中文字幕亚洲欧美日韩在线不卡,亚洲欧美日产综合在线网性色,思思久久精品6一本打道,综合视频中文字幕

事件背景

2022年6月22日，西北工業(yè)大學(xué)發(fā)布《公開聲明》稱，該校遭受境外網(wǎng)絡(luò)攻擊，已于第一時(shí)間報(bào)警。次日，陜西省西安市公安局碑林分局發(fā)布《警情通報(bào)》，證實(shí)該局于4月12日15時(shí)許接到西北工業(yè)大學(xué)信息化建設(shè)與管理處報(bào)案，發(fā)現(xiàn)該校電子郵件系統(tǒng)中出現(xiàn)一批以科研評(píng)審、答辯邀請(qǐng)和出國通知等為主題的釣魚郵件，內(nèi)含木馬程序。同時(shí)，部分教職工的個(gè)人上網(wǎng)電腦中也發(fā)現(xiàn)遭受網(wǎng)絡(luò)攻擊的痕跡。

西北工業(yè)大學(xué)發(fā)布的《公開聲明》

9月5日，西安市公安局碑林分局官方微博就此事再發(fā)《警情通報(bào)》稱：“經(jīng)過百余天艱苦攻關(guān)，案件偵查工作取得了重要進(jìn)展?！蓖蝗?，中國國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布《西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報(bào)告（之一）》[后文簡稱《調(diào)查報(bào)告（之一）》]，明確國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成的技術(shù)團(tuán)隊(duì)全程參與了此案的技術(shù)分析工作。技術(shù)團(tuán)隊(duì)先后從西北工業(yè)大學(xué)的多個(gè)信息系統(tǒng)和上網(wǎng)終端中提取到了多款木馬樣本，綜合使用國內(nèi)現(xiàn)有數(shù)據(jù)資源和分析手段，且在歐洲、南亞部分國家合作伙伴的支持下，全面還原了相關(guān)攻擊事件的總體概貌、技術(shù)特征、攻擊武器、攻擊路徑和攻擊源頭，初步判明相關(guān)攻擊活動(dòng)源自美國國家安全局（NSA）下屬“特定入侵行動(dòng)辦公室”（Office of Tailored Access Operation，后文簡稱TAO）。

警方通報(bào)

9月25日，國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布《西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報(bào)告（之二）》[后文簡稱《調(diào)查報(bào)告（之二）》]，在《調(diào)查報(bào)告（之一）》基礎(chǔ)上，對(duì)TAO攻擊滲透西北工業(yè)大學(xué)的流程、TAO在攻擊過程中暴露身份的相關(guān)情況、TAO網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)武器平臺(tái)IP和 TAO網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)所用跳板IP進(jìn)行了揭露。

“澎湃明查”在參考上述兩份調(diào)查報(bào)告基礎(chǔ)上，綜合開源情報(bào)，對(duì)西北工業(yè)大學(xué)遭受網(wǎng)絡(luò)攻擊事件中的重要信息進(jìn)行了梳理。

明查

與美國NSA的關(guān)聯(lián)

國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布第一篇溯源報(bào)告時(shí)，距西安市公安局碑林分局太白路派出所接到西北工業(yè)大學(xué)的報(bào)警已過去近5月。一篇發(fā)布在網(wǎng)絡(luò)安全產(chǎn)業(yè)門戶網(wǎng)站Freebuf上的文章談及此事，對(duì)網(wǎng)絡(luò)攻擊溯源的成本和難度進(jìn)行了討論，指出網(wǎng)絡(luò)攻擊溯源的效率主要取決于攻守雙方的能力和水平，即攻擊方的反溯源能力和被攻擊方的安全建設(shè)能力。如果入侵者狡猾，使用跳板機(jī)掩蓋其真實(shí)地址、不斷變化IP、刪除日志，就會(huì)增加取證的難度，而這正是西北工業(yè)大學(xué)遭受網(wǎng)絡(luò)攻擊事件可能面臨的狀況。

