美被指网攻西北工业大学，最新调查揭曾查询中国境内敏感身份人员（图）

位于陕西西安市的西北工业大学今年6月22日发布公开声明，称该校遭受境外网络攻击。本月初，国家计算机病毒应急处理中心和360公司分别发布了调查报告，指西工大遭受的境外网络攻击来自美国国家安全局（NSA）特定入侵行动办公室（Office of Tailored Access Operation，简称TAO）。

周二（27日），《环球时报》报道指，最新调查报告进一步揭露了美国对西工大组织网络攻击的目的，并显示在入侵过程中，美方还查询一批中国境内敏感身份人员。

据报道，国家计算机病毒应急处理中心和360公司全程参与案件的技术分析，在持续攻坚后成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端，并成功查明13名攻击者的真实身份。

最新调查报告进一步表明，TAO长期隐蔽控制西工大的运维管理服务器，并采取替换原系统文件和擦除系统日志的方式消痕隐身以规避溯源；网络安全技术人员根据隐蔽链路、渗透工具、木马样本等特征关联，发现TAO还对中国基础设施运营商核心数据网络实施渗透控制。

此外，TAO还透过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令，以「合法」身份进入运营商网络实施内网渗透拓展，控制相关运营商的服务质量监控系统和短信网关服务器，并利用专门针对运营商设备的武器工具，如「魔法学校」等，来查询一批中国境内敏感身份人员，再将用户信息打包加密后，经多级跳板回传至NSA总部。

报道指，新报告公布的一系列细节进一步证明TAO实施网络攻击行为，包括其窃取中国用户隐私数据的时间及方式，相当于「人赃俱获」。

值得一提的是，TAO在实施网络攻击中曾因操作失误暴露工作路径，当时网络攻击人员利用位于韩国的跳板机，并使用NOPEN木马再次攻击西工大，但在对校内网实施第三级渗透后试图入侵控制一台网络设备期间，在运行上传PY脚本工具时出现人为失误，未修改指定参数。脚本执行后返回出错信息，当中攻击者上网终端的工作目录和相应的文件名暴露，从而得知木马控制端的系统环境为Linux系统，且相应目录名「/etc/autoutils」为TAO网络攻击武器工具目录的专用名称（autoutils）。

而据大数据分析，多达98%的对西工大网络攻击行动集中在北京时间21时至凌晨4时之间，该时段属于美国国内的工作时间段，而美国时间的周六、周日时间内，则均未发生相关网络攻击行动。

另外，美国「阵亡将士纪念日」的3天假期及「独立日」的1天假期中，攻击方皆没有实施任何攻击窃密行动；在长期的对攻击行为密切跟踪中，还发现在历年圣诞节期间，所有网络攻击活动都处于静默状态。