今年6月

西北工业大学表示

西工大电子邮件系统遭受网络攻击

9月5日

国家计算机病毒应急处理中心发布

《西北工业大学遭美国NSA网络攻击事件

调查报告（之一）》

据报道

9月27日

《西北工业大学遭美国NSA网络攻击事件

调查报告（之二）》发布

进一步揭露了美国对西北工业大学

组织网络攻击的目的：

渗透控制中国基础设施核心设备

窃取中国用户隐私数据

其中提到：

TAO在网络攻击西北工业大学过程中

暴露出多项技术漏洞

多次出现操作失误

依据工作时间和节假日安排进行判断

针对西北工业大学的攻击窃密者

都是按照美国国内工作日的时间

安排进行活动的

肆无忌惮，毫不掩饰

研究团队发现了攻击实施者的身份线索

并成功查明了

13名攻击者的真实身份

全文如下（滑动查看）：

技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本，综合使用国内现有数据资源和分析手段，并得到欧洲、东南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自于美国国家安全局（NSA）的“特定入侵行动办公室”（即：Office of Tailored Access Operation，后文简称“TAO”）。

本系列研究报告将公布TAO对西北工业大学发起的上千次网络攻击活动中，某些特定攻击活动的重要细节，为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。

一、TAO攻击渗透西北工业大学的流程

TAO对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。

（一）单点突破、级联渗透，控制西北工业大学网络

经过长期的精心准备，TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击，部署“怒火喷射”远程控制武器，控制多台关键服务器。利用木马级联控制渗透的方式，向西北工业大学内部网络深度渗透，先后控制运维网、办公网的核心网络设备、服务器及终端，并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权，窃取身份验证数据，并进一步实施渗透拓展，最终达成了对西北工业大学内部网络的隐蔽控制。

（二）隐蔽驻留、“合法”监控，窃取核心运维数据

TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用，实现进程、文件和操作行为的全面“隐身”，长期隐蔽控制西北工业大学的运维管理服务器，同时采取替换3个原系统文件和3类系统日志的方式，消痕隐身，规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件，TAO远程“合法”监控了一批网络设备和互联网用户，为后续对这些目标实施拓展渗透提供数据支持。

（三）搜集身份验证数据、构建通道，渗透基础设施

TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据，掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征，关联发现TAO非法攻击渗透中国境内的基础设施运营商，构建了对基础设施运营商核心数据网络远程访问的“合法”通道，实现了对中国基础设施的渗透控制。

（四）控制重要业务系统，实施用户数据窃取

TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令，以“合法”身份进入运营商网络，随后实施内网渗透拓展，分别控制相关运营商的服务质量监控系统和短信网关服务器，利用“魔法学校”等专门针对运营商设备的武器工具，查询了一批中国境内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

二、窃取西北工业大学和中国运营商敏感信息

（一）窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据

TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”，长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息，包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。

遭到嗅探的网络设备类型包括固定互联网的接入网设备（路由器、认证服务器等）、核心网设备（核心路由器、交换机、防火墙等），也包括通信基础设施运营企业的重要设备（数据服务平台等），内容包括账号、口令、设备配置、网络配置等信息。

1、窃取西工大核心网络设备账号口令及配置信息

北京时间20××年12月11日6时52分，TAO以位于日本京都大学的代理服务器（IP：130.54.××.××）为攻击跳板，非法入侵了西北工业大学运维网络的“telnet”管理服务器，上传并安装NOPEN木马，然后级联控制其内网监控管理服务器，上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件，然后清痕退出。窃取数据包括路由器、核心网设备（核心路由器、交换机、防火墙）管理账号、口令、设备配置、网络配置等信息。

2、多次窃取接入网认证设备账号口令及配置信息

（1）北京时间20××年5月30日0时28分，TAO以位于日本的代理服务器（IP：210.135.××.××）为攻击跳板，非法入侵了西北工业大学运维网络“telnet”管理服务器，上传并安装NOPEN木马，然后级联控制其内网监控管理服务器，这2台服务器事先均已被安装“饮茶”嗅探工具，TAO远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括接入网认证设备的账号、口令及配置信息。

