纽约工业大学

9月5日，国家计算机病毒应急处理中心（VERC）就此前西北工业大学遭网络攻击一事发布调查报告，称此次攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室（TAO）”。据外交部消息，除了窃取高校核心技术数据，美方还长期对我国手机用户进行无差别语音监听、非法窃取短信内容等行为。

VERC发布报告

有安全专家告诉南都记者，由于西北工业大学承担了国家多个重点科研项目，地位特殊，因此才成为网络攻击的重要目标。此次攻击的特别之处在于专业化程度非常高，进行技术分析和溯源的难度较大，且有多家美国大型互联网企业参与配合，“在以往的攻击中，看不到这么多美国企业去配合的情况。”

1

美国国家安全局下属机构主导攻击

南都记者梳理发现，调查报告中西北工业大学遭受的网络攻击事件在今年上半年首次被披露。

4月12日，西北工业大学就邮件系统遭受钓鱼邮件攻击一事向公安机关报案。6月22日，西北工业大学发布《公开声明》，称有来自境外的黑客组织和不法分子向该校师生发送包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息，不过暂未造成重要数据泄露。

6月23日，陕西省西安市公安局碑林分局发布《警情通报》，证实该校邮件系统中的钓鱼邮件内含木马程序，企图非法获取师生电子邮箱登录权限，部分教职工的个人上网电脑也遭受了网络攻击。该分局已提取样本并固定相关证据，初步判定此事件为境外黑客组织和不法分子发起的网络攻击行为。

9月5日，VERC发布《西北工业大学遭美国NSA网络攻击事件调查报告（之一）》（下称《报告》），全面还原了此次网络攻击的总体概貌、技术特征、攻击武器、攻击路径和攻击源头。

根据《报告》，针对此案开展技术分析工作的过程中，VERC和360公司联合组成技术团队，从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，TAO）。

为何选择西北工业大学作为攻击对象？在360公司网络安全专家边亮看来，西北工业大学作为“国防七子”之一，承担了国家多个重点科研项目，地位特殊，因此成为了网络攻击的重要目标。

5日下午，外交部发言人毛宁就此事表示，《报告》揭露了美国政府对我国进行网络攻击的又一实例，除了窃取西北工业大学的核心技术数据，美方还长期对我国手机用户进行无差别语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。

“美方行径严重危害中国国家安全和公民个人信息安全。中方对此强烈谴责，要求美方作出解释并立即停止不法行为。”毛宁说。西北工业大学随后也发布声明称坚决反对以任何形式实施网络攻击。

2

TAO近年窃取我国数据超140GB

为窃取西北工业大学的核心技术数据，美国可谓下了“血本”。

《报告》显示，TAO在此次攻击中先后使用了41种NSA的专用网络攻击武器装备，窃取该大学关键网络设备配置、网管数据、运维数据等核心技术数据。技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个。

具体而言，为掩护其攻击行动，TAO在此次网络攻击行动中先后使用了54台跳板机和代理服务器，其中70%位于中国周边国家。在使用的攻击工具方面，TAO使用了三种漏洞攻击突破类武器，五种持久化控制类武器，两种嗅探窃密类武器和一种隐蔽消痕类武器。

尽管如此，西北工业大学遭受的网络攻击只是冰山一角。《报告》显示，TAO近年来对我国的网络目标实施了上万次恶意网络攻击，窃取了超140GB的高价值数据。

目前，我国的技术团队已掌握TAO实施网络攻击和数据窃密的证据，涉及在美国国内对我国直接发起网络攻击的人员13名，NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份，电子文件170余份。

边亮表示，在此次调查工作中，技术团队凭借多年累积的海量安全大数据以及捕获的高级攻击样本，通过对数据样本进行比对分析，还原了攻击事件的总体概貌，其中包括攻击武器和攻击源头等。

3

攻击专业化程度极高

南都记者梳理发现，近年来，美国频频对我国发起网络攻击。

今年2月，北京奇安盘古实验室发布的报告指出，隶属美国国安局的黑客组织“方程式”对我国、俄罗斯、日本、韩国等全球45个国家、地区开展长达十几年的“电幕行动”网络攻击，行业涵盖电信、大学、科研、经济及军事领域。

3月，国家互联网应急中心检测发现，2月下旬以来，我国互联网持续遭受境外网络攻击，攻击地址主要来自美国，其中仅来自纽约州的就有十余个，攻击流量峰值达36Gbps（指交换带宽，衡量数据交换能力的单位）。这些境外组织通过攻击控制我国境内计算机，进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。

同月，在360公司发布的《网络战序幕：美国国安局NSA（APT-C-40）对全球发起长达十余年无差别攻击》报告中，披露了美国NSA利用网络武器对包括我国在内的全球47个国家及地区403个目标开展网络攻击。不仅如此，360公司发布的APT-C-39报告还曝光了美国中央情报局对我国发动的大规模网络攻击。

尽管美国对我国发起网络攻击已屡见不鲜，但此次西北工业大学的攻击事件仍有些“不同寻常”。

边亮表示，西北工业大学遭受的网络攻击呈现出四方面的特点。首先，此次攻击中有多家美国大型互联网企业参与配合，“在以往的攻击中，看不到这么多美国企业去配合的情况。”

其次，此次攻击的隐蔽性非常强。为了掩盖攻击来源，从而实现对我国网络目标的长期控制和攻击，美国采用了如跳板机、代理服务器等众多技术方式，为我国的技术分析和溯源工作制造了很多困难。

再者，此次攻击的专业化程度非常高。攻击者在攻击中使用了大量专有的定制化网络攻击武器，前期可以利用漏洞突破各类网络防护，中期进行持久化的潜伏和控制，在达到目的后再擦除相关痕迹，“这样的话，我们在分析和溯源过程中会很难找到蛛丝马迹，这次攻击的专业化程度在以往很少见到。”

此外，这次攻击的攻击范围和对象非常广泛，能够针对全球互联网公民进行无差别攻击，其中包括关键基础设施等。

采写：南都记者樊文扬 实习生程雨祺