【環球時報-環球網報道特約記者袁宏】14日,《環球時報》從國家計算機病毒應急處理中心和360獲悉,在偵辦西北工業大學網絡攻擊案過程中,我方成功提取了名為『二次約會』(SecondDate)『間諜』軟件的多個樣本。在多國業內伙伴通力合作下,現已成功鎖定對西北工業大學發起網絡攻擊的美國國家安全局工作人員的真實身份。
2022年6月,西北工業大學發布公開聲明稱,西北工業大學遭受網絡攻擊,有來自境外的黑客組織企圖竊取相關數據。此後,我國成功偵破此次網攻的幕後凶手是美國國家安全局(NSA)信息情報部(代號S)數據偵察局(代號S3)下屬特定入侵行動辦公室(TAO)(代號S32)部門。
據『影子經紀人』泄露的NSA內部文件,該『間諜』軟件為NSA開發的網絡武器,其主要部署在目標網絡邊界設備(網關、防火牆、邊界路由器等),隱蔽監控網絡流量,並根據需要精准選擇特定網絡會話進行重定向、劫持、篡改。
最新消息顯示,國家計算機病毒應急處理中心和360公司在偵辦西北工業大學網絡攻擊案過程中,成功提取了該『間諜』軟件的多個樣本,並鎖定了這起網絡『間諜』行動背後NSA工作人員的真實身份。
隨後的技術分析發現,『間諜』軟件是一款高技術水平的網絡間諜工具。開發者應該具有非常深厚的網絡技術功底,尤其對網絡防火牆技術非常熟悉,其幾乎相當於在目標網絡設備上加裝了一套內容過濾防火牆和代理服務器,使攻擊者可以完全接管目標網絡設備以及流經該設備的網絡流量,從而實現對目標網絡中的其他主機和用戶實施長期竊密,並作為攻擊的『前進基地』,隨時可以向目標網絡投送更多網絡進攻武器。
『間諜』軟件通常結合TAO的各類針對防火牆、路由器的網絡設備漏洞攻擊工具使用,在漏洞攻擊成功並獲得相應權限後,植入至目標設備。『間諜』軟件使用控制方式分為服務端和控制端,服務端部署於目標網絡邊界設備上(網關、防火牆、邊界路由器等),通過底層驅動實時監控、過濾所有流量;控制端通過發送特殊構造的數據包觸發激活機制後,服務端從激活包中解析回連IP地址並主動回連。網絡連接使用UDP協議,通信全程加密,通信端口隨機。控制端可以對服務端的工作模式和劫持目標進行遠程配置,根據實際需要選擇網內任意目標實施中間人攻擊。
據相關人士介紹,中方與業內合作伙伴在全球范圍開展技術調查,經層層溯源,在遍布多個國家和地區上千臺網絡設備中發現了仍在隱蔽運行『間諜』軟件及其衍生版本,同時發現的還有被NSA遠程控制的跳板服務器,這些國家和地區包括德國、日本、韓國、印度和中國臺灣。『在多國業內伙伴通力合作下,我們的工作取得重大突破,現已成功鎖定對西北工業大學發起網絡攻擊的NSA工作人員的真實身份。』
此次我方對『間諜』軟件樣本的成功提取,並展開溯源,進一步表明中國防范抵御美國政府網絡攻擊和維護全球網絡安全的決心,這種將美國政府實施網絡犯罪的細節昭告世界的做法也證明中國具備『看得見』的網絡技術基礎,可以更有力地幫助本國和他國感知風險、看見威脅、抵御攻擊,將具有國家背景的黑客攻擊暴露在陽光下。
相關人士向記者表示,適時將通過媒體公布NSA實施網絡攻擊人員真實身份信息。相信到時將會再次引發全球民眾對美國政府肆意網攻他國的關注。