《調(diào)查報(bào)告（之一）》提到，針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊先后使用了54臺(tái)跳板機(jī)和代理服務(wù)器，主要分布在日本、韓國、瑞典、波蘭、烏克蘭等17個(gè)國家，其中70%位于中國周邊國家，如日本和韓國。如此大規(guī)模、長路徑的跳板攻擊并非易事。這意味著攻擊者具備高超的技術(shù)，能夠控制多國計(jì)算機(jī)。但究竟誰有這種動(dòng)機(jī)和能力，可以將多國主機(jī)作為跳板，向西北工業(yè)大學(xué)發(fā)起攻擊？

資料圖

今年2月，北京奇安盤古實(shí)驗(yàn)室科技有限公司在一份研究報(bào)告中指出，一種被命名為Bvp47的后門程序在十幾年間控制了超過45個(gè)國家的287個(gè)目標(biāo)，受害者包括日本、韓國、巴基斯坦等多個(gè)中國周邊鄰國，且有受害主機(jī)被當(dāng)作跳板，用以進(jìn)一步開展網(wǎng)絡(luò)攻擊。

奇安盤古實(shí)驗(yàn)室在報(bào)告中列出了其辨認(rèn)出的受害者域名、詳細(xì)信息及IP地址，其中有多家機(jī)構(gòu)，如日本京都大學(xué)、德國不來梅大學(xué)的名稱也出現(xiàn)在了《調(diào)查報(bào)告（之二）》的TAO網(wǎng)絡(luò)攻擊西北工業(yè)大學(xué)所用跳板IP列表中。“澎湃明查”向日本京都大學(xué)、德國不萊梅大學(xué)、韓國科學(xué)技術(shù)院等機(jī)構(gòu)發(fā)送了問詢郵件 ，但截至發(fā)稿仍未收到回復(fù)。

Bvp47受害者與西北工業(yè)大學(xué)遭受攻擊時(shí)所用的跳板機(jī)主體有所重疊

資料圖

9月13日，奇安盤古實(shí)驗(yàn)室發(fā)布了后續(xù)報(bào)告，指出Bvp47中含有一種“飲茶”工具，在此次西北工業(yè)大學(xué)遇襲事件中同樣被使用。同一日，國家計(jì)算機(jī)病毒應(yīng)急處理中心援引奇安盤古實(shí)驗(yàn)室的研究成果發(fā)布了一份對(duì)“飲茶”工具的分析報(bào)告，提到這種網(wǎng)絡(luò)武器是一種“嗅探竊密類武器”，主要針對(duì)Unix/Linux平臺(tái)，可對(duì)目標(biāo)主機(jī)上的遠(yuǎn)程訪問賬號(hào)密碼進(jìn)行竊取。而根據(jù)《調(diào)查報(bào)告（之二）》內(nèi)容，“飲茶”長期被用于隱蔽嗅探竊取西北工業(yè)大學(xué)運(yùn)維管理人員的遠(yuǎn)程維護(hù)管理信息，包含網(wǎng)絡(luò)邊界設(shè)備賬號(hào)口令、業(yè)務(wù)設(shè)備訪問權(quán)限、路由器等設(shè)備配置信息等。這意味著，Bvp47背后的操縱者與西北工業(yè)大學(xué)網(wǎng)絡(luò)的入侵者間可能存在某種聯(lián)系。

奇安盤古實(shí)驗(yàn)室的分析報(bào)告披露，有充足證據(jù)顯示操縱Bvp47的是美國黑客組織“方程式”。在美國外交關(guān)系協(xié)會(huì)的網(wǎng)站上，“方程式”被形容為是一家具有國家背景、疑似來自美國的高技術(shù)能力黑客團(tuán)伙 。該組織的主要攻擊方式為防火墻漏洞攻擊或魚叉郵件，首要目標(biāo)包括中國、伊朗、俄羅斯、敘利亞等國。

魚叉郵件是針對(duì)特定目標(biāo)投遞特定主題及內(nèi)容的欺詐電子郵件，比一般的釣魚郵件往往更具迷惑性，同時(shí)也可能具有更加隱秘的攻擊目的。一位標(biāo)記為“西北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院碩士在讀”的知乎用戶“域星河”提到，至少從今年1月起，該校信息化建設(shè)與管理處已經(jīng)多次發(fā)郵件提醒師生：有黑客組織通過互聯(lián)網(wǎng)各類新聞統(tǒng)稿、科研論文等公開渠道收集師生姓名、職位信息，在Gmail、163等商業(yè)郵件系統(tǒng)中注冊(cè)以該校機(jī)構(gòu)、職工姓名的郵箱，假借學(xué)校機(jī)構(gòu)、同事、朋友、領(lǐng)導(dǎo)名義，以“我有事找你”“幫我辦件事”“年終財(cái)務(wù)津貼”為主題，給該校教職工發(fā)送通知郵件，但無具體郵件內(nèi)容。

