西北大学遭到网络攻击事件，攻击源头竟是美国国家安全局

国家计算机病毒应急处理中心披露，西北工业大学遭网络攻击事件系美国国家安全局所为。据调查发现，多年来，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）对我国国内的网络目标实施了上万次恶意攻击，控制了数以万计的网络设备，疑似窃取了超过140GB的高价值数据。

事件回顾

6月22日，西北工业大学发布声明，称遭到境外网络攻击，学校老师和学生收到包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息。这给学校的正常工作和生活秩序造成了重大的风险隐患。该校高度重视网络安全工作，立即将该情况报警。随后，西安警方对该事件立案侦查。

西北工业大学坐落于陕西西安，隶属于工业和信息化部，是中国唯一一所以同时发展航空、航天、航海工程教育和科学研究为特色的全国重点大学，位列国家“双一流”、“985工程”、“211工程”。

数次攻击西北工业大学，使用40多种攻击武器

国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，简称TAO）。

本次调查还发现美国国家安全局（NSA）下属特定入侵行动办公室（TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，包括：网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等，窃取了超过140GB的高价值数据。

针对西北工业大学的攻击中，TAO的内部渗透攻击链路达1100余条，操作指令序列90余个，先后使用了54台跳板机和代理服务器，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。此次攻击中使用的工具分为四大类：漏洞攻击突破类武器、持久化控制类武器、嗅探窃密类武器、隐蔽消痕类武器。

关于TAO

TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成。据报告显示，为掩护其攻击行动，TAO在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设。

TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN木马程序控制大批跳板机。

TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。

西北工业大学遭美国NSA网络攻击事件调查报告，揭露了美国NSA长期以来针对包括西北工业大学在内的中国信息网络用户和重要单位开展网络间谍活动的真相。网络安全为人民，网络安全靠人民。国家、企业和人民都要关注网络安全，提升网络安全意识，加强个人信息保护。没有网络安全，就没有国家安全，每个人都要防范网络安全风险，全民共筑网络安全防线。