Kürzlich gab die Northwestern Polytechnical University eine öffentliche Erklärung ab, in der es hieß, die Universität sei von einem ausländischenNetzwerkangriffDas Beilin Sub-Bureau des Xi'an Police Bureau in der Provinz Shaanxi gab umgehend eine polizeiliche Mitteilung heraus, in der bestätigt wurde, dass mehrere aus dem Ausland stammende Trojaner-Muster im Informationsnetzwerk der Northwestern Polytechnic University gefunden wurden. Die Beilin-Abteilung des städtischen Büros für öffentliche Sicherheit der Stadt Xi'an in der Provinz Shaanxi gab daraufhin ein "Police Bulletin" heraus, in dem bestätigt wurde, dass im Informationsnetz der Northwestern Polytechnical University eine Reihe von aus dem Ausland stammenden Trojaner-Proben gefunden worden waren und dass die Polizei von Xi'an offiziell einen Fall zur Untersuchung dieses Sachverhalts eröffnet hatte.
Chinas Nationales Zentrum für die Reaktion auf Computerviren-Notfälle (NCERT) und 360 stellten erstmals ein technisches Team für die Durchführung der Untersuchung zusammen und beteiligten sich an der technischen Analyse des Falls. Das technische Team sammelte nacheinander Trojaner-Proben von einer Reihe von Informationssystemen und Internet-Terminals, nutzte umfassend vorhandene inländische Datenressourcen und Analysemethoden und erhielt volle Unterstützung von Partnern in Europa und einigen Ländern in Südasien, um den Gesamtüberblick über die relevanten Angriffe, technischen Merkmale, Angriffswaffen, Angriffspfade und Angriffsquellen umfassend wiederherzustellen und stellte zunächst fest, dass die relevanten Angriffe vom Office of Tailored Access Operation (OTA) der U.S. National Security Agency (NSA) ausgingen. Das vorläufige Ergebnis ist, dass die Angriffe vom Office of Tailored Access Operation (TAO) der National Security Agency (NSA) der Vereinigten Staaten ausgingen.
In dieser Reihe von Forschungsberichten werden wichtige Details bestimmter spezifischer Angriffe unter den Tausenden von Cyberangriffen des "Signal Specific Intrusion Operations Office" (TAO) der Nationalen Sicherheitsbehörde der USA (NSA) gegen die Northwestern Polytechnical University veröffentlicht, die als Referenz für Länder auf der ganzen Welt dienen sollen, um die nachfolgenden Cyberangriffe des TAO wirksam zu verhindern und aufzudecken. Fälle.
I. Überblick über den Angriff
Analysen haben ergeben, dass das Office of Specific Intrusion Operations (TAO) der US-amerikanischen NSA Zehntausende von böswilligen Cyberangriffen auf chinesische Inlandsnetze durchgeführt und die Kontrolle über die entsprechende Netzwerkausrüstung (Netzwerkserver, Internet-Terminals, Netzwerk-Switches, Telefon-Switches, Router, Firewalls usw.) übernommen hat und verdächtigt wird, hochwertige Daten zu stehlen. Gleichzeitig nutzte die US-amerikanische NSA ihre Kontrolle über die Plattform für Netzwerkangriffe, die "Zero-Day-Schwachstelle" (0day) und die Netzwerkausrüstung, die langfristige und undifferenzierte Sprachüberwachung chinesischer Mobiltelefonbenutzer, den illegalen Diebstahl des Inhalts der Textnachrichten von Mobiltelefonbenutzern und deren drahtlose Ortung. Nach einer komplexen technischen Analyse und Rückverfolgung hat das technische Team nun die Netzwerkressourcen, die speziellen Waffen und die Ausrüstung, die bei den Angriffsaktivitäten der NSA verwendet wurden, sowie die spezifischen Methoden geklärt, den Angriffsprozess und die gestohlenen Dokumente wiederhergestellt und die Beweiskette der Netzwerkangriffe des "Specific Intrusion Operations Office" (TAO) der amerikanischen NSA und des Datendiebstahls in Chinas Informationsnetzwerk erfasst. Sie hat die Beweiskette der Cyberangriffe des "Specific Intrusion Operation Office" (TAO) der US-amerikanischen NSA und des Datendiebstahls in Chinas Informationsnetz aufgeklärt.
