-
新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键
最后更新: 2023-09-14 10:52:53央视新闻客户端14日消息,近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。据了解,在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局(NSA)网络攻击案过程中,成功提取了这款间谍软件的多个样本,并锁定了这起网络间谍行动背后美国国家安全局(NSA)工作人员的真实身份。
据技术分析报告显示,“二次约会”间谍软件是美国国家安全局(NSA)开发的网络间谍武器,该软件可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,它与其他恶意软件配合可以完成复杂的网络“间谍”活动。
国家计算机病毒应急处理中心高级工程师 杜振华:该软件是具有高技术水平的网络间谍工具,使攻击者能够全面接管被攻击的(目标)网络设备以及流经这些网络设备的网络流量,从而实现对目标网络中主机和用户的长期窃密,同时还可以作为下一阶段攻击的“前进基地”,随时向目标网络中投送更多网络攻击武器。
据专家介绍,“二次约会”间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上,其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。另外,“二次约会”间谍软件支持在各类操作系统上运行,同时兼容多种体系架构,适用范围较广。
国家计算机病毒应急处理中心高级工程师 杜振华:该间谍软件通常是结合特定入侵行动办公室(TAO)的各类针对防火墙、网络路由器的网络设备漏洞攻击工具一并使用。一旦漏洞攻击成功,攻击者成功获得了目标网络设备的控制权限,就可以将这款网络间谍软件植入到目标的网络设备中。
报告显示,国家计算机病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查,经层层溯源,发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本,并发现被美国国家安全局(NSA)远程控制的跳板服务器,其中多数分布在德国、日本、韩国、印度和中国台湾。
国家计算机病毒应急处理中心高级工程师 杜振华:在多国业内伙伴的通力配合下,我们的联合调查工作取得了突破性进展。目前已经成功锁定了针对西北工业大学发动网络攻击的美国国家安全局(NSA)相关工作人员的真实身份。
14日,国家计算机病毒应急处理中心网站发布《“二次约会”间谍软件分析报告》。
全文如下:
近日,国家计算机病毒应急处理中心和360公司对名为“二次约会”(SecondDate)的“间谍”软件进行了技术分析,该“间谍”软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器等网关设备平台,可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能,从而与其它“间谍”软件配合完成复杂的网络“间谍”活动。根据“影子经纪人”泄露的NSA内部文件,该恶意软件为美国国家安全局(NSA)开发的网络“间谍”武器。“SecondDate”间谍软件是一款中间人攻击专用工具,一般驻留在目标网络的边界设备上,嗅探网络流量并根据需要对特定网络会话进行劫持、篡改。
在国家计算机病毒应急处理中心会同360公司配合侦办西北工业大学被美国国家安全局(NSA)网络攻击案过程中,成功提取了这款间谍软件的多个样本,并锁定了这起网络“间谍”行动背后美国国家安全局(NSA)工作人员的真实身份。
一、基本情况
“二次约会”(SecondDate)间谍软件主要部署在目标网络边界设备(网关、防火墙、边界路由器等),隐蔽监控网络流量,并根据需要精准选择特定网络会话进行重定向、劫持、篡改。
技术分析发现,“SecondDate”间谍软件是一款高技术水平的网络间谍工具。开发者应该具有非常深厚的网络技术功底,尤其对网络防火墙技术非常熟悉,其几乎相当于在目标网络设备上加装了一套内容过滤防火墙和代理服务器,使攻击者可以完全接管目标网络设备以及流经该设备的网络流量,从而实现对目标网络中的其他主机和用户实施长期窃密,并作为攻击的“前进基地”,随时可以向目标网络投送更多网络进攻武器。
二、具体功能
“二次约会”(SecondDate)间谍软件长期驻留在网关、边界路由器、防火墙等网络边界设备上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。其主要功能包括网络流量嗅探、网络会话追踪、流量重定向劫持、流量篡改等。
三、技术分析
该“间谍”软件针对路由器、防火墙等网络设备平台,SecondDate支持分布式部署,由服务器端程序和客户端程序构成,攻击者事先通过其他方式将客户端程序植入目标网络设备,然后使用服务器端程序对客户端进行命令控制。其主要工作流程和技术分析结果如下:
(一)服务器端
服务器端的主要功能是与客户端建立连接并下发控制规则,由客户端完成相应恶意操作。如表1、图1、图2、图3所示。
1、连接客户端
通过在命令行参数中指定客户端IP和端口号实现与客户端建立连接。
2、获得客户端当前状态
3、配置客户端规则
如图3所示,攻击者可指定源IP地址、源端口、目的IP地址、目的端口、协议类型、TCP标志等对网络流量进行过滤,并且可以指定匹配正则表达式文件以获取特定内容的流量,并且能够在流量中插入包含特定内容的文件。
