美国国家安全局NSA对我国西北工业大学发起网络攻击事件，又有新的细节公开。

9月27日，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告（之二）》，披露了美国国家安全局（NSA）“特定入侵行动办公室”（TAO）攻击渗透西北工业大学的流程、窃取西北工业大学和中国运营商敏感信息，公布了TAO网络攻击西北工业大学所使用的武器平台IP列表及所用跳板IP列表。

今年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击，随后西安警方对此正式立案调查，中国国家计算机病毒应急处理中心和360公司联合组成技术团队全程参与了此案的技术分析工作，并于9月5日发布了第一份“西北工业大学遭受美国NSA网络攻击调查报告”，调查报告指出此次网络攻击源头系美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）。

01/单点突破、逐步渗透、长期窃密、TAO窃取西工大关键敏感数据

今天发布的第二份调查报告显示，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。

360公司网络安全专家 边亮：它可以批量对网络中的设备或者一段IP进行投漏洞、投病毒，从而获取相关权限，这可以做到自动化。它后续需要进行潜伏和长期控制，并且需要有针对性地去窃取相关文件，以及在撤退时需要销毁，这背后需要有人来操作。整个过程属于半自动化。

技术团队发现，特定入侵行动办公室（TAO）经过长期的精心准备，使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击，部署“怒火喷射”远程控制武器，控制多台关键服务器，进一步部署嗅探窃密类武器。

02/TAO利用窃取到的账号口令、渗透控制中国基础设施核心设备

报告显示，特定入侵行动办公室（TAO）通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据，掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。

360公司网络安全专家 边亮：它控制了西工大相关设备之后，利用西工大再去对其他单位进行攻击，这个过程是打引号的“合法”。相当于我们数据库中有一个类似于人脸识别的防护机制。比如说一个美国人来的话，可以直接拦住，但是他刷了西工大的脸，我们就会认为他是一个正常的用户，对他放行。但实际上西工大的相关服务器是被TAO所控制的，TAO进一步对其他单位发动攻击。

技术团队根据特定入侵行动办公室（TAO）攻击链路、渗透方式、木马样本等特征，关联发现其非法攻击渗透中国境内的基础设施运营商，构建了对基础设施运营商核心数据网络远程访问的（所谓）“合法”通道，实现了对中国基础设施的渗透控制。

03/窃取中国境内敏感身份人员隐私数据

报告显示，特定入侵行动办公室（TAO）通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令，以（所谓）“合法”身份进入运营商网络，随后实施内网渗透拓展，分别控制相关运营商的服务质量监控系统和短信网关服务器，利用“魔法学校”等专门针对运营商设备的武器工具，查询了一批中国境内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。