（2）北京时间20××年7月4日1时12分，TAO利用位于德国莱比锡技术经济和文化学院的代理服务器（IP：141.57.××.××）作为攻击跳板，非法入侵西北工业大学运维网络“telnet”管理服务器，上传并安装NOPEN木马工具，级联控制其内网监控管理服务器等其他3台服务器，这4台服务器事先均已被安装“饮茶”嗅探工具，TAO远程操控木马检索并下载窃密文件后清痕退出。

（3）北京时间20××年10月11日10时35分，TAO利用位于韩国首尔国立江原大学的代理服务器（IP：210.115.××.××）作为攻击跳板，非法入侵西北工业大学运维网络监控管理服务器，上传并安装NOPEN木马工具，然后级联控制其内网备份服务器、认证服务器等其他4台服务器，这5台服务器事先均已被安装“饮茶”嗅探工具，TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。

（4）北京时间20××年10月19日2时46分，TAO以位于韩国大田的高等科学技术研究学院的代理服务器（IP：143.248.××.××）为攻击跳板，非法入侵西北工业大学运维网络“telnet”管理服务器，级联控制其内网监管服务器等其他2台服务器，这3台服务器事先均已被安装“饮茶”嗅探工具，TAO通过远程操控木马检索并下载窃密文件，然后清痕退出。

（二）窃取西北工业大学网络设备运维配置文件和日志文件

美国国家安全局“特定入侵行动办公室”（TAO）长期攻击入侵西北工业大学网络运维管理服务器，秘密窃取网络设备运维配置文件和日志文件。

1、窃取西北工业大学网络运行日志文件

北京时间20××年3月2日3时41分，TAO通过位于日本的代理服务器（IP：210.135.××.××）非法入侵控制西北工业大学1台网络运维管理服务器。3时49分，TAO从该运维管理服务器横向移动到另一台运维监控服务器，以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。

2、窃取西北工业大学服务器定期任务配置脚本

北京时间20××年10月11日10时41分，TAO通过位于韩国的代理服务器（IP：210.115.××.××）入侵控制了西北工业大学一台内网服务器。10时48分，TAO经过两次横向移动，入侵了另一台内网服务器，访问了特定目录下的定期任务配置脚本，共检索到14个用于定期执行任务的配置文件。随后，一次性窃取了这14个文件，这些文件可用于执行定期清理、备份、检查电源等操作。

3、窃取西北工业大学公司服务器系统信息文件

北京时间20××年6月6日1时27分，TAO通过位于韩国的代理服务器（IP：222.122.××.××）入侵控制了西北工业大学一台内网服务器。2时4分，TAO经过两次横向移动，入侵了另一台内网服务器，访问了目录/var/下的系统文件，窃取了60个常用的系统信息文件，被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。

（三）渗透控制中国基础设施核心设备

美国国家安全局“特定入侵行动办公室”（TAO）利用窃取到的网络设备账号口令，以“合法”身份进入中国某基础设施运营商服务网络，控制相关服务质量监控系统，窃取用户隐私数据。

1、窃取中国用户隐私数据

北京时间20××年3月7日22时53分，美国国家安全局“特定入侵行动办公室”（TAO）通过位于墨西哥的攻击代理148.208.××.××，攻击控制中国某基础设施运营商的业务服务器211.136.××.××，通过两次内网横向移动（10.223.140.××、10.223.14.××）后，攻击控制了用户数据库服务器，非法查询多名身份敏感人员的用户信息。

同日15时02分，TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下，被打包回传至攻击跳板，随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。

美国国家安全局“特定入侵行动办公室”（TAO）运用同样的手法，分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分，攻击控制另外1家中国基础设施业务服务器，非法多批次查询、导出、窃取多名身份敏感人员的用户信息。