圖片來源：知乎用戶@域星河

2016年，一個(gè)叫“影子經(jīng)紀(jì)人”（The Shadow Brokers）的神秘黑客組織宣稱成功黑進(jìn)了“方程式”，獲取了該組織使用的大量工具和數(shù)據(jù)，并在網(wǎng)上公開售賣。奇安盤古實(shí)驗(yàn)室成員從“影子經(jīng)紀(jì)人”公布的文件中，發(fā)現(xiàn)了一組疑似包含私鑰的文件，而這組文件恰好是唯一可以激活Bvp47頂級(jí)后門的非對(duì)稱加密私鑰，可以直接遠(yuǎn)程激活并控制Bvp47頂級(jí)后門。這證明Bvp47與“方程式”組織間存在聯(lián)系。

北京奇安盤古實(shí)驗(yàn)室科技有限公司《Bvp47美國NSA方程式的頂級(jí)后門技術(shù)細(xì)節(jié)》報(bào)告截圖

不僅如此，當(dāng)“影子經(jīng)紀(jì)人”公布其宣稱從“方程式”組織處獲取的資料后，有研究人員發(fā)現(xiàn)，這些資料中有一串16位標(biāo)識(shí)符（ace02468bdf13579），與2013年德國《明鏡》雜志（SPIEGEL）在“棱鏡門”事件后期曝光的美國國家安全局網(wǎng)絡(luò)攻擊平臺(tái)操作手冊(cè)中使用的唯一標(biāo)識(shí)符相互吻合。這說明“影子經(jīng)紀(jì)人”公布的材料總體可信，也意味著，“影子經(jīng)紀(jì)人”公布的材料和《明鏡》披露的美國國家安全局內(nèi)部的文件很有可能出自同一處——“方程式”組織很有可能就是服務(wù)于美國國家安全局的黑客團(tuán)伙，而Bvp47工具背后的操控者，也很有可能就是美國國家安全局。

“影子經(jīng)紀(jì)人”泄露的壓縮文件中，包含標(biāo)識(shí)代碼“ace02468bdf13579”

除Bvp47中包含的“飲茶”工具外，在西北工業(yè)大學(xué)遭網(wǎng)絡(luò)攻擊事件中，研究人員還披露了攻擊者使用的漏洞攻擊突破類、持久化控制類、嗅探竊密類、隱蔽消痕類等其余40種武器。《調(diào)查報(bào)告（之一）》稱這些都是美國NSA的“專用網(wǎng)絡(luò)攻擊武器裝備”。《調(diào)查報(bào)告（之二）》則對(duì)西北工業(yè)大學(xué)遭攻擊竊密中所用的41款不同的網(wǎng)絡(luò)攻擊武器工具進(jìn)行了統(tǒng)計(jì)，發(fā)現(xiàn)有16款工具與“影子經(jīng)紀(jì)人”曝光的“方程式”組織的武器完全一致；23款工具雖然與“影子經(jīng)紀(jì)人”曝光的工具不完全相同，但其基因相似度高達(dá)97%，屬于同一類武器；另有2款工具無法與“影子經(jīng)紀(jì)人”曝光工具進(jìn)行對(duì)應(yīng)，但與美國NSA內(nèi)部其它網(wǎng)絡(luò)攻擊武器具有同源性，需要搭配美國NSA的其它網(wǎng)絡(luò)攻擊工具使用。

國家計(jì)算機(jī)病毒應(yīng)急處理中心和360公司聯(lián)合組成的技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)，部分針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊行為發(fā)生在“影子經(jīng)紀(jì)人”曝光美國NSA的黑客工具之前，當(dāng)時(shí)這些工具仍屬美國NSA的內(nèi)部機(jī)密，大概率只能由美國NSA內(nèi)部人員自己使用。此外，技術(shù)團(tuán)隊(duì)還從攻擊時(shí)間、語言行為習(xí)慣、代碼特征等方面，找到了暴露入侵者身份的證據(jù)，并最終綜合五方面內(nèi)容，鎖定了西北工業(yè)大學(xué)遭受網(wǎng)絡(luò)攻擊的幕后黑手，系美國國家安全局。

