外交部：中方要求美方对恶意网络攻击作出解释，但美方一直沉默

　　#中方要求美方对恶意网络攻击作出解释但美方沉默#【外交部：中方要求美方对恶意网络攻击作出解释，但美方一直沉默】9月28日，外交部发言人汪文斌主持例行记者会。

　　有记者提问，昨天，中国国家计算机病毒应急处理中心发布了《西北工业大学遭美国国家安全局网络攻击事件调查报告（之二）》，详细披露了美国国家安全局“特定入侵行动办公室”，以日本、德国、韩国等为跳板，在荷兰、丹麦等国设置相关网络武器托管，控制中国相关关键基础设施，向西北工业大学内部网络深度渗透，窃取大量账号口令、身份验证、系统日志、访问权限、文档资料、网络配置等关键敏感数据和敏感人员信息。美国还秘密控制不少于至少80个国家的电信运营企业，对全球电信用户实施无差别的通讯监听。中方对此有何评论？

　　汪文斌说，这是本月内中国的相关机构针对美国家安全局对西北工业大学进行恶意网络攻击第3次发布调查报告，向外界公布了更多美方安全机构对中方实施大规模网络攻击的证据。

　　汪文斌表示，近期中方已通过不同渠道要求美方对恶意网络攻击作出解释，并立即停止不法行为。但到目前为止，美方一直保持沉默。美方在编造散播所谓“中国黑客”的谎言时高调积极，对中国相关机构公布的实锤铁证却视而不见、避而不谈。人们不禁要问，这背后到底隐藏着什么见不得人的秘密？

　　汪文斌指出，长期以来，作为公认的黑客帝国、窃密大户，美国凭借在互联网领域的绝对优势，在全球范围实施无差别网络控制和窃密，借以谋求政治、军事、外交和商业利益。美国的网络黑手越伸越长，这已经成为国际社会日益强烈的共同关切。越来越多的事实一再证明，美国是全球网络安全的最大威胁。我们呼吁各国团结起来，共同抵制侵犯网络主权、破坏国际规则的霸权行径，共同营造和平、安全、开放、合作的网络空间。

　　 早前报道

　　 独家披露！美国网络攻击西北工业大学过程中对我基础设施渗透控制（环球网）

　　[环球时报-环球网报道 记者 袁宏]《环球时报》记者从有关部门独家获悉，美国国家安全局（NSA）“特定入侵行动办公室”（TAO）在对西北工业大学发起网络攻击的过程中构建了对我一些基础设施核心数据网络远程访问的“合法”通道，对我一些基础设施渗透控制。

　　2022年6月22日，西北工业大学发布公开声明称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布警情通报，证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本，西安警方已对此正式立案调查。

　　随后，有关部门在对此案开展技术分析工作时发现，TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据，掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。

　　技术人员根据TAO攻击方式、渗透工具、木马样本等特征深入分析，发现TAO非法攻击渗透中国境内某基础设施，构建了对核心数据网络远程访问的“合法”通道，对我一些基础设施的渗透控制。

　　近期，有关部门将进一步对外公布TAO对西北工业大学进行网络攻击的流程和细节，本报将在第一时间发布最新内容。

　　 此前报道：更多内容曝光！西北工业大学遭美国NSA网络攻击事件调查报告发布（央视）

　　央视网消息：今天（9月5日），国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。调查发现，美国国家安全局（NSA）下属的“特定入侵行动办公室”（TAO）多年来对我国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备，疑似窃取了高价值数据。

　　今年4月，西安市公安机关接到一起网络攻击的报警，西北工业大学的信息系统发现遭受网络攻击的痕迹。

　　西安市公安机关对此高度重视，立即组织警力与网络安全技术专家成立联合专案组对此案进行立案侦查。国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，简称TAO ）。

　　本次调查还发现，在近年里，美国国家安全局（NSA）下属特定入侵行动办公室（TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，包括：网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等，窃取了超过140GB的高价值数据。

　　联合技术团队经过复杂的技术分析与溯源，还原了西北工业大学遭受网络攻击的过程和被窃取的文件，掌握了美国国家安全局（NSA）下属的“特定入侵行动办公室”（TAO）对中国信息网络实施网络攻击和数据窃密的相关证据，涉及在美国国内对中国直接发起网络攻击的人员13名，以及美国国家安全局（NSA）通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份、电子文件170余份。

　　　 　使用41种网络攻击武器 窃取数据

　　此次调查发现，针对西北工业大学的网络攻击中，美国国家安全局（NSA）下属的“特定入侵行动办公室”（TAO）使用了41种不同的专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

　　此次遭受攻击的西北工业大学位于陕西西安，隶属于工业和信息化部，是一所多科性、研究型、开放式大学。

　　调查报告显示，美国国家安全局（NSA）在对西北工业大学的网络攻击行动中，先后使用了41种专用网络攻击武器装备，仅后门工具“狡诈异端犯”（ NSA 命名）就有14款不同版本。

