“黑客帝國”實錘！美國長期監(jiān)聽中國人手機并實施網(wǎng)絡(luò)攻擊

《中國經(jīng)濟周刊》 記者 孫冰 | 北京報道

“黑客帝國”實錘了！

今年6月，西北工業(yè)大學(xué)發(fā)布公開聲明稱，該校遭受境外網(wǎng)絡(luò)攻擊。陜西省西安市公安局碑林分局隨即發(fā)布警情通報證實，在西北工業(yè)大學(xué)的信息網(wǎng)絡(luò)中發(fā)現(xiàn)了多款源于境外的木馬程序樣本，西安警方已對此正式立案調(diào)查。

隨后，中國國家計算機病毒應(yīng)急處理中心和360公司第一時間成立技術(shù)團隊，對此次事件展開調(diào)查工作，配合警方進行此案的技術(shù)分析。

9月5日，國家計算機病毒應(yīng)急處理中心和360公司正式對外發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受境外網(wǎng)絡(luò)攻擊的調(diào)查報告，初步判明攻擊活動源自美國國家安全局（NSA）旗下的“特定入侵行動辦公室”（Office of Tailored Access Operation，簡稱TAO，另譯“接入技術(shù)行動處”）。

報告中稱，技術(shù)團隊先后從多個信息系統(tǒng)和上網(wǎng)終端中捕獲到了木馬程序樣本，綜合使用國內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段，并得到歐洲、南亞部分國家合作伙伴的通力支持，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭。

最終，報告用完整的證據(jù)鏈證實了TAO對中國信息網(wǎng)絡(luò)實施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的事實，披露了TAO在攻擊活動中使用的網(wǎng)絡(luò)資源、專用武器裝備及具體手法。

美國為何會盯上西北工業(yè)大學(xué)？

參與此次調(diào)查的360公司網(wǎng)絡(luò)安全專家告訴《中國經(jīng)濟周刊》記者，美國之所以會將西北工業(yè)大學(xué)作為網(wǎng)絡(luò)攻擊的目標，是因為西北工業(yè)大學(xué)是我國航空航天航海工程、教育和科學(xué)研究領(lǐng)域的重點大學(xué)，承擔(dān)大量國家級重點科研項目科研，“地位十分特殊”。

但是，美國進行長期、大規(guī)模網(wǎng)絡(luò)攻擊的對象絕不僅僅只有西北工業(yè)大學(xué)，360公司網(wǎng)絡(luò)安全專家告訴記者，2020年，360公司曾公開披露美國中央情報局CIA攻擊組織（APT-C-39）對我國進行的長達11年的網(wǎng)絡(luò)攻擊滲透。在此期間，我國航空航天、科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等多個單位均遭到不同程度的攻擊。

今年3月，360還獨家披露了美國國家安全局NSA為達到美國政府情報收集目的，針對全球發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊，其中，我國是NSA組織的重點攻擊目標之一。攻擊對象包括政府、金融、科研院所、軍工、航空航天、醫(yī)療行業(yè)等重要基礎(chǔ)設(shè)施，潛伏滲透的時間長達近10年。

360公司網(wǎng)絡(luò)安全專家還透露，在此次調(diào)查中，技術(shù)團隊經(jīng)過分析發(fā)現(xiàn)，TAO對中國國內(nèi)的網(wǎng)絡(luò)目標實施了上萬次的惡意網(wǎng)絡(luò)攻擊，控制了相關(guān)網(wǎng)絡(luò)設(shè)備（網(wǎng)絡(luò)服務(wù)器、上網(wǎng)終端、網(wǎng)絡(luò)交換機、電話交換機、路由器、防火墻等），疑似竊取了高價值數(shù)據(jù)。

與此同時，美國NSA還利用其控制的網(wǎng)絡(luò)攻擊武器平臺、“零日漏洞”（0day）和網(wǎng)絡(luò)設(shè)備，長期對中國的手機用戶進行無差別的語音監(jiān)聽，非法竊取手機用戶的短信內(nèi)容，并對其進行無線定位。

長期監(jiān)聽中國人手機還實施上萬次網(wǎng)絡(luò)攻擊的TAO是個什么機構(gòu)？

據(jù)360公司網(wǎng)絡(luò)安全專家介紹，TAO是美國國家安全局（NSA）的網(wǎng)絡(luò)戰(zhàn)情報收集部門，是目前美國政府專門從事對他國實施大規(guī)模網(wǎng)絡(luò)攻擊竊密活動的戰(zhàn)術(shù)實施單位，可以說，TAO代表了當(dāng)前全球網(wǎng)絡(luò)攻擊的最高水平。