資料圖

“一個(gè)高度機(jī)密的部門”

國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布的報(bào)告指出，西北工業(yè)大學(xué)網(wǎng)絡(luò)攻擊事件是由美國國家安全局信息情報(bào)部（代號(hào)S）數(shù)據(jù)偵察局（代號(hào)S3）下屬的“特定入侵行動(dòng)辦公室”（TAO）指揮實(shí)施的。

多年以來，美國政府常常以“正義者”自居，譴責(zé)他國攻擊美國及其盟友網(wǎng)絡(luò)的行為，卻對(duì)其國家安全部門在入侵、監(jiān)控他國網(wǎng)絡(luò)，竊取機(jī)密信息等行動(dòng)上扮演的角色諱莫如深。直到2009年，情報(bào)歷史學(xué)家馬修·艾德（Matthew Aid）的《秘密哨兵：國家安全局不為人知的歷史》一書出版，揭開了TAO的冰山一角。至2013年“棱鏡門”事件爆發(fā)，情報(bào)機(jī)構(gòu)以外的人們才得以對(duì)NSA內(nèi)部這個(gè)專門從事大規(guī)模網(wǎng)絡(luò)攻擊及竊密活動(dòng)的戰(zhàn)術(shù)實(shí)施單位有了更多了解。

馬修·艾德在其著作中形容TAO是“一個(gè)高度機(jī)密的部門”。美國《外交政策》雜志在2013年6月發(fā)表的一篇文章里也使用了這一說法，稱TAO的存在對(duì)于NSA的其他工作人員來說也是一個(gè)“謎”：其位于馬里蘭州米德堡的辦公室隱藏在NSA總部的大樓內(nèi)，一個(gè)大型的辦公套間將其與其它部門隔開。通往該房間的鋼制大門門口有武警把守，只有那些被特別批準(zhǔn)的人才能在輸入六位密碼和視網(wǎng)膜掃描后進(jìn)入大門。

另一些媒體，如美國政治新聞網(wǎng)站Politico和德國的《明鏡》雜志，則直截了當(dāng)?shù)貑綯AO為“NSA的黑客部門”?！睹麋R》指出，TAO自1997年誕生以來，目標(biāo)一直很明確，即“晝夜不停地工作，尋找入侵全球通訊網(wǎng)絡(luò)的方法”。僅2010年一年間，它在全世界就執(zhí)行了279次行動(dòng)。根據(jù)前NSA官員透露給《外交政策》的信息，TAO的日常工作就是通過入侵外國計(jì)算機(jī)和通訊系統(tǒng)，收集有關(guān)外國目標(biāo)的情報(bào)信息，以及在“必要”時(shí)發(fā)起攻擊，損害乃至摧毀外國的計(jì)算機(jī)和通訊系統(tǒng)。

這樣一個(gè)高度機(jī)密的黑客組織，平時(shí)是如何運(yùn)作的呢？一份來自美國海軍的機(jī)密報(bào)告顯示，TAO內(nèi)部至少有6個(gè)組成單元，分別是負(fù)責(zé)對(duì)行動(dòng)目標(biāo)和行動(dòng)要求進(jìn)行管理和開發(fā)的需求與定位處（R&T），執(zhí)行入侵、收集數(shù)據(jù)、地理定位等線上行動(dòng)的遠(yuǎn)程操作中心（ROC），開發(fā)行動(dòng)概念和進(jìn)行軟件植入的數(shù)據(jù)網(wǎng)絡(luò)技術(shù)處（DNT），利用電話交換等技術(shù)發(fā)展網(wǎng)絡(luò)戰(zhàn)能力的電信網(wǎng)絡(luò)技術(shù)處（TNT）, 通過供應(yīng)鏈對(duì)擬送達(dá)目標(biāo)產(chǎn)品進(jìn)行后門安裝的接入行動(dòng)處（AT&O），以及負(fù)責(zé)設(shè)計(jì)、開發(fā)和交付支持攻擊行動(dòng)網(wǎng)絡(luò)運(yùn)作的端到端基礎(chǔ)設(shè)施的任務(wù)基礎(chǔ)設(shè)施技術(shù)處（MIT）。