II. grundlegende Informationen über angreifende Organisationen
Nach einer technischen Analyse und Untersuchungen zur Online-Rückverfolgbarkeit wurde festgestellt, dass der Cyberangriff von der Abteilung TAO (S32) des Data Reconnaissance Directorate (S3) der Abteilung Information Intelligence (S) der National Security Agency (NSA) der Vereinigten Staaten durchgeführt wurde. Die Abteilung wurde 1998 gegründet und stützt sich bei ihrer Arbeit hauptsächlich auf die kryptografischen Zentren der Nationalen Sicherheitsbehörde der Vereinigten Staaten (NSA) in den Vereinigten Staaten und Europa.
Die sechs Kryptozentren, die bisher veröffentlicht wurden, sind
1NSA-Hauptquartier in Fort Meade, Maryland;
2 NSA Hawaii Cryptographic Centre (NSAH) auf der Insel Wahoo;
3 NSA Georgia Cryptology Centre (NSAG) in Fort Gordon;
4 NSA Cryptologic Centre of Texas (NSAT) in San Antonio;
5 Das Corollaro Cryptographic Centre (NSAC) der NSA auf dem Luftwaffenstützpunkt Markley in Denver;
6 NSA Crypto Centre Europe (NSAE) auf der US-Militärbasis in Darmstadt, Deutschland.
TAO ist derzeit die taktische Implementierungseinheit der US-Regierung, die sich auf groß angelegte Cyberangriffe und den Diebstahl von Geheimnissen gegen andere Länder spezialisiert hat und aus mehr als 2.000 militärischen und zivilen Mitarbeitern in 10 Einheiten besteht:
Dienst 1: Fernsteuerungszentrale (ROC, Code S321)
In erster Linie verantwortlich für den Betrieb von Waffenplattformen und Tools für den Zugang zu und die Kontrolle von Zielsystemen oder -netzen.
Dienst II: Fortgeschrittener Dienst/Access Network Technologies (ANT, Code S322)
Verantwortlich für die Erforschung relevanter Hardware-Technologien und die Bereitstellung hardwarebezogener technischer und waffentechnischer Unterstützung für Cyberangriffsoperationen des TAO.
Dienst III: Datennetztechnischer Dienst (DNT, Code S323)
Verantwortlich für die Entwicklung komplexer Computer-Software-Tools zur Unterstützung der TAO-Operatoren bei der Durchführung von Cyberangriffen.
Dienst IV: Technischer Dienst für Telekommunikationsnetze (TNT, Code S324)
Verantwortlich für die Erforschung telekommunikationsbezogener Technologien zur Unterstützung der verdeckten Infiltration von Telekommunikationsnetzen durch TAO-Betreiber.
Dienst V: Technischer Missionsinfrastrukturdienst (MIT, Code S325)
Verantwortlich für die Entwicklung und Einrichtung von Netzinfrastrukturen und Sicherheitsüberwachungsplattformen für den Aufbau von Netzumgebungen für Angriffsoperationen und Anonymitätsnetzen.
Abteilung VI: Abteilung Zugangsverfahren (AO, Code S326)
Verantwortlich für die Backdoor-Installation von Produkten, die über die Lieferkette an das Ziel geliefert werden.
Dienst VII: Bedarfs- und Zielfindungsdienst (R&T, Code S327)
Entgegennahme von Aufträgen aller relevanten Einheiten, Identifizierung von Aufklärungszielen und Analyse und Bewertung des Wertes von Informationen.
Abteilung VIII: Abteilung für Zugangstechnologie (ATO, Nr. S328)
Verantwortlich für die Entwicklung von Kontakt-Steganographie-Geräten und die Zusammenarbeit mit CIA- und FBI-Personal zur Installation von Steganographie-Software oder -Geräten in Computern und Telekommunikationssystemen von Zielpersonen durch menschlichen Kontakt.
S32P: Projekt-Programm-Integrationsbüro (PPI, Code S32P)
Verantwortlich für die Gesamtplanung und die Projektleitung.
NWT:Cyber-KriegsführungGremium (NWT)
Verantwortlich für die Zusammenarbeit mit 133 Cyber-Operations-Teams.
