9月5日,就在今天国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》。报告显示网络攻击源头系美国国家安全局(NSA)。
技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)。
美国安局(NSA)使用41种网络攻击武器窃取数据
此次调查发现,NSA针对西北工业大学的网络攻击,使用了41种不同的专属网络攻击武器,仅后门工具“狡诈异端犯”就有14款不同版本。持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
技术团队发现,NSA在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其他类型的日志和密钥文件以及其他与攻击活动相关的主要细节。
国家计算机病毒应急处理中心高级工程师 杜振华:从最开始的这种漏洞的攻击突破,突破之后去投送这种第二类的,我们说持久控制类的武器工具。那么再到第三类,那么它实现这种嗅探的窃密,那么长期的潜伏窃取我们重要的数据,然后把这个攻击活动,它认为任务已经完成之后,那么开始使用第四类的武器就是隐蔽消痕类,把现场清理干净,让被害人无法察觉。
总结此次攻击流程:1、漏洞攻击突破;2、持久化控制;3、嗅探窃密;4、隐蔽消痕。
此次调查发现,NSA利用大量网络攻击武器不仅仅是针对西工大(高校),其目标包括我国龙头企业、政府、医疗、科研等机构展开的长期攻击活动。
调查报告认为,此次西北工业大学公开发布遭受境外网络攻击的声明,以及积极采取防御措施的行动,值得NSA网络攻击活动受害者们学习,这将成为世界各国有效防范抵御美国安全局后续网络攻击行为的有力借鉴。
目前,我国政企正在全面信息化、数据化,关键重点机构运行都是由数据来驱动的,一旦遭遇数据被窃取或者被破坏,那么将会带来严重后果,甚至威胁到国家安全。
商务密邮建议政企用户,在威胁来临之前提前部署安全防护策略,避免类似事件的发生,具体策略如下:
1、 数据具有易复制的属性,所以企业应对敏感数据进行加密储存、加密传输。确保内部数据不外泄。
2、建立分类分级管控体系。对数据进行分类分级管理,不同层级、不同部门的人员访问数据不同,实现不同部门不同职别对网络资源的访问权限管控。
3、 对传输的敏感数据进行加密后发送,进行必要的加密措施。即使黑客通过技术手段拦截获取敏感信息,也无法轻易获得真实内容。
4、企业应部署数据防泄露系统(DLP),一旦有敏感数据外发,可及时阻断,有效防止员工无意或恶意将内部涉密数据泄露。
5、关键系统、重要账号登录应设置唯一独立且由数字+字母+符号的高强度密码。这一点非常重要,不能使用其他常用密码,避免密码被窃,撞库引发的数据泄露。
6、定期对员工进行必要的网络安全知识普及,让员工提高警惕,不轻信来源不明的电子邮件和地址链接,如发现异常及时向有关部门反映,将损失降到最低。