网络攻击西工大NSA13人身份曝光 西工大遭网络攻击 源头是美国安局(4)
2023-03-14 来源:你乐谷
北京时间20××年3月2日3时41分,TAO通过位于日本的代理服务器(IP:210.135.××.××)非法入侵控制西北工业大学1台网络运维管理服务器。3时49分,TAO从该运维管理服务器横向移动到另一台运维监控服务器,以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。
2、窃取西北工业大学服务器定期任务配置脚本
北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。
3、窃取西北工业大学公司服务器系统信息文件
北京时间20××年6月6日1时27分,TAO通过位于韩国的代理服务器(IP:222.122.××.××)入侵控制了西北工业大学一台内网服务器。2时4分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了目录/var/下的系统文件,窃取了60个常用的系统信息文件,被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。
(三)渗透控制中国基础设施核心设备
美国国家安全局“特定入侵行动办公室”(TAO)利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。
1、窃取中国用户隐私数据
北京时间20××年3月7日22时53分,美国国家安全局“特定入侵行动办公室”(TAO)通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。
同日15时02分,TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。
美国国家安全局“特定入侵行动办公室”(TAO)运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外1家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。
2、渗透控制全球电信基础设施
据分析,美国国家安全局“特定入侵行动办公室”(TAO)以上述手法,利用相同的武器工具组合,“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作,成功提取并固定了上述武器工具样本,并成功完成了技术分析,拟适时对外公布,协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。
三、TAO在攻击过程中暴露身份的相关情况
2、窃取西北工业大学服务器定期任务配置脚本
北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。
3、窃取西北工业大学公司服务器系统信息文件
北京时间20××年6月6日1时27分,TAO通过位于韩国的代理服务器(IP:222.122.××.××)入侵控制了西北工业大学一台内网服务器。2时4分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了目录/var/下的系统文件,窃取了60个常用的系统信息文件,被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。
(三)渗透控制中国基础设施核心设备
美国国家安全局“特定入侵行动办公室”(TAO)利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。
1、窃取中国用户隐私数据
北京时间20××年3月7日22时53分,美国国家安全局“特定入侵行动办公室”(TAO)通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。
同日15时02分,TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。
美国国家安全局“特定入侵行动办公室”(TAO)运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外1家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。
2、渗透控制全球电信基础设施
据分析,美国国家安全局“特定入侵行动办公室”(TAO)以上述手法,利用相同的武器工具组合,“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作,成功提取并固定了上述武器工具样本,并成功完成了技术分析,拟适时对外公布,协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。
三、TAO在攻击过程中暴露身份的相关情况
av番号大全网