　　通过取证分析，技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个，并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其他类型的日志和密钥文件以及其他与攻击活动相关的主要细节。

　　技术团队将此次攻击活动中所使用的武器类别分为四大类，具体包括漏洞攻击突破类武器、持久化控制类武器、嗅探窃密类武器、隐蔽消痕类武器。

　　此次调查报告披露，美国国家安全局（NSA）利用大量网络攻击武器，针对我国各行业龙头企业、政府、大学、医疗、科研等机构长期进行秘密黑客攻击活动。

　　调查同时发现，美国国家安全局（NSA）还利用其控制的网络攻击武器平台、“零日漏洞“（Oday）和网络设备，长期对中国的手机用户进行无差别的语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。

　　　 　做长时间准备工作 精心伪装网络攻击痕迹

　　此次调查报告披露，美国国家安全局（NSA）为了隐匿其对西北工业大学等中国信息网络实施网络攻击的行为，做了长时间准备工作，并且进行了精心伪装。

　　技术团队分析发现，美国国家安全局（NSA）下属的“特定入侵行动办公室”（TAO）在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设。特定入侵行动办公室（TAO）利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，即安装NOPEN木马程序，控制了大批跳板机。

　　“特定入侵行动办公室”（TAO）在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。其中，用以掩盖真实IP的跳板机都是精心挑选，所有IP均归属于非“五眼联盟”国家。

　　针对西北工业大学攻击平台所使用的网络资源涉及代理服务器，美国国家安全局（NSA）通过秘密成立的两家掩护公司购买了埃及、荷兰和哥伦比亚等地的IP，并租用一批服务器。

　　美国国家安全局（NSA）为了保护其身份安全，使用了美国隐私保护公司的匿名保护服务，相关域名和证书均指向无关联人员，以便掩盖真实攻击平台对西北工业大学等中国信息网络展开的多轮持续性攻击、窃密行动。

　　技术团队还发现，相关网络攻击活动开始前，美国国家安全局（NSA）在美国多家大型知名互联网企业配合下，将掌握的中国大量通信网络设备的管理权限，提供给美国国家安全局等情报机构，为持续侵入中国国内的重要信息网络大开方便之门。

　　　 　TAO：网络攻击窃密活动的战术实施单位

　　调查报告显示，美国国家安全局（NSA）下属的“特定入侵行动办公室”（TAO）不仅对中国国内的各重点企业和机构实施恶意网络攻击，而且还长期对中国的手机用户进行无差别的语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。那么这个简称TAO的“特定入侵行动办公室”到底是一个什么机构呢？

　　经技术分析和网上溯源调查发现，实施此次网络攻击行动美国国家安全局（NSA）下属“特定入侵行动办公室”（TAO）部门成立于 1998年，其力量部署主要依托美国国家安全局（NSA）在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是：

　　1。 国安局马里兰州的米德堡总部；

　　2。瓦湖岛的国安局夏威夷密码中心（NSAH）；

　　3。戈登堡的国安局乔治亚密码中心（NSAG）；

　　4。圣安东尼奥的国安局德克萨斯密码中心（NSAT）；

　　5。丹佛马克利空军基地的国安局科罗拉罗密码中心（NSAC）；

　　6。德国达姆施塔特美军基地的国安局欧洲密码中心（NSAE）。

　　“特定入侵行动办公室”TAO 是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由 2000 多名军人和文职人员组成，下设10个单位，美国国家安全局（NSA）针对西北工业大学的攻击窃密行动负责人是罗伯特·乔伊斯（Robert Edward Joyce ）。此人于 1967年9月13日出生，1989 年进入美国国家安全局工作，曾经担任过“特定入侵行动办公室”（TAO）副主任、主任，现担任美国国家安全局（NSA）网络安全主管。

　　 专家呼吁提高网络安全防范

　　调查报告显示，一直以来，美国国家安全局（NSA）针对我国各行业龙头企业、政府、大学、医疗机构、科研机构甚至关乎国计民生的重要信息基础设施运维单位等机构长期进行秘密黑客攻击活动。其行为或对我国的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害，值得我们深思与警惕。

　　此次西北工业大学联合中国国家计算机病毒应急处理中心与360公司，全面还原了数年间美国国家安全局（NSA）利用网络武器发起的一系列攻击行为，打破了一直以来美国对我国的单向透明优势。面对国家级背景的强大对手，首先要知道风险在哪，是什么样的风险，什么时候的风险。

　　调查报告认为，西北工业大学此次公开发布遭受境外网络攻击的声明，本着实事求是、绝不姑息的决心，坚决一查到底，积极采取防御措施的行动值得遍布全球的美国国家安全局（NSA） 网络攻击活动受害者学习，这将成为世界各国有效防范抵御美国国家安全局（NSA）后续网络攻击行为的有力借鉴。

责任编辑：陈琰 SN225