Dieser Fall wurde innerhalb der Nationalen Sicherheitsagentur der Vereinigten Staaten (NSA) unter dem Codenamen "shotXXXX" geführt. Die Operation stand unter dem direkten Kommando des TAO, wobei MIT (S325) für den Aufbau des Aufklärungsumfelds und die Anmietung von Angriffsressourcen, R&T (S327) für die Festlegung der Angriffsstrategie und die nachrichtendienstliche Bewertung, ANT (S322), DNT (S323) und TNT (S324) für die Bereitstellung technischer Unterstützung und ROC (S321) für die Organisation und Durchführung von Aufklärungsmaßnahmen zuständig waren. Es wird deutlich, dass zu den direkt an der Führung und den Operationen beteiligten Personen vor allem die Leiter der Einheiten TAO, S321 und S325 gehören.
Der Leiter des TAO während des NSA-Diebstahls war Robert Edward Joyce. Der am 13. September 1967 geborene Mann besuchte die Hannibal High School, schloss 1989 an der Clarkson University mit einem B.A. und 1993 an der Johns Hopkins University mit einem M.A. ab. 1989 trat er in die NSA ein und ist seitdem Direktor des TAO. Von 2013 bis 2017 war er stellvertretender Direktor des TAO und dann Direktor des TAO. Seit Oktober 2017 ist er amtierender Berater für Heimatschutz der USA. Von April bis Mai 2018 war er Sicherheitsberater des Weißen Hauses der USA und kehrte dann als Direktor der Nationalen Sicherheitsbehörde der USA zur NSA zurück.NetzwerksicherheitSenior Advisor for Strategy und derzeit Direktor der Abteilung für Cybersicherheit der NSA.
III. TAO-Netz-Angriffe in der Praxis
Die S325-Einheit der TAO-Abteilung der NSA baute über verschiedene Ebenen ein anonymes Netzwerk auf, das aus 49 Hopper und 5 Proxy-Servern bestand, kaufte spezielle Netzwerkressourcen und richtete eine Angriffsplattform ein. Die S321-Einheit verwendete mehr als 40 verschiedene Arten von NSA-exklusiven Cyberangriffswaffen, um anhaltende Angriffe auf unser Land durchzuführen, um unter anderem Geheimnisse zu stehlen und die Konfiguration von wichtigen Netzwerkgeräten, Netzwerkverwaltungsdaten sowie Betriebs- und Wartungsdaten zu stehlen. Der Diebstahl von technischen Kerndaten dauerte lange an und erstreckte sich über ein breites Spektrum von Bereichen. Technische Analysen ergaben auch, dass TAO bereits vor Beginn des Angriffs die Verwaltungsrechte für eine große Anzahl von Kommunikationsnetzausrüstungen in China erlangt hatte, und zwar in Zusammenarbeit mit einer Reihe großer und bekannter US-Internetunternehmen, was der NSA die Möglichkeit eröffnete, weiterhin in Chinas wichtige inländische Informationsnetze einzudringen.
Nach einer Analyse der Rückverfolgbarkeit hat das technische Team nun den Ablauf des NSA-Angriffs und den Diebstahl von Geheimnissen wiederhergestellt, mehr als 1.100 Angriffsverbindungen, die in die Northwestern Polytechnical University eingedrungen sind, geklärt, mehr als 90 Befehlssequenzen, eine Reihe von gestohlenen Konfigurationsdateien von Netzwerkgeräten, das Schnüffeln von Netzwerkkommunikationsdaten und Passwörtern sowie andere Arten von Protokollen und Schlüsseldateien betrieben und im Wesentlichen die wichtigsten Details jedes Angriffs wiederhergestellt. Es wurde eine Reihe einschlägiger Beweisketten beschafft und gesichert, an denen 13 Personen beteiligt waren, die in den Vereinigten Staaten direkt Cyberangriffe gegen China starteten, sowie mehr als 60 Verträge und mehr als 170 elektronische Dokumente, die von der NSA über eine Tarnfirma mit US-Telekommunikationsanbietern unterzeichnet wurden, um ein Umfeld für Cyberangriffe zu schaffen.
IV. Aufbau des NSA-Angriffsnetzes
Nach dem technischen Team Rückverfolgbarkeit Analyse festgestellt, dass die US National Security Agency TAO-Abteilung der Northwestern Polytechnical University Cyber-Angriff auf den Betrieb 49 Sprungbrett Maschine verwendet hat, sind diese Sprungbrett Maschine sorgfältig ausgewählt, alle IP gehört zu Nicht-"Five Eyes Alliance" Ländern, und die meisten der Auswahl von Chinas Nachbarländern (wie Japan, Südkorea und so weiter) der Die meisten der IP stammen aus den Nachbarländern Chinas (wie Japan, Südkorea usw.) und machen etwa 70% aus.