美國海軍內(nèi)部文件（2012年）截圖

不同的TAO單元并非各自為政。根據(jù)美國海軍的報(bào)告，TAO至少在2012年前已經(jīng)開始對(duì)R&T、ROC、DNT和MIT的資源進(jìn)行整合，打造以任務(wù)為導(dǎo)向的重點(diǎn)小組（MAC）。這些小組由操作人員、分析人員和開發(fā)人員組成，共同關(guān)注特定的目標(biāo)。TAO內(nèi)部至少有兩支任務(wù)小組，視中國和朝鮮為特定目標(biāo)，代號(hào)分別為NSAW和NSAH。在針對(duì)西北工業(yè)大學(xué)的網(wǎng)絡(luò)攻擊中，《調(diào)查報(bào)告（之一）》提到，攻擊首先是由MIT鋪墊的，在構(gòu)建偵察環(huán)境，并租用供給資源后，再由ROC組織執(zhí)行。過程中，TAO的DNT和TNT等小組提供了技術(shù)支撐；而R&T則負(fù)責(zé)為整個(gè)行動(dòng)制定戰(zhàn)略，并作情報(bào)評(píng)估。

《明鏡》雜志在2013年“棱鏡門”事件后期獲得的另一份目錄文件揭示，NSA內(nèi)部還有一個(gè)叫先進(jìn)網(wǎng)絡(luò)技術(shù)處（ANT）的部門，與TAO合作密切。該部門主要負(fù)責(zé)研發(fā)能夠滲透網(wǎng)絡(luò)設(shè)備、監(jiān)控移動(dòng)電話和電腦的工具，以幫助TAO入侵在使用“常規(guī)手段”時(shí)無法進(jìn)入的網(wǎng)絡(luò)，轉(zhuǎn)移甚至修改網(wǎng)絡(luò)上的數(shù)據(jù)?！睹麋R》發(fā)現(xiàn)，ANT提供的惡意軟件和硬件在當(dāng)時(shí)可用于思科、戴爾、瞻博、惠普和中國華為等公司制造的電腦，但這些公司在當(dāng)時(shí)或否認(rèn)了其設(shè)備曾受過修改，或表示對(duì)相關(guān)信息“不知情”。

《明鏡》雜志獲取的目錄文件截圖

2016年1月，時(shí)任TAO指揮官羅伯特·喬伊斯（Robert Joyce）在美國舊金山召開的Usenix恩尼格碼安全會(huì)議上公布了TAO整合資源、發(fā)動(dòng)進(jìn)攻的常規(guī)思路。他表示，TAO在選定入侵目標(biāo)后，會(huì)遵循六個(gè)步驟展開行動(dòng)，即偵察、初步開采、持久攻擊、工具安裝、橫向移動(dòng)和數(shù)據(jù)收集和滲出。其中“偵察”不僅是指在系統(tǒng)之外對(duì)入侵目標(biāo)進(jìn)行掃描，也包括借助公開資料等找到重要人物及其電子郵件等信息?！伴_采”則是TAO內(nèi)部常用的術(shù)語，TAO將其整套入侵流程稱作“計(jì)算機(jī)網(wǎng)絡(luò)開采（CNE）”。

喬伊斯的這種分享行為在NSA內(nèi)部相對(duì)罕見。一部發(fā)行于2012年的紀(jì)錄片《美國國家安全局揭秘：美國網(wǎng)絡(luò)秘密》提到，由于害怕暴露身份，NSA的內(nèi)部人員很少會(huì)在公開場合露面。盡管如此，那些受雇于TAO的人并非無跡可尋。在領(lǐng)英上圍繞關(guān)鍵詞“Tailored Access Operations”進(jìn)行搜索，可以找到不少曾經(jīng)或仍在為TAO服務(wù)的人員信息，例如在2010年2月至2011年6月?lián)蜹AO分析員的Teresa Pannell，擁有9年NSA工作經(jīng)驗(yàn)、NSA黑客證書和NETA1100 TAO概述證書的信號(hào)專家John Lawrence，從麻省理工大學(xué)電子工程和計(jì)算機(jī)科學(xué)學(xué)院畢業(yè)、目前可能仍在TAO工作的系統(tǒng)軟件專家Michelle Dinozzo（可能為化名）等。此外，有的網(wǎng)絡(luò)安全威脅情報(bào)平臺(tái)間或也會(huì)分享一些關(guān)于NSA黑客的溯源信息，多出于示警目的。

