美国网络攻击西工大另一图谋曝光
(二)隐蔽驻留、“合法”监控,窃取核心运维数据
TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。
(三)搜集身份验证数据、构建通道,渗透基础设施
TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。
(四)控制重要业务系统,实施用户数据窃取
TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。