TAO verwendete zwei Tools zur Ausnutzung von "Zero-Day-Schwachstellen" (extrahierte Beispiele) mit den Namen EXTREMEPARR (NSA-Name) und EBBISLAND (NSA-Name) für das SunOS-Betriebssystem und wählte als Angriffsziele die Server mit dem größten Datenverkehr von Netzwerkanwendungen in den Nachbarländern Chinas aus; nach dem erfolgreichen Angriff wurde die Backdoor NOPEN (NSA-Name) installiert, um eine große Anzahl von Sprungbrettern zu kontrollieren. Die Tools mit den Namen EXTREMEPARR (NSA-Name, Beispiele wurden extrahiert) und EBBISLAND (NSA-Name) wählten Server mit mehr Datenverkehr von Bildungseinrichtungen, Handelsunternehmen und anderen Ländern rund um China als Angriffsziel aus.
Der Rückverfolgbarkeitsanalyse zufolge wurden insgesamt 49 dieser Hopper für diese Steganografie-Operation ausgewählt, und diese Hopper verwendeten nur Relay-Befehle, um die Hopper-Befehle von der höheren Ebene an das Zielsystem weiterzuleiten und so die tatsächliche IP der NSA, die den Cyberangriff durchführt, zu verschleiern.
Inzwischen sind mindestens vier IPs bekannt, von denen aus die TAO-Angreifer den Hopper aus ihrer Zugangsumgebung (inländische US-Telekommunikationsunternehmen) kontrollieren:
209.59.36.*
69.165.54.*
207.195.240.*
209.118.143.*
Mitarbeiter der TAO Infrastructure Technology Division (MIT) setzten anonym gekaufte Domänennamen und SSL-Zertifikate auf der in den Vereinigten Staaten ansässigen Man-in-the-Middle-Angriffsplattform "FOXACID" (von der NSA benannt) ein, um eine große Anzahl von Netzwerkzielen in China anzugreifen. Besonders besorgniserregend ist die Tatsache, dass die NSA die mit den genannten Domänennamen und SSL-Zertifikaten bereitgestellte Plattform dazu nutzte, mehrere Runden anhaltender Angriffe auf chinesische Informationsnetze, darunter die Northwestern Polytechnical University, durchzuführen und Geheimnisse zu stehlen.
Der US-Geheimdienst NSA nutzt die Anonymitätsschutzdienste des US-Unternehmens Register, um seine Identität zu schützen, ohne dass es einen eindeutigen Bezugspunkt für die betreffenden Domänennamen und Zertifikate gibt und ohne dass Personen damit in Verbindung stehen.
TAO kauft über Tarnfirmen Dienstleistungen von Dienstleistern ein, um die Quelle seiner Angriffe zu verschleiern und seine Werkzeuge für Angriffsplattformen zu sichern, die eine langfristige Präsenz im Internet erfordern.
Die Netzwerkressourcen, die in der Angriffsplattform gegen NWI verwendet wurden, umfassten insgesamt fünf Proxyserver, und die NSA kaufte über zwei Scheinfirmen IPs in Ägypten, den Niederlanden und Kolumbien von Terremark in den Vereinigten Staaten und mietete eine Reihe von Servern.
Die beiden Firmen sind Jackson Smith Consultants und Mueller Diversified Systems.
V. Analyse der Waffen des TAO
Technische Analysen ergaben, dass TAO 41 Arten von speziellen Cyberangriffswaffen der NSA eingesetzt hat, um Tausende von Angriffen und Diebstahlsoperationen gegen die Northwestern Polytechnical University zu starten und eine Reihe von Netzwerkdaten über 49 Hopper und 5 Proxy-Server zu stehlen, die in 17 Ländern verteilt sind, darunter Japan, Südkorea, Schweden, Polen und die Ukraine.