在領(lǐng)英上可以找到部分曾經(jīng)或仍在為TAO服務(wù)的人員信息

網(wǎng)絡(luò)安全威脅情報(bào)平臺(tái)分享的與美國NSA黑客有關(guān)的溯源信息

只不過，相較于黑客們的身份，情報(bào)社區(qū)更關(guān)注的還是這些黑客掌握的技術(shù)，及其使用技術(shù)的意圖。

2013年的“棱鏡門”事件讓世界意識(shí)到，美國國家安全局從微軟、雅虎、谷歌、蘋果等9家知名跨國服務(wù)商的服務(wù)器直接收集信息，其許可的監(jiān)聽對(duì)象不僅包括美國以外地區(qū)使用上述服務(wù)器的客戶，也包括美國國內(nèi)與海外有聯(lián)系的公民?！睹麋R》在同年的報(bào)道中還指出，TAO內(nèi)部的AT&O小組負(fù)責(zé)執(zhí)行“網(wǎng)外行動(dòng)”。該行動(dòng)的實(shí)質(zhì)即安排美國中央情報(bào)局的特工在海外的計(jì)算機(jī)或電信系統(tǒng)上秘密安裝竊聽裝置，以便TAO的黑客從米德堡遠(yuǎn)程訪問這些系統(tǒng)。

這些丑聞固然使NSA陷入信任危機(jī)，但按照《紐約時(shí)報(bào)》在2017年11月發(fā)表的一篇報(bào)道中的說法，它給NSA帶來的威脅其實(shí)遠(yuǎn)不如3年后的“影子經(jīng)紀(jì)人”事件：從2016年8月至2017年中旬，“影子經(jīng)紀(jì)人”先后以拍賣、訂閱和免費(fèi)披露的方式公開了一系列被認(rèn)為與TAO有密切聯(lián)系的“方程式組織”的黑客工具。這些捆綁了實(shí)際代碼的工具不僅可直接作用于對(duì)包括美國及其盟友在內(nèi)的多國網(wǎng)絡(luò)系統(tǒng)的攻擊，導(dǎo)致WANNACRY等蠕蟲式勒索病毒廣泛傳播，也將美國NSA的安保能力置于尷尬的境地。

多年來，美國聯(lián)邦調(diào)查局通過廣泛的調(diào)查，先后逮捕了哈羅德·托馬斯·馬丁三世（Harold T. Martin III）、Nghia H. Pho、賈雷·達(dá)爾克（Jareh Dalke）等多位將NSA的保密資料帶離工作場所的雇員，但始終難以將他們與“影子經(jīng)紀(jì)人”聯(lián)系起來?！坝白咏?jīng)紀(jì)人”的真實(shí)身份至今成謎。

另一方面，“影子經(jīng)紀(jì)人”披露的一系列網(wǎng)絡(luò)攻擊武器也給世界上更多調(diào)查機(jī)構(gòu)提供了研究TAO入侵思路及方法的機(jī)會(huì)。例如，總部位于瑞士的信息安全公司Kudelski Security在2017年5月發(fā)表博客，稱其研究人員正通過測試“影子經(jīng)紀(jì)人”發(fā)布的武器建立威脅情報(bào)（IOC）文檔，以便識(shí)別被這些工具、漏洞和腳本針對(duì)的全球客戶群。