(二)客户端
从分析结果看,客户端被植入并配置相应规则后,可以在网络设备后台静默运行,攻击者可以使用服务器端进行控制也可以直接登录到网络设备后台进行命令控制。如表2、图4、图5和图6所示。
1、指定本地端口
2、根据指令规则执行相应操作
3、插入文件
4、指令集
经分析,客户端支持的主要指令及其功能说明如表3所示。
客户端指令集非常丰富,可以实现对网络流量的内容过滤、中间人劫持以及内容注入等恶意操作。
四、使用环境
“二次约会”(SecondDate)间谍软件支持在Linux、FreeBSD、Solaris、JunOS等各类操作系统上运行,同时兼容i386、x86、x64、SPARC等多种体系架构,适用范围较广。
五、植入方式
“二次约会”(SecondDate)间谍软件通常结合特定入侵行动办公室(TAO)的各类针对防火墙、路由器的网络设备漏洞攻击工具使用,在漏洞攻击成功并获得相应权限后,植入至目标设备。
六、使用控制方式
“二次约会”(SecondDate)间谍软件分为服务端和控制端,服务端部署于目标网络边界设备上,通过底层驱动实时监控、过滤所有流量;控制端通过发送特殊构造的数据包触发激活机制后,服务端从激活包中解析回连IP地址并主动回连。网络连接使用UDP协议,通信全程加密,通信端口随机。控制端可以对服务端的工作模式和劫持目标进行远程配置,根据实际需要选择网内任意目标实施中间人攻击。
我们与业内合作伙伴在全球范围开展技术调查,经层层溯源,发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本,并发现被美国国家安全局(NSA)远程控制的跳板服务器,其中多数分布在德国、日本、韩国、印度和中国台湾。在多国业内伙伴通力合作下,我们的工作取得重大突破,现已成功锁定对西北工业大学发起网络攻击的美国国家安全局(NSA)工作人员的真实身份。
(观察者网综合自央视新闻客户端、国家计算机病毒应急处理中心网站)
- 原标题:新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
- 责任编辑: 范维 
-
美国国家安全局“二次约会”间谍软件分析报告发布
2023-09-14 10:22 -
“我掐着人中,订了国庆机票酒店”
2023-09-14 09:29 -
央视网:项目烂尾了,问责不能再烂尾!
2023-09-14 09:25 -
央企5名管理人员接受审查调查,涉中国能建总经理孙洪水等人
2023-09-14 09:19 廉政风暴 -
儿慈会负责人卷走千万救命款?官方:诈骗属个人行为,已自首
2023-09-14 09:02 慈善 -
我国科研人员成功绘制人体免疫系统发育图谱
2023-09-14 08:29 科技前沿 -
城管踢打商户,湖北通报:涉事城管已解聘,纪委介入
2023-09-14 07:41 -
区委副书记醉驾被查,副区长等人安排私企老板“顶包”,官方通报
2023-09-14 07:41 基层治理 -
马朝旭会见俄驻华大使
2023-09-14 07:31 中国外交 -
癌症晚期患者被拒乘飞机引热议,国内多家航司称医生开证明可乘机
2023-09-14 07:29 -
广东一中学安装“人脸识别系统”每生收费100元/年?教育局通报
2023-09-14 07:25 中西教育 -
丁薛祥在香港第八届“一带一路”高峰论坛开幕式上发表主旨演讲
2023-09-14 07:22 一带一路 -
北京网信办指导属地重点网站平台在热搜热榜设置固定辟谣位
2023-09-14 07:01 网络谣言 -
霍启刚任中粮集团外部董事
2023-09-13 21:55 国企备忘录 -
被罚100万,腾讯QQ回应
2023-09-13 21:46 依法治国 -
“特校性侵案律师阅卷时遭羁押”,法院通报
2023-09-13 21:26 依法治国 -
建议全面禁止共享单车?官方回应
2023-09-13 17:06 基层治理 -
如何被骗?又是怎么获救的?被骗至缅甸的中科院博士回应
2023-09-13 15:41 -
中华儿慈会回应“河北负责人卷走千万救命款”:志愿者所为
2023-09-13 15:23
相关推荐 -
“美军赖在这儿无所事事,美官员还颐指气使威胁我” 评论 16美宣布对华加征关税,商务部:将采取坚决措施 评论 141绍伊古转岗出人意料,普京“把战时经济精英都用上了” 评论 109“类人速度”新模型来了,AI进入《她》时代? 评论 202空有雄心?电力需求激增,美国“已忘记如何应对” 评论 171最新闻 Hot
-
“美军赖在这儿无所事事,美官员还颐指气使威胁我”
-
美宣布对华加征关税,商务部:将采取坚决措施
-
“中企创新力令人印象深刻,反华情绪不应干扰市场”
-
布林肯突访,“释放强烈安抚信号”
-
欧盟下黑手后,两家中企被迫退出
-
中国废食用油也被美国盯上了
-
“若与中国作对,对方自然不会好好待你”
-
硬刚!“中企起诉美国防部”
-
“为何美国人当前如此愤怒,而中国人却很冷静?”
-
绍伊古转岗出人意料,普京“把战时经济精英都用上了”
-
美国强迫中资企业卖房,原因是离这儿“太近”…
-
已砸810亿美元!美欧日等疯狂补贴,“与中国决战”
-
俄国防部人事总局局长被捕,曾领导俄保密部门长达13年
-
这个俄罗斯邻国正“严肃”探讨向乌克兰西部派兵
-
“类人速度”新模型来了,AI进入《她》时代?
-
绍伊古还有“新工作”
-