Die Cyberangriffswaffen der NSA TAO sind sehr zielgerichtet und haben die volle Unterstützung der US-Internetriesen. Die gleiche Ausrüstung wird flexibel konfiguriert werden, je nach Zielumgebung, in der die 41 Arten von Geräten verwendet, nur die Backdoor-Tool "cunning Ketzer" (NSA genannt) in der Cyberattacke auf die Northwestern Polytechnical University, gibt es 14 verschiedene Versionen der Werkzeuge, die von der NSA-Kategorie wird in vier Hauptkategorien unterteilt, nämlich:
(i) Waffen, die die Schwachstelle angreifen
TAO setzt diese Art von Waffe ein, um die Grenznetzausrüstung, Gateway-Server, Intranet-Hosts usw. der Northwestern Polytechnic University anzugreifen und zu durchbrechen, und sie wird auch verwendet, um Offshore-Hopper anzugreifen und zu kontrollieren, um ein anonymes Netzwerk aufzubauen. Es gibt drei Arten solcher Waffen:
1. "Rasiermesser"
Mit dieser Waffe lassen sich Remote-Overflow-Angriffe auf Solaris-Systeme mit X86- und SPARC-Architektur durchführen, die für bestimmte RPC-Dienste offen sind. Der Angriff kann die Offenheit der Dienste des Zielsystems automatisch erkennen und die geeignete Version des Exploit-Codes intelligent auswählen, um direkt die vollständige Kontrolle über den Zielhost zu erlangen.
Diese Waffe wurde bei Angriffen auf Skipjacks in Japan, Südkorea und anderen Ländern eingesetzt, und die kontrollierten Skipjacks wurden bei einem Cyberangriff auf die Northwestern Polytechnic University verwendet.
2. "Silos"
Diese Waffe kann auch dazu verwendet werden, einen Remote-Overflow-Angriff auf ein Solaris-System durchzuführen, das für die Ausführung von RPC-Diensten offen ist, und so direkt die vollständige Kontrolle über den Zielhost zu erlangen.
Im Gegensatz zum Razor-Tool ist dieses Tool nicht in der Lage, das Öffnen von Zieldiensten selbstständig zu erkennen, und der Benutzer muss die zu treffenden Zieldienste manuell auswählen.
Die NSA nutzte diese Waffe, um die Grenzserver der Northwestern Polytechnic University anzugreifen und unter ihre Kontrolle zu bringen.3. "Acid Fox"-Waffenplattform
Diese in Kolumbien eingesetzte Waffenplattform kann in Verbindung mit der "Second Date"-Waffe für Man-in-the-Middle-Angriffe verwendet werden, um Sicherheitslücken intelligent zu konfigurieren und Remote-Overflow-Angriffe gegen gängige Browser auf mehreren Plattformen wie IE, FireFox, Safari, Android Webkit usw. durchzuführen, um die Kontrolle über das Zielsystem zu erlangen.
TAO nutzte die Waffenplattform in erster Linie, um Ausbruchsangriffe auf die Intranet-Hosts der Northwestern Polytechnic University durchzuführen.
(ii) Dauerhafte Kontrollwaffen
Das TAO stützt sich auf diese Waffen, um das NWI-Netzwerk verdeckt und dauerhaft zu kontrollieren, und die TAO-Mitarbeiter können über verschlüsselte Kanäle Steuerbefehle senden, um diese Waffen zu bedienen und Handlungen zur Infiltration, Kontrolle und zum Diebstahl von Geheimnissen im NWI-Netzwerk durchzuführen. Es gibt fünf Arten solcher Waffen:
1. "Zweites Datum": Diese Waffe befindet sich seit langem in Gateway-Servern, Grenzroutern und anderen Netzwerkgrenzgeräten und Servern und kann massiven Datenverkehr genau filtern und automatisiert entführen, um Man-in-the-Middle-Angriffsfunktionen zu erreichen. TAO platzierte diese Waffe auf dem Grenzgerät der Northwestern Polytechnical University und entführte den durch das Gerät fließenden Verkehr, um ihn zur Plattform von "Acid Fox" zu leiten, um Schwachstellenangriffe auszuführen. TAO platzierte die Waffe an der Grenzausrüstung der Northwestern Polytechnic University und kaperte den durch die Ausrüstung fließenden Datenverkehr, um ihn zur "Acid Fox"-Plattform zu leiten und dort Schwachstellenangriffe durchzuführen.
