近日,中国国家计算机病毒应急处理中心和360公司披露的《西北工业大学遭受美国NSA网络攻击调查报告(之二)》详细解读了美国NSA下属的“特定入侵行动办公室”(TAO)攻击渗透西北工业大学的流程。从中可以发现,面对国家级黑客对手发起的网络攻击行为,最重要的是解决“看不见”安全风险的卡脖子问题,360建议各大政企单位采用APT攻击快速排查与处置和APT全面系统化防治方案,解决“看不见”的核心痛点。
报告显示,TAO对他国发起的网络攻击战术针对性强,此次针对西北工业大学的网络攻击,采用单点突破、级联渗透的方式,控制了西北工业大学网络。随后通过隐蔽驻留、“合法”监控的方式,窃取核心运维数据,随即搜集身份验证数据、攻击渗透通讯基础设施企业,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制,最终实施用户数据窃取,其中包含一批中国境内敏感身份人员信息。
通过对攻击流程的还原,可以看到此次事件具有组织规划缜密、攻击链条复杂的特点,通过网络上多个节点作为跳板层层渗透,持续潜伏。同时,TAO十分重视攻击的隐蔽性,用隐蔽驻留的方式达到长期获取情报数据的目标。报告详细解释了TAO在攻击过程中隐蔽驻留的方式,“TAO将作战行动掩护武器‘坚忍外科医生’与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面‘隐身’,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源”。
面对美国NSA长期以来针对我国政府、企业、高校、医疗机构等发起的网络攻击行为,360推出安全大脑-APT攻击快速排查与处置急救箱,帮助各单位第一时间对APT展开快速排查和处置。同时,推出以“看见”为核心的安全大脑-APT全面系统化防治红宝书,帮助各单位逐步建立强大的感知能力、快速的看见能力、快速的处置能力,能在攻击做出破坏之前及时斩断“杀伤链”,变事后发现为事前捕获,真正实现感知风险、看见威胁、抵御攻击。
而在“看见”安全风险这个领域,360过去20年,投入200亿,聚集超2000名安全专家,积累了2000PB安全大数据,围绕360全网数字安全大脑建立了一套以“看见+处置”为核心的安全运营服务体系,形成了“看见”全网态势、“看见”国家级攻击的强大能力。截至目前,360累计发现50个国家级APT组织,占国内行业约98%,捕获攻击能力全球领先。