种体系架构,适用范围较广。“该间谍软件通常是结合特定入侵行动办公室(TAO)的各类针对防火墙、网络路由器的网络设备漏洞攻击工具一并使用。一旦漏洞攻击成功,攻击者成功获得了目标网络设备的控制权限,就可以将这款网络间谍软件植入到目标的网络设备中。”
报告显示,国家计算机病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查,经层层溯源,发现了上千台遍布各国的网络设备中仍在隐蔽运行的“二次约会”间谍软件及其衍生版本,并发现被美国国家安全局(NSA)远程控制的跳板服务器,其中多数分布在德国、日本、韩国、印度和中国台湾。杜振华表示:“在多国业内伙伴的通力配合下,我们的联合调查工作取得了突破性进展。目前已经成功锁定了针对西北工业大学发动网络攻击的美国国家安全局(NSA)相关工作人员的真实身份。”
美国对我国基础设施渗透控制
去年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击,随后西安警方正式立案调查,国家计算机病毒应急处理中心和360公司联合组成技术团队全程参与了此案的技术分析工作,并于去年9月5日发布了第一份“西北工业大学遭受美国NSA网络攻击调查报告”,调查报告指出此次网络攻击源头系美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)。
去年9月27日,技术团队再次发布相关网络攻击的调查报告,报告披露,特定入侵行动办公室(TAO)在对西北工业大学发起网络攻击过程中构建了对我国基础设施运营商核心数据网络远程访问的(所谓)“合法”通道,实现了对我国基础设施的渗透控制。
此次调查报告显示,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
技术团队发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)经过长期的精心准备,使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。
报告显示,特定入侵行动办公室(TAO)通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。
技术团队根据特定入侵行动办公室(TAO)攻击链路、渗透方式、木马样本等特征,关联发现其非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的(所谓)“合法”通道,实现了对中国基础设施的渗透控制。
报告显示,特定入侵行动办公室(TAO)通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以(所谓)“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
综合央视新闻等报道
起底“二次约会”间谍软件
近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。据了解,在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局(NSA)网络攻击案过程中,成功提取了这款间谍软件的多个样本,并锁定了这起网络间谍行动背后美国国家安全局(NSA)工作人员的真实身份。
技术分析报告显示,“二次约会”间谍软件是美国国家安全局(NSA)开发的网络间谍武器,该软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,它与其他恶意软件配合可以完成复杂的网络“间谍”活动。
国家计算机病毒应急处理中心高级工程师杜振华介绍,该软件是具有高技术水平的网络间谍工具,使攻击者能够全面接管被攻击的(目标)网络设备以及流经这些网络设备的网络流量,从而实现对目标网络中主机和用户的长期窃密,同时还可以作为下一阶段攻击的“前进基地”,随时向目标网络中投送更多网络攻击武器。
据专家介绍,“二次约会”间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上,其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。另外,“二次约会”间谍软件支持在各类操作系统上运行,同时兼容多种体系架构,适用范围较广。“该间谍软件通常是结合特定入侵行动办公室(TAO)的各类针对防火墙、网络路由器的网络设备漏洞攻击工具一并使用。一旦漏洞攻击成功,攻击者成功获得了目标网络设备的控制权限,就可以将这款网络间谍软件植入到目标的网络设备中。”
报告显示,国家计算机病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查,经层层溯源,发现了上千台遍布各国的网络设备中仍在隐蔽运行的“二次约会”间谍软件及其衍生版本,并发现被美国国家安全局(NSA)远程控制的跳板服务器,其中多数分布在德国、日本、韩国、印度和中国台湾。杜振华表示:“在多国业内伙伴的通力配合下,我们的联合调查工作取得了突破性进展。目前已经成功锁定了针对西北工业大学发动网络攻击的美国国家安全局(NSA)相关工作人员的真实身份。”
美国对我国基础设施渗透控制
去年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击,随后西安警方正式立案调查,国家计算机病毒应急处理中心和360公司联合组成技术团队全程参与了此案的技术分析工作,并于去年9月5日发布了第一份“西北工业大学遭受美国NSA网络攻击调查报告”,调查报告指出此次网络攻击源头系美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)。
去年9月27日,技术团队再次发布相关网络攻击的调查报告,报告披露,特定入侵行动办公室(TAO)在对西北工业大学发起网络攻击过程中构建了对我国基础设施运营商核心数据网络远程访问的(所谓)“合法”通道,实现了对我国基础设施的渗透控制。
此次调查报告显示,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。
技术团队发现,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)经过长期的精心准备,使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。
报告显示,特定入侵行动办公室(TAO)通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。
技术团队根据特定入侵行动办公室(TAO)攻击链路、渗透方式、木马样本等特征,关联发现其非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的(所谓)“合法”通道,实现了对中国基础设施的渗透控制。
报告显示,特定入侵行动办公室(TAO)通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以(所谓)“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
综合央视新闻等报道