2. "NOPEN"-Trojaner: Diese Waffe ist eine Art Kontroll- und Schutz-Trojaner, der viele Arten von Betriebssystemen und verschiedene Architekturen unterstützt und Befehle über verschlüsselte Tunnel empfangen kann, um viele Arten von Operationen auszuführen, wie z. B. Dateiverwaltung, Prozessverwaltung, Ausführung von Systembefehlen usw., und der selbst die Fähigkeit hat, Privilegien zu erhöhen und aufrechtzuerhalten.TAO verwendet diese Waffe hauptsächlich, um eine dauerhafte Kontrolle über die Server des Kerngeschäfts und wichtige Netzwerkgeräte im Netzwerk der NWIT durchzuführen. TAO verwendet diese Waffe hauptsächlich, um eine dauerhafte Kontrolle über die wichtigsten Unternehmensserver und Netzwerkgeräte innerhalb des Netzwerks der Northwestern Polytechnical University auszuüben.
3. "Fury Spray": Bei dieser Waffe handelt es sich um einen Windows-basierten Trojaner, der mehrere Betriebssysteme und verschiedene Architekturen unterstützt und so angepasst werden kann, dass er je nach Zielsystemumgebung verschiedene Arten von Trojaner-Servern generiert, und der Server selbst verfügt über starke Anti-Analyse- und Anti-Debugging-Funktionen. TAO setzt diese Waffe hauptsächlich mit der "Acid Fox"-Plattform ein, um die dauerhafte Kontrolle über persönliche Hosts innerhalb des Büronetzwerks der Northwestern Polytechnical University zu implementieren.
4. "Cunning Heretic": Bei dieser Waffe handelt es sich um ein leichtgewichtiges Backdoor-Implantationstool, das sich nach der Ausführung selbst löscht, die Funktion des Powerlifting hat, auf dem Zielgerät verbleibt und mit dem System gebootet werden kann.TAO verwendet diese Waffe hauptsächlich, um eine Persistenz zu erreichen, so dass es eine verschlüsselte Pipeline zum Hochladen von NOPEN-Trojanern zum richtigen Zeitpunkt einrichten kann, um die langfristige Kontrolle über das Informationsnetzwerk der NWIT zu gewährleisten. Das Informationsnetz der Northwestern Polytechnical University.
5. "Perseverance Surgeon": Diese Waffe ist eine Hintertür für 4 Arten von Betriebssystemen wie Linux, Solaris, JunOS, FreeBSD usw. Die Waffe kann dauerhaft auf dem Zielgerät ausgeführt werden und die angegebenen Dateien, Verzeichnisse, Prozesse usw. auf dem Zielgerät entsprechend den Anweisungen verstecken. TAO TAO verwendet diese Waffe hauptsächlich, um die Dateien und Prozesse des NOPEN-Trojaners zu verstecken, damit sie von der Überwachung nicht entdeckt werden. 12 verschiedene Versionen dieser Waffe wurden von TAO bei seinem Cyberangriff auf die Northwestern Polytechnical University eingesetzt.
(iii) Schnüffelwaffen
TAO setzt diese Art von Waffen ein, um die von den NWI-Mitarbeitern, die das Netzwerk betreiben und warten, erstellten Kontopasswörter und Betriebsaufzeichnungen auszuspähen und sensible Informationen sowie Betriebs- und Wartungsdaten innerhalb des NWI-Netzwerks zu stehlen. Es gibt zwei Arten von Waffen dieser Art:
1. "Drinking Tea": Diese Waffe kann sich lange Zeit in einem 32-Bit- oder 64-Bit-Solaris-System aufhalten und die Kennwörter von Konten, die über verschiedene Remote-Anmeldemethoden wie ssh, telnet, rlogin usw. offengelegt werden, abfangen, indem sie die Kommunikation zwischen den Prozessen ausspäht.TAO verwendet diese Waffe hauptsächlich, um die Kennwörter von Konten auszuspähen, die vom Betriebspersonal der Northwestern Polytechnical University erstellt wurden. TAO verwendet diese Waffe hauptsächlich, um die vom Betriebspersonal der Northwestern Polytechnical University (NWIC) während der Durchführung von Betriebs- und Wartungsarbeiten generierten Kontopasswörter, Betriebsaufzeichnungen, Protokolldateien usw. auszuspähen, die komprimiert und verschlüsselt werden, damit der NOPEN-Trojaner sie herunterladen kann. 2. "Behind the Enemy Lines"-Waffenserie Diese Waffenserie wurde speziell für den Einsatz betreiberspezifischer Geschäftssysteme entsprechend den verschiedenen Arten von kontrollierter Geschäftsausrüstung entwickelt. Je nach Art der kontrollierten Betriebsanlagen wird "Operation Behind Enemy Lines" in Verbindung mit verschiedenen Parsing-Tools eingesetzt. Bei dem Angriff auf die Betriebs- und Wartungspipeline der Northwestern Polytechnic University wurden drei Arten von Angriffs- und Diebstahlswerkzeugen gegen die Betreiber eingesetzt, darunter "Magic School", "Clown Food" und "Cursed Fire".
