新证据！网攻西工大的神秘黑客身份被锁定

朦胧的风

14日，《环球时报》从国家计算机病毒应急处理中心和360获悉，在侦办西北工业大学网络攻击案过程中，我方成功提取了名为“二次约会”（SecondDate）“间谍”软件的多个样本。在多国业内伙伴通力合作下，现已成功锁定对西北工业大学发起网络攻击的美国国家安全局工作人员的真实身份。
2022年6月，西北工业大学发布公开声明称，西北工业大学遭受网络攻击，有来自境外的黑客组织企图窃取相关数据。此后，我国成功侦破此次网攻的幕后凶手是是美国国家安全局（NSA）信息情报部（代号S）数据侦察局（代号S3）下属特定入侵行动办公室（TAO）（代号S32）部门。

据“影子经纪人”泄露的NSA内部文件，该“间谍”软件为NSA开发的网络武器，其主要部署在目标网络边界设备（网关、防火墙、边界路由器等），隐蔽监控网络流量，并根据需要精准选择特定网络会话进行重定向、劫持、篡改。

最新消息显示，国家计算机病毒应急处理中心和360公司在侦办西北工业大学网络攻击案过程中，成功提取了该“间谍”软件的多个样本，并锁定了这起网络“间谍”行动背后NSA工作人员的真实身份。

随后的技术分析发现，“间谍”软件是一款高技术水平的网络间谍工具。开发者应该具有非常深厚的网络技术功底，尤其对网络防火墙技术非常熟悉，其几乎相当于在目标网络设备上加装了一套内容过滤防火墙和代{过}{滤}理服务器，使攻击者可以完全接管目标网络设备以及流经该设备的网络流量，从而实现对目标网络中的其他主机和用户实施长期窃密，并作为攻击的“前进基地”，随时可以向目标网络投送更多网络进攻武器。

“间谍”软件通常结合TAO的各类针对防火墙、路由器的网络设备漏洞攻击工具使用，在漏洞攻击成功并获得相应权限后，植入至目标设备。“间谍”软件使用控制方式分为服务端和控制端，服务端部署于目标网络边界设备上（网关、防火墙、边界路由器等），通过底层驱动实时监控、过滤所有流量；控制端通过发送特殊构造的数据包触发激活机制后，服务端从激活包中解析回连IP地址并主动回连。网络连接使用UDP协议，通信全程加密，通信端口随机。控制端可以对服务端的工作模式和劫持目标进行远程配置，根据实际需要选择网内任意目标实施中间人攻击。

据相关人士介绍，中方与业内合作伙伴在全球范围开展技术调查，经层层溯源，在遍布多个国家和地区上千台网络设备中发现了仍在隐蔽运行“间谍”软件及其衍生版本，同时发现的还有被NSA远程控制的跳板服务器，这些国家和地区包括德国、日本、韩国、印度和中国台湾。“在多国业内伙伴通力合作下，我们的工作取得重大突破，现已成功锁定对西北工业大学发起网络攻击的NSA工作人员的真实身份。”

此次我方对 “间谍”软件样本的成功提取，并展开溯源，进一步表明中国防范抵御美国政府网络攻击和维护全球网络安全的决心，这种将美国政府实施网络犯罪的细节昭告世界的做法也证明中国具备“看得见”的网络技术基础，可以更有力地帮助本国和他国感知风险、看见威胁、抵御攻击，将具有国家背景的黑客攻击暴露在阳光下。

相关人士向记者表示，适时将通过媒体公布NSA实施网络攻击人员真实身份信息。相信到时将会再次引发全球民众对美国政府肆意网攻他国的关注。

https://mil.sina.cn/2023-09-14/detail-imzmrvhh7493886.d.html

cfdiyr

又想起以前听过的段子。现在看这不是段子。这是事实。黑人兄弟说，我们偷来、抢来的东西，首先是赶快分销或分发出去；他们白人偷来、抢来的东西，会放在一大房子里，并标明偷抢时间、地点，你想看看这些本属于你的东西，还得每次付50美元。然后靠这钱忽悠一堆被打劫的后代到说打劫的很有良心看看不收钱。

mifanu

牛，连美国哪个办公室的电脑发起的攻击，都分析出来了。

苍井空

他这个是攻击资料存储服务器还是个人计算机？这种级别的进攻，如果个人计算机安装了带防火墙的杀毒软件，且电脑的确没有中毒，正确设置安全设置之后，还能把资料盗走吗？

dg1vg4

苍井空 发表于 2023-9-15 11:33
他这个是攻击资料存储服务器还是个人计算机？这种级别的进攻，如果个人计算机安装了带防火墙的杀毒软件，且 ...

不好说，上回Stuxnet，安全人员发现它利用了至少四个零日漏洞，每个都是稀世兵器级别的。还盗用了两家公司的数字签名。

qaqaz

多亏国内也有高手，不然就都让人家偷去了。学好计算机很重要的

ppt1845

写了这么多。
其实根本就没有公布具体身份信息。

柯林

所以重要单位，还是物理隔离。

mojie006

不赖，物理隔离很重要啊

mifanu

ppt1845 发表于 2023-9-18 16:46
写了这么多。
其实根本就没有公布具体身份信息。

第一段结尾说了，"美国安局入侵办"，编号s32。