2、渗透控制全球电信基础设施

据分析，美国国家安全局“特定入侵行动办公室”（TAO）以上述手法，利用相同的武器工具组合，“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作，成功提取并固定了上述武器工具样本，并成功完成了技术分析，拟适时对外公布，协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。

三、TAO在攻击过程中暴露身份的相关情况

美国国家安全局“特定入侵行动办公室”（TAO）在网络攻击西北工业大学过程中，暴露出多项技术漏洞，多次出现操作失误，相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。兹摘要举例如下：

（一）攻击时间完全吻合美国工作作息时间规律

美国国家安全局“特定入侵行动办公室”（TAO）在使用tipoff激活指令和远程控制NOPEN木马时，必须通过手动操作，从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。

首先，根据对相关网络攻击行为的大数据分析，对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间，该时段对应着美国东部时间9时至16时，属于美国国内的工作时间段。其次，美国时间的全部周六、周日中，均未发生对西北工业大学的网络攻击行动。第三，分析美国特有的节假日，发现美国的“阵亡将士纪念日”放假3天，美国“独立日”放假1天，在这四天中攻击方没有实施任何攻击窃密行动。第四，长时间对攻击行为密切跟踪发现，在历年圣诞节期间，所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断，针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的，肆无忌惮，毫不掩饰。

（二）语言行为习惯与美国密切关联

技术团队在对网络攻击者长时间追踪和反渗透过程中（略）发现，攻击者具有以下语言特征：一是攻击者有使用美式英语的习惯；二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序；三是攻击者使用美式键盘进行输入。

（三）武器操作失误暴露工作路径

20××年5月16日5时36分（北京时间），对西北工业大学实施网络攻击人员利用位于韩国的跳板机（IP:222.122.××.××），并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时，在运行上传PY脚本工具时出现人为失误，未修改指定参数。脚本执行后返回出错信息，信息中暴露出攻击者上网终端的工作目录和相应的文件名，从中可知木马控制端的系统环境为Linux系统，且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称（autoutils）。

出错信息如下：

Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569

（四）大量武器与遭曝光的NSA武器基因高度同源

此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中，有16款工具与“影子经纪人”曝光的TAO武器完全一致；有23款工具虽然与“影子经纪人”曝光的工具不完全相同，但其基因相似度高达97%，属于同一类武器，只是相关配置不相同；另有2款工具无法与“影子经纪人”曝光工具进行对应，但这2款工具需要与TAO的其它网络攻击武器工具配合使用，因此这批武器工具明显具有同源性，都归属于TAO。

（五）部分网络攻击行为发生在“影子经纪人”曝光之前

技术团队综合分析发现，在对中国目标实施的上万次网络攻击，特别是对西北工业大学发起的上千次网络攻击中，部分攻击过程中使用的武器攻击，在“影子经纪人”曝光NSA武器装备前便完成了木马植入。按照NSA的行为习惯，上述武器工具大概率由TAO雇员自己使用。

四、TAO网络攻击西北工业大学武器平台IP列表

技术分析与溯源调查中，技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址，举例如下：

五、TAO网络攻击西北工业大学所用跳板IP列表

研究团队经过持续攻坚，成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端，发现了攻击实施者的身份线索，并成功查明了13名攻击者的真实身份。

9月8日，外交部美大司司长杨涛就美国对我西北工业大学实施网络攻击窃密向美国驻华使馆提出严正交涉：

这不是美国政府第一次对中国机构实施网络攻击和窃密敏感信息。美方行径严重侵犯中国有关机构的技术秘密，严重危害中国关键基础设施、机构和个人信息安全，必须立即停止。

延伸阅读：

为什么美国对这所高校虎视眈眈？

扎根西北，为国铸剑，西工大创造了新中国历史上多个特色鲜明的“第一”

西北工业大学（后文称“西工大”）坐落于陕西西安，隶属于工业和信息化部，是我国从事航空、航天、航海工程教育和科学研究领域的重点大学，拥有大量国家顶级科研团队和高端人才，承担国家多个重点科研项目。