(iv) Verdeckte und deaktivierte Waffen
TAO verlässt sich auf solche Waffen, um Spuren seines Verhaltens innerhalb des NWI-Netzes zu beseitigen, seine böswilligen Operationen und den Diebstahl von Vertraulichkeit zu verbergen und zu verschleiern und gleichzeitig Schutz für die drei oben genannten Waffentypen zu bieten.
Es wurde insgesamt eine solche Waffe gefunden:
1. "Toast": Mit dieser Waffe können Protokolldateien wie utmp, wtmp, lastlog usw. eingesehen und verändert werden, um Spuren von Operationen zu beseitigen.TAO setzte diese Waffe hauptsächlich ein, um alle Arten von Protokolldateien auf den Internetzugangsgeräten der beschuldigten Northwestern Polytechnical University zu löschen und zu ersetzen, um sein bösartiges Verhalten zu verbergen.TAO verwendete drei verschiedene Versionen von "Toast" bei seinen Cyberangriffen auf NWPI. TAO verwendete drei verschiedene Versionen von "Toastbrot" bei seinem Cyberangriff auf NWIT.
kurz
Seitdem hat die Nationale Sicherheitsbehörde der USA (NSA) führende Unternehmen verschiedener Branchen, Regierungen, Universitäten, medizinische Einrichtungen, wissenschaftliche Forschungsinstitute und sogar die Betriebs- und Wartungseinheiten wichtiger Informationsinfrastrukturen, die für die Wirtschaft des Landes und den Lebensunterhalt der Menschen von Bedeutung sind, ins Visier genommen.Hacker (Informatik) (Lehnwort)Angriffsaktivitäten. Ihre Handlungen können unserer nationalen Verteidigungssicherheit, der Sicherheit kritischer Infrastrukturen, der finanziellen Sicherheit, der sozialen Sicherheit, der Produktionssicherheit und den persönlichen Daten der Bürger ernsthaften Schaden zufügen, was unser tiefes Nachdenken und unsere Wachsamkeit gebietet.
Diesmal hat die Northwestern Polytechnical University in Zusammenarbeit mit dem chinesischen National Computer Virus Emergency Response Center und der Firma 360 Company eine Reihe von Angriffen, die von der amerikanischen NSA über mehrere Jahre hinweg mit Cyberwaffen durchgeführt wurden, umfassend wiederhergestellt und damit den einseitigen Transparenzvorteil der USA gegenüber unserem Land durchbrochen. Angesichts des nationalen Hintergrunds eines mächtigen Gegners ist es das Wichtigste zu wissen, wo das Risiko liegt, welche Art von Risiko, wann das Risiko von diesem NSA-Angriff ausgeht, der auch beweisen kann, dass er unsichtbar ist. Dies ist eine dreigliedrige Fokus auf gemeinsame Anstrengungen zur Überwindung der "sehen" Problem der erfolgreichen Praxis, um das Land zu helfen, wirklich wahrnehmen, das Risiko, die Bedrohung zu sehen, gegen Angriffe zu verteidigen, auf einen Schlag wird außerhalb der Hacker-Angriffe in der Sonne ausgesetzt werden.
Die Northwestern Polytechnical University hat öffentlich eine Erklärung zu dem Cyberangriff aus dem Ausland abgegeben, die ihren Geist der Verantwortung für das Land, die Universität und die Gesellschaft sowie ihre Entschlossenheit widerspiegelt, die Wahrheit anhand von Fakten zu suchen, sie nicht zu tolerieren und sie bis zum Ende entschlossen zu untersuchen. Die Opfer der NSA-Cyberattacken auf der ganzen Welt sollten sich an ihrem Vorgehen, aktiv Abwehrmaßnahmen zu ergreifen, ein Beispiel nehmen. Dies wird allen Ländern der Welt eine starke Referenz sein, um die nächsten Cyberattacken der NSA wirksam zu verhindern und sich dagegen zu wehren.
Originalartikel von SnowFlake, bei Vervielfältigung bitte angeben: https://cncso.com/de/nsas-angriff-auf-die-northwestern-polytechnical-university-bericht-html