隨著研究的深入，威脅情報(bào)社區(qū)對(duì)TAO這個(gè)“幕后組織”也有了更多了解 。截至2022年6月22日，美國electrospaces.net網(wǎng)站已經(jīng)累計(jì)整理了400余個(gè)和TAO相關(guān)的編碼詞，其中超過三分之一是關(guān)于TAO使用的入侵工具的代稱，如STORMPIG（指代TAO在 TAONet上用于僵尸網(wǎng)絡(luò)攻擊的數(shù)據(jù)清理工具）和BANANAAID；還有一些是被認(rèn)為由TAO發(fā)動(dòng)的黑客入侵項(xiàng)目的代號(hào)，如MURPHYSLAW，或形容黑客的代詞，如CUTEBOY和ALOOFNESS；但也有一些專有名詞，例如ECLECTICPILOT和FINKCOAT，盡管已經(jīng)在被認(rèn)為與TAO有關(guān)的文件中發(fā)現(xiàn)，但具體指向仍然不明。

入侵的目標(biāo)

NSA入侵西北工業(yè)大學(xué)網(wǎng)絡(luò)的目的是什么？《調(diào)查報(bào)告（之一）》發(fā)布時(shí)沒有給出答案。當(dāng)時(shí)有分析人士認(rèn)為，該校作為隸屬于工業(yè)和信息化部的知名高校，參與國家科技重大專項(xiàng)、武器裝備型號(hào)項(xiàng)目研究。境外間諜情報(bào)機(jī)關(guān)不遺余力地進(jìn)行網(wǎng)絡(luò)攻擊，是為了刺探、竊取我國相關(guān)領(lǐng)域的機(jī)密。

但參考中國《保密法》第四十八條規(guī)定：不得在未采取防護(hù)措施的情況下，在涉密信息系統(tǒng)與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)之間進(jìn)行信息交換，以及《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第六條規(guī)定：涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離，在操作規(guī)范的情況下，TAO通過遠(yuǎn)程操控跳板機(jī)入侵西北工業(yè)大學(xué)運(yùn)維網(wǎng)絡(luò)“telnet”管理服務(wù)器，從而獲得涉密數(shù)據(jù)的可能性較低。

9月22日，《環(huán)球時(shí)報(bào)》記者從有關(guān)部門獲悉，TAO在對(duì)西北工業(yè)大學(xué)發(fā)起網(wǎng)絡(luò)攻擊的過程中，非法攻擊滲透中國境內(nèi)某電信運(yùn)營商，構(gòu)建了對(duì)核心數(shù)據(jù)網(wǎng)絡(luò)遠(yuǎn)程訪問的“合法”通道，對(duì)中國的電信基礎(chǔ)設(shè)施進(jìn)行了滲透控制。

隨后發(fā)布的《調(diào)查報(bào)告（二）》印證了此消息，稱TAO在入侵過程中， 竊取了西北工業(yè)大學(xué)的核心網(wǎng)絡(luò)設(shè)備賬號(hào)口令及配置信息，網(wǎng)絡(luò)設(shè)備運(yùn)維配置文件和日志文件，并利用竊取到的網(wǎng)絡(luò)設(shè)備賬號(hào)口令，以“合法”身份進(jìn)入中國基礎(chǔ)設(shè)施運(yùn)營商服務(wù)網(wǎng)絡(luò)，控制相關(guān)服務(wù)質(zhì)量監(jiān)控系統(tǒng)，竊取用戶隱私數(shù)據(jù)。根據(jù)報(bào)告的表述，多年來，TAO先后攻擊控制了至少2家中國基礎(chǔ)設(shè)施業(yè)務(wù)的服務(wù)器，并非法多批次查詢、導(dǎo)出、竊取了多名身份敏感人員的用戶信息。

針對(duì)西北工業(yè)大學(xué)遭受美國網(wǎng)絡(luò)攻擊一事，9月5日，中國外交部發(fā)言人毛寧在例行記者會(huì)上回答有關(guān)提問時(shí)表示，美方行徑嚴(yán)重危害中國國家安全和公民個(gè)人信息安全。中方強(qiáng)烈譴責(zé)，要求美方作出解釋并立即停止不法行為。

但美國政府在面對(duì)此類指控時(shí)一向擺著一副“既不承認(rèn)也不否認(rèn)”的態(tài)度。彭博社和美國全國廣播公司財(cái)經(jīng)頻道就調(diào)查報(bào)告的內(nèi)容詢問NSA，未收到任何官方回應(yīng)。“澎湃明查”嘗試就此事聯(lián)系NSA，但截至發(fā)稿同樣未收到回復(fù)。