络攻击西工大幕后，美国特定入侵行动办公室究竟有多“黑”

9月5日，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA 络攻击事件调查 告（之一）》。图/IC photo

9月5日，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学（简称“西工大”）遭受境外 络攻击的调查 告，初步判明攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，简称TAO）。

上万次的恶意 络攻击

今年4月，西安市公安机关接到一起 络攻击的 警，西北工业大学的信息系统发现遭受 络攻击的痕迹。

国家计算机病毒应急处理中心和360公司联合组成技术团队介入并全程参与此案的技术侦察与分析工作。

经综合使用国内现有数据资源和技术分析手段，并得到诸如欧洲和南亚国家的通力支持，团队全面还原了攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局(NSA)下辖“特定入侵行动办公室”(TAO)，TAO亦被称为“获取特定情 行动办公室”。

团队经过复杂的技术分析与溯源，最终还原了西工大遭受 络攻击的过程和被窃取的文件，掌握了TAO对中国信息 络实施 络攻击和数据窃密的相关证据。

公开资料显示，TAO先后使用41种专用 络攻击武器装备，对西工大发起攻击窃密行动上千次，窃取了一批核心技术数据，涉及在美国国内对中国直接发起 络攻击的人员13 名，以及NSA通过掩护公司为构建 络攻击环境而与美国电信运营商签订的合同 60 余份、电子文件 170余份。

调查还发现，在近年，TAO对中国国内的 络目标实施了上万次的恶意 络攻击，控制了数以万计的 络设备，包括： 络服务器、上 终端、 络交换机、电话交换机、路由器、防火墙等，窃取了超过140GB数据。

美国国家安全局总部。图/IC photo

起底TAO的历史

回顾历史，TAO成立于冷战时期。

1952年11月，根据时任总统杜鲁门的命令，美国国家安全局总部（NSA）成立。此机构隶属于美国国防部，是美国庞大情 系统的一个重要组成，专门负责收集和分析外国及本国通讯资料。

NSA继承了第二次世界大战中成功破译敌方密码的工作（美国军情八处）的职能，主要负责监听监视电台广播、通讯、互联 ，尤其是军事和外交的秘密通讯，其长期与美国中央情 局（CIA）合作，是世界上单独雇佣最多数学博士和电脑专家的单位，总体技术侦查能力一流。

TAO作为NSA的 络战情 收集单位，于1998年设立，主要工作是识别、监视、渗透和收集其他国家的电脑系统中情 。该机构现名“Computer Network Operations”（计算机 络运作），是目前美国政府专门从事对他国实施大规模 络攻击窃密活动的战术实施单位。

经过近30余年的运作，目前TAO已成为美国专门从事对目标国大规模 络攻击窃密活动的战术实施单位，团队人数超过2000多人。

TAO拥有自己的小型秘密情 收集单位，被称为“Access Technologies Operations Branch”，其中包括由中央情 局（CIA）和联邦调查局（FBI）的借调人员，执行所谓的“ 外行动”。其力量部署主要依托NSA在美国和欧洲的密码中心，目前有六个密码中心被公布。

“一切成谜”背后的原因

TAO因长期向美国情 界提供一些绝密情 而享有“盛名”。这些情 涉及各种恐怖组织、外国政府针对美国的间谍活动、弹道导弹和全球大规模杀伤性武器的发展以及全球最新的政治、军事和经济信息等。

据《外交政策》杂志 道，关于TAO的一切都被列为“最高机密”。

TAO 隐藏在马里兰州米德堡NSA总部大楼内。对许多 NSA 员工来说，TAO 是一个谜。相对而言，很少有 NSA 官员能完全访问有关 TAO 的信息，因为它的行动非常敏感，而且需要特殊的安全许可才能进入 TAO的办公地。通向这一机构中心的门禁由武装警卫保护，庞大的钢门只能通过在键盘中输入正确的六位数密码才能进入，还有一个视 膜扫描仪，以确保只有经过特别许可的人才能进入此门。

由于TAO很少对外公布行动以及资料，使得外界对之知之甚少。但从一些评价可以看出，其所执行任务存在极强的特殊性甚至战略性。

2016年，NSA 络安全主管乔伊斯曾在“Usenix Enigma”会议上公开露面解释称“破解 络目标的关键是找到薄弱环节。TAO被称为高级持续威胁是有原因的，我们会不停地尝试、试探，直到最终进入（目标）。”

前 NSA 官员称，TAO 的任务很简单，它通过秘密侵入外国目标的计算机和电信系统、破解密码、破坏保护目标计算机的计算机安全系统、窃取存储在计算机硬盘驱动器上的数据，然后复制所有通过内部的消息和数据流量来收集有关外国目标的情 信息目标电子邮件和短信系统。

专门研究NSA的历史学家马休·艾德（Matthew M. Aid）在2013年6月在“Forreign Policy”发表针对NSA的主题评论文章“Inside the NSA’s Ultra-Secret China Hacking Group”指称， TAO已成功渗透中国计算机和电信系统15 年，收集了诸多类型的信息。

当地时间2021年5月31日，德国柏林，法国总统马克龙和德国总理默克尔举行新闻发布会，表示美国国家安全局利用丹麦情 部门对盟国领导人进行监听的做法不可接受，法德要求美国和丹麦就此作出解释。图/IC photo

此次事件对中国的启示

对西北工业大学的 络攻击与窃密是NSA主导实施的对华系列隐秘行动的一环。美国多家大型知名互联 企业配合了这系列的攻击，其将掌握的中国大量通信 络设备管理权限，提供给了包括NSA在内的情 机构。这样看，这次攻击是美国情 机构与大型公司的合作结果，公司为美国的 络攻击提供了便利。作为对中国的遏制手段，NSA还针对中国的手机用户进行了无差别的监听，窃取私人信息，严重威胁中国国家安全和个人信息安全。

美国拥有众多的 络技术类武器，对中国 络基础设施已经构成了极大的威胁，且其 络攻击武器存在较高和复杂的技术性。这包含了复杂的后门工具、复杂的内部渗透攻击链、漏洞攻击突破类武器、持久化控制类武器等。

为了确保攻击效果，TAO会实施较长期的准备，利用系统漏洞，以商业和流量较多的 络作为攻击目标，得手后即植入木马病毒，如此，就控制大量的跳板机。而为了实施隐蔽行动和避免被追踪，TAO利用了54台跳板机和遍布全球的代理服务器，主要分布在日本、韩国、瑞典和乌克兰，其中70%位于中国周边。

对此，中国有必要对标研究这次攻击，根据其攻击路径与方式总结规律，完善升级。尤其是涉军工类高校以及企业的 络安全防御手段，需提高安全和风险意识，居安思危杜绝侥幸。 络攻击的风险无处不在、无时不在，中国高校以及公司需要谨慎开展涉外 络交流，加强局域 的安全防御级别、加强风险审查和 络攻防能力建设。美国对华情 窃密与渗透已经实现了高度的“公私合作”，中国需要采取立体、全方位的反 络攻击因应，提高安全警惕，紧绷防御之弦。

此外， 络安全需要社会的通力合作。提高社会对 络安全的认知，更是反击美西方 络攻击的重要一环。

美国在 络空间的霸权表现出极强的进攻性，美情 机构主导的 络窃密和攻击已成为全球 络安全的“威胁”，是各国面临的共同挑战，而维护 络安全是国际社会的共有责任。

特约撰稿人 / 王英良（复旦大学美国研究中心国际关系博士生）