走进背靠秦岭的西工大主校区长安校区，一座巨大的雕塑吸引着目光：一个将头深深低下的人，双手捧着一把锋利的剑——这是西工大著名的“为国铸剑，隐姓埋名”雕塑，凝结着西工大的立校之魂。

图为西工大著名的“为国铸剑，隐姓埋名”雕塑，寓意西工大人为国奉献的豪迈情怀，也凝结着西工大的立校之魂。

1961年，西北工业大学划归国防部国防科学技术委员会管理，被确定为国防工业院校，因此也被大家亲切称为“国防七子”之一。西工大创造了新中国历史上多个国防特色鲜明的“第一”，全国第一架小型无人机、第一台地效飞行器、第一型50公斤级水下无人智能航行器和第一台航空机载计算机均诞生于西工大。历史上，铸造、航空宇航制造工程、飞行力学、航空发动机、火箭发动机等6个学科的全国第一位工学博士，均由西工大培养。

作为同时具有航空、航天、航海“三航”工程教育和科学研究的全国重点大学，西工大为我国“三航”事业培养了大批人才，为国防领域关键核心技术自主安全可控和西部建设提供了有力支撑。

在航天领域，西工大曾重点参与载人航天与探月、神舟系列飞船研制等航天项目，是“为中国首次载人航天飞行作出贡献单位”的两所高校之一；在航空领域，一半以上的重大型号总师、副总师是西工大校友，西工大也被社会誉为“总师摇篮”；在航海领域，同样有大批西工大校友活跃在船舶工业、水中兵器行业的重要管理岗位与核心技术岗位上……

据不完全统计，在西工大为国防科技事业发展和国民经济建设输送的20多万名毕业生中，走出了65位共和国将军、48位两院院士，还有6位中国十大杰出青年。

西工大在科研方面拥有强大实力，某些方面的技术水平领先于美国，这让其成为美国的肉中刺、眼中钉

7月4日，一则消息从西工大传来：由该校航天学院空天组合动力创新团队牵头研制的“飞天一号”火箭冲压组合动力在西北某基地成功发射，国际首次验证了煤油燃料火箭冲压组合循环发动机火箭/亚燃、亚燃、超燃、火箭/超燃的多模态平稳过渡和宽域综合能力，突破了热力喉道调节、超宽包线高效燃烧组织等关键技术，飞行试验圆满成功。

西北工业大学在科研方面拥有强大实力，某些方面的技术水平领先于美国，这让其成为美国的肉中刺、眼中钉。为了掌握这所高校的一举一动，获取相关技术研发进展和核心机密，美国再次暴露出“黑客帝国”“窃密帝国”的真面目。

西北工业大学是我国从事航空、航天、航海工程教育和科学研究领域的重点大学，为我国“三航”事业培养了大批人才。图为我国支线飞机总设计师吴兴世在西工大新校区ARJ21-700零号试验机前，同学生分享科研和学习心得。

关于西工大遭受境外网络攻击的调查报告显示，美国国家安全局为了隐匿其对西工大等中国信息网络实施网络攻击的行为，做了长时间准备工作，并且进行了精心伪装。

值得注意的是，网络攻击只是美国的卑劣伎俩之一。以所谓“国家安全”为幌子，美国频频对中国挥舞制裁大棒，将中国企业、机构、高校等列入“实体清单”，其中就包括西工大。

左手发起网络攻击窃取信息，右手进行无端打压阻碍发展。近年来，美国政府不断对中国科研院校、科研重地、科技企业“下黑手”，行径愈发疯狂。

据统计，从2018年3月到2021年12月，美国政府及其职能部门共把600多家中国公司、机构及个人纳入出口管制的“实体清单”。今年8月23日，美国商务部再次以国家安全和外交政策问题为由，将7家中国实体纳入出口管制的“实体清单”。

美国将中国的科技进步视为挑战威胁，妄图通过压制中国以维持其“科技霸权”

