视频 | 细节曝光！美国网络“黑手”是这样伸进西工大的

中国西北工业大学遭受境外网络攻击一事，在舆论场持续发酵。

9月初，中国国家计算机病毒应急中心发布了第一份调查报告，指出此次网络攻击源头是美国国安局下属的办公室TAO。20余天过去，该团队发布了第二份报告，披露了更多重要细节。

美国网络“黑手”不止于窃取信息

报告显示，TAO经过长期的精心准备，使用“酸狐狸”平台对西工大内部主机和服务器，实施中间人劫持攻击，部署“怒火喷射”远程控制武器，控制多台关键服务器。

并且，TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令，操作记录以及系统日志等关键敏感数据，掌握了一批设备账号口令、访问权限等。

对于TAO在网络攻击中多次窃取网络设备运维配置文件和日志文件的图谋，中国现代国际关系研究院科技与网络安全研究所执行所长李艳指出，此举意在对西工大网络系统安全进行“摸底”，“如果把系统比喻成一个人，这样就大体了解此人的体质和健康状况，摸下来就哪里强壮、哪里薄弱，都可以做到心中有数”，这些行为也是渗透与攻击活动的第一步。

此外，中方调查报告还显示，TAO在通过网络攻击，多次进入中国某基础设施运营商的业务服务器，查询、导出、窃取多名身份敏感人员的用户信息。

“更大的危害是对关键基础设施本身发起攻击”，李艳提醒，网络黑客造成的危害，不仅仅在于信息泄露。

在信息化时代，社会生产和生活极大地依赖于这些关键基础设施，甚至可以说是日常生活的命脉。李艳指出，美国在网络空间推行进攻性的战略理念，就是渗透到目标国的关键基础设施里面寻找发现薄弱环节，在必要、关键时刻发起网络攻击。“一旦关键基础设施受袭，对国家安全、社会稳定甚至民生经济，都会产生不可估量的重大影响。”

网络攻击西工大的TAO 身份是这样暴露的

值得注意的是，中方技术团队在对美国国家安全局NSA网络攻击西北工业大学的调查过程中，通过对攻击者多项技术漏洞、多次操作失误的分析，成功发现了攻击实施者的身份线索，“顺藤摸瓜”查明了13名攻击者的真实身份。

根据对网络攻击行为的大数据分析，对西工大的网络攻击行动98%集中在北京时间21时至凌晨4时之间，该时段属于美国国内的工作时间段。而且，美国时间的全部周六、周日以及美国特有节假日，所有网络攻击活动都处于静默状态，未实施任何攻击窃密行动。

其次，攻击者有使用美式英语的习惯，且相关联的上网设备均安装了英文操作系统及各类英文版应用程序，攻击者还使用美式键盘输入内容。

360公司网络安全专家边亮讲述了其中一个细节：“比如说我们抓到，他发送脚本的命令是有错的。于是，我们把这个出错信息返回给攻击者，给他以提示。那么，这个信息里边就包括了攻击者他当前的操作系统的环境，这样一来其实就暴露了攻击者相关的信息，是美国的作战办公室。”

另外，此次被捕获的41款对西北工业大学进行攻击窃密的武器工具中，有16款工具与2016年TAO被曝光的网络攻击武器完全一致，另有23款基因相似度高达97%。分析发现，这批武器工具明显具有同源性，大概率由TAO雇员自己使用。

对于美方的网络攻击行为，中方调查报告评价其“肆无忌惮、毫不掩饰”，引人侧目。在中国国际问题研究院研究员杨希雨看来，美方黑客活动之所以如此猖獗、如此的明目张胆，实则源于美方的网络霸权思维，“即便被抓了现行，既不脸红也毫无愧疚感，毫不忌讳的说是出于维护国家安全。”

如何捉住美方网络“黑手” 中方有话要说

美国国家安全局下属TAO网络攻击中国西北工业大学，引发外界关注。而中方相继披露多次重要细节，李艳认为，此举对其他国家有效发现和防范美方网络攻击提供了非常有益的借鉴。

回顾近10年以来，美方指责中国发起所谓针对美方的网络攻击而进行的相关溯源，其中披露的证据链条并不完整，而此次中国国家计算机病毒应急中心发布的溯源报告，环环相扣、层层推进，向专业人士和公众披露了相关详细信息。在李艳看来，中方发布报告的态度不但克制、审慎，而且极其负责任。

值得一提的是，中方在进行技术溯源时也得到了其他国家技术团队的支持。李艳认为，今后应该在此领域积极开展国际合作。除了技术之外，还可以探索机制方面的合作，“以此来保障溯源的合法性、权威性、正当性和稳定性”。

（看看新闻Knews编辑 李瑶）