以此次攻擊西北工業(yè)大學(xué)為例，經(jīng)技術(shù)團隊溯源分析發(fā)現(xiàn)，美國國家安全局TAO部門對西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行動先后使用了49臺跳板機，這些跳板機均經(jīng)過精心挑選，所有IP均歸屬于非“五眼聯(lián)盟”國家，而且大部分選擇了中國周邊國家（如日本、韓國等）的IP，約占70%。這些跳板機僅使用了中轉(zhuǎn)指令，將上一級的跳板指令轉(zhuǎn)發(fā)到目標系統(tǒng)，從而掩蓋美國國家安全局發(fā)起網(wǎng)絡(luò)攻擊的真實IP。

實際上，早在2013年“棱鏡門”事件時，TAO就曾被曝出其運作信息，但至今其仍是一個非常神秘的機構(gòu)。

據(jù)央視新聞、外交政策雜志、華盛頓郵報、德國《明鏡周刊》等國內(nèi)外媒體報道，TAO成立于1998年，其力量部署主要依托NSA在美國和歐洲的各密碼中心。目前已被公布的六個密碼中心分別是位于國安局馬里蘭州的米德堡總部、瓦湖島的國安局夏威夷密碼中心、戈登堡的國安局喬治亞密碼中心、圣安東尼奧的國安局得克薩斯密碼中心、丹佛馬克利空軍基地的國安局科羅拉羅密碼中心和德國達姆施塔特美軍基地的國安局歐洲密碼中心。

TAO目前由2000多名軍人和文職人員組成，下設(shè)遠程操作中心、數(shù)據(jù)網(wǎng)絡(luò)技術(shù)處、網(wǎng)絡(luò)戰(zhàn)小組等10個單位。而TAO的主要工作人員包括軍事和民用計算機黑客、情報分析師、計算機硬件和軟件設(shè)計師以及電氣工程師，實行7×24小時輪班制。

據(jù)360公司網(wǎng)絡(luò)安全專家介紹，TAO的主要職責(zé)是利用互聯(lián)網(wǎng)秘密獲取對手的內(nèi)幕情報。具體包括秘密侵入目標國家的關(guān)鍵信息基礎(chǔ)設(shè)施和重要互聯(lián)網(wǎng)信息系統(tǒng)、破解竊取賬號密碼、突破或破壞對手計算機安全防護系統(tǒng)、監(jiān)聽網(wǎng)絡(luò)流量、竊取隱私和敏感數(shù)據(jù)，獲取通話內(nèi)容、電子郵件、網(wǎng)絡(luò)通信內(nèi)容和手機短信等。

另外據(jù)掌握，TAO還擔(dān)負一項重要職責(zé)，即當(dāng)美國總統(tǒng)命令對他國通信或網(wǎng)絡(luò)信息系統(tǒng)實施癱瘓或摧毀行動時，由TAO將相關(guān)網(wǎng)絡(luò)攻擊武器提供給到美國網(wǎng)絡(luò)戰(zhàn)司令部（U.S.Cyber Command），由該司令部具體組織實施網(wǎng)絡(luò)攻擊行動。

“黑客帝國”實錘，“國家級黑客”下場應(yīng)如何應(yīng)對？

今年6月，外交部發(fā)言人趙立堅曾在例行記者會上如是評論：“美國是名副其實的黑客帝國、竊聽帝國、竊密帝國?！?/p>

實際上，從“棱鏡門”、“怒角”計劃，到“星風(fēng)”計劃、“電幕行動”，再到“蜂巢”平臺、量子攻擊系統(tǒng)……美國的“黑客帝國”已經(jīng)被反復(fù)實錘。而此次TAO的“秘密”被爆再次反映出一個嚴峻的事實：“國家級黑客”已經(jīng)下場。

在今年兩會期間，全國政協(xié)委員，360公司創(chuàng)始人周鴻祎在接受《中國經(jīng)濟周刊》記者采訪時就曾表示，近年來，網(wǎng)絡(luò)攻擊已經(jīng)從虛擬世界影響到了現(xiàn)實世界，小蟊賊、小黑客已經(jīng)成為歷史，以國家級黑客組織為代表的高級別專業(yè)力量入場，關(guān)鍵基礎(chǔ)設(shè)施、城市、大型企業(yè)成為網(wǎng)絡(luò)攻擊的首選目標，數(shù)據(jù)成為新的攻擊對象。

而這就意味著，“對手變了，戰(zhàn)場變了，后果也變了?！敝茗櫟t如是總結(jié)。

“甚至像華為這樣的公司都被某大國入侵過，說明當(dāng)別人用一個國家力量來進攻我們的企業(yè)、高校、科研院所，你根本沒有足夠的力量抵抗，甚至連發(fā)現(xiàn)的能力都沒有。因此，中國在數(shù)字化安全應(yīng)對上也必須要有頂層設(shè)計?！敝茗櫟t說。