“近年来，伴随着中国综合国力的增强，专门遏制中国科技发展的‘技术民族主义’思想在美国甚嚣尘上。”北京理工大学法学院教授肖君拥告诉记者，美国对华科技遏制政策旨在对中国技术进行限制，包括进出口管制、出入境投资限制、电信和电子产品许可制度、签证禁令、金融制裁等。

美国为什么如此执着于动用国家力量，对中国的科技企业和机构进行打压遏制？背景正是中国科技的快速进步。

近十年来，我国基础研究经费提高3倍，国内发明专利、PCT国际申请量跃居全球第一。中国研发人员总量连续9年稳居世界首位。8月9日，日本文部科学省科学技术和学术政策研究所发布的最新报告称，中国科学论文三大指标跃居世界第一，数量质量均超美国。而更让美国“如坐针毡”的是中国在信息和通信技术制造领域的快速追赶。

美国将中国的科技进步视为挑战威胁，不断滥用国内法打压中国尖端科技产业，妄图通过压制中国以维持其“科技霸权”，谋求特权垄断和巨额财富。

“渲染‘技术民族主义’，不仅是美国全球战略的核心，也是支撑美国其他霸权的基础。”肖君拥表示，近年来，美国政府针对中国和其他新兴经济体在科技遏制方面频频推出各类披着法律外衣的霸权举措，已经对全球科技合作与供应链布局产生了恶劣影响，使得全球科技“鸿沟”非但未能弥合，反而日趋增大。

科技成果应该造福全人类，而不该用来给他国发展“使绊子”

“美国为了巩固其全球霸主地位，利用技术资源优势，经常打着‘国家安全’‘人权保护’的幌子，自诩为国际社会的‘网络卫士’‘人权卫士’。但实际上，美国从未停止过对他国政府、企业、个人的无差别监听、窃密与攻击。”肖君拥说。

美国的科技霸权战略虽然重点在针对中国科技企业，但在打压中企的同时，一旦发现包括盟友在内的任何国家和地区对其霸主地位造成影响，同样会毫不留情打击。

面对美国政府频频采取的损人不利己的打压措施，我国应该如何应对？多名专家表示，中国作为世界第二大经济体，走上自主研发的道路是必然趋势。

C919大型客机是我国按照国际民航规章自行研制、具有自主知识产权的大型喷气式民用飞机。2015年11月2日完成总装下线，2017年5月5日成功首飞。2022年8月1日，中国商飞官宣C919完成取证试飞。图为C919在2021年10月中国航空产业大会暨南昌飞行大会上的静态展示。

核心技术、关键技术，化缘是化不来的，要靠自己拼搏。“十四五”规划纲要中，围绕实现科技自立自强，打出了一套“组合拳”——制定实施基础研究十年行动方案，重点布局一批基础学科研究中心；强化国家战略科技力量，健全社会主义市场经济条件下新型举国体制，打好关键核心技术攻坚战；深化人才发展体制机制改革，全方位培养、引进、用好人才，充分发挥人才第一资源的作用……

越是面临封锁打压，越不能搞自我封闭、自我隔绝，而是要实施更加开放包容、互惠共享的国际科技合作战略。“目前，中国已经与160多个国家和地区建立了科技合作关系，参加国际组织和多边机制超过200个。”肖君拥认为，中国树立人类命运共同体意识，深入参与全球科技创新治理，对世界科技创新贡献率大幅提高，正成为全球创新版图中日益重要的一极。

科技开放合作应当正大光明，而不是搞窃听窃密的“小动作”；科技成果应该造福全人类，而不该用来给他国发展“使绊子”。美国网络攻击等犯罪行径注定会被识破揭穿，实施网络霸权的种种逆时代行径必遭到国际社会唾弃与反制。历史一次次证明，遏制打压注定是一场徒劳，任何想要卡中国脖子的做法，只会加速中国的进步发展。

来源：河南共青团综合自中国青年报、央视新闻、中国纪检监察报、视觉中国、微博@人民日报、@西北工业大学 版权归属原作者，如有侵权请联系我们删除

编辑：孙振恒