2022年4月，西安市公安机关接到一起网络攻击的报警，声称西北工业大学的信息系统发现了遭受网络攻击的痕迹。这起案件很快引起了西安市公安机关的高度重视，他们立即组织警力与网络安全技术专家成立联合专案组对此案进行立案侦查。并由国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了此案的技术分析工作。

　　在经历了数月的样本提取和分析，以及欧洲、南亚部分国家合作伙伴的支持，终于还原了相关攻击事件的大致情况，并发布了关于西北工业大学遭受境外网络攻击的调查报告，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”，调查还发现TAO多年来对我国国内的网络目标，实施了上万次的恶意网络攻击，控制了数以万计的网络设备，包括：网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等，窃取了超过140GB的高价值数据。

　　天籁之音，赛雷话金，今天咱们就来起底NSA的“特定入侵行动办公室”，看看这个所谓的“精英黑客单位”究竟干了多少件“大事”。

　　1997年，美国国家安全局（NSA）建立了一个网络战情报部门，并于1998年开始运作。直到2000年，这个情报部门被命名为“Office of Tailored Access Operation”，简称TAO，也就是国家计算机病毒应急处理中心和网络公司360调查报告中提到的“特定入侵行动办公室”。据说TAO非常神秘，隐藏在马里兰州米德堡的国家安全局总部大楼内，几乎没有几个NSA官员有权限访问这个部门的信息，由于其参与的行动都十分敏感，通往内部的门口有一扇看起来巨壮观的钢门，由美国武装警卫把守。想要通过不仅要在键盘上输入正确的六位数密码，还要通过视网膜扫描仪才能通过这扇门。TAO目前雇用了2000多名现役军事人员和文职人员，其中包括网络黑客，情报分析师，学者，计算机硬件和软件设计师以及电子工程师，是NSA信号情报局Signals Intelligence Directorate (SID) 最重要的一个组成部分。是专门针对他国实施大规模网络攻击窃密活动的战术实施单位，同时也是美国军方网络战司令部的关键支持系统。在美国参与的冲突事件中，TAO可以向网络战司令部提供相关的网络攻击武器，以执行攻击以禁用或摧毁其他国家的通信网络或信息系统。主要职责是利用依赖于网络的各类型产品漏洞获取竞争对手的内部信息，包括秘密入侵目标国家的关键信息基础设施，窃取账户代码，破解或破坏计算机安全系统，监控网络流量，侵犯隐私和窃取敏感数据，并获取电话，电子邮件，网络通信和消息。

　　据360公司网络安全专家表示，TAO代表了当前全球网络攻击的最高水平，他们掌握的大量攻击武器，就像是互联网中的万能钥匙，可以任意进出目标设备。其力量部署主要依托美国国家安全局（NSA）在美国和欧洲的各密码中心。【神秘人：除了国安局马里兰州的米德堡总部，还有瓦湖岛的国安局夏威夷密码中心（NSAH）、戈登堡的国安局乔治亚密码中心（NSAG）、圣安东尼奥的国安局德克萨斯密码中心（NSAT）、丹佛马克利空军基地的国安局科罗拉罗密码中心（NSAC）以及德国达姆施塔特美军基地的国安局欧洲密码中心（NSAE）。TAO下设有10个单位，他们分工明确，从前期的侦察定位，构建匿名攻击平台，开发专属网络武器，到随后入侵和窃取指定的目标的重要资料，都有相应的部门负责关联操作。此次TAO在针对西北工业大学的网络攻击为了隐藏幕后实施入侵的主体，先后使用了54台跳板机和代理服务器】这里的跳板机和代理服务器是TAO为了构建匿名攻击平台所控制的服务器，所有的攻击入侵操作都是通过跳板机来转发进行的。就像平时大家用的QQ远程协助，都是先通过QQ的服务器连接到你的电脑进行协助操作，而不是直接连接过来的。【神秘人：按照美国政府的一贯做法，他们无论是线下发动战争也好，还是线上发动网络入侵战争也好，大多非常喜欢代理人战争这种方式，TAO此次针对西北工业大学动用了将近41种超高水准的专属网络攻击武器，他们利用自身的技术优势入侵并控制各个国家的服务器来攻击目标国家的网络。虽然这种看上去像很多国家在进行网络攻击，但是实际上都是TAO在幕后进行操作的。】

　　此案的攻击行动代号为“阻击XXXX”（shotXXXX），由TAO当时的负责人罗伯特·乔伊斯（Robert Edward Joyce）直接指挥。此人1989年进入美国国家安全局工作，于2013年至2017年期间担任TAO的主任，分别在美国国家安全局（NSA）的信息保障和信号情报局中担任过领导职务。2018年做了一个月的美国白宫国务安全顾问后，又回到NSA担任美国国家安全局局长网络安全战略高级顾问，现在已经坐到了NSA网络安全局主管的位置。罗伯特·乔伊斯能一路平步青云，肯定干了不止这一件“大事”，但要说到入侵渗透中国网络，TAO绝对算是一回生N回熟了。【神秘人：美国有一本叫《外交政策》的杂志在2013年6月的时候就有过报道，早在1998年全球仅2%的人口可以上网的时候，TAO就开始对我国的计算机网络和电信系统进行了成功渗透。】那么98年是一个什么概念？那个时候中国互联网刚起步，绝大多数网络用户都还用着电话线拨号来上网，马老板的OICQ都还没有开发出来。我们用的服务器、操作系统、网络设备等绝大多数等都是依赖于美国的相关生产厂商。

　　【神秘人：为此我们仅在3年后即2001年8月就成立了国际互联网应急中心（CNCERT），该机构从成立开始就一直在互联网安全的最前线维护着国家网络安全并与各类黑客团队进行了无数次的战斗博弈。从中国互联网应急中心（CNCERT）发布的2013年前5个月的数据来看，当时就有4062 台美国服务器劫持了中国的 291 万台大型机。同时我们也看到CNCERT在2012年切断了黑客对3937万台受感染主机的远程控制。其中劫持了中国291万台大型机的4062台控制服务器全都来自于美国，无论是控制服务器数量，还是控制主机数量的规模，美国都是当仁不让的第一名。而我国政府部门、重点信息系统、研究机构等重要机构的网站，均被植入过后门程序，多个网站被美国IP地址劫持窃取信息。美国国家安全局TAO的网络攻击武器装备针对性强，得到了美国互联网巨头的鼎力支持。同一款装备会根据目标环境进行灵活配置，在这些使用的41款装备中，仅后门工具“狡诈异端犯”（NSA命名）在对西北工业大学的网络攻击中就有14款不同版本。】“狡诈异端犯”是一款轻量级的后门植入工具，植入后门程序运行以后它就把自己删除掉了，没有植入以前它就隐藏驻留于目标设备上。

　　【神秘人：TAO之所以能长期神不知鬼不觉的完成任务，一定程度上也要归功于和美国电信“三巨头”（AT&T、Verizon和Sprint）、美国大型互联网服务供应商，还有顶级计算机安全软件制造商和咨询公司的通力合作。像弗吉尼亚州一家公司就在500多个APP中嵌入软件监视用户，这家名叫Anomaly Six（A6）的公司由两名前军事情报官员创立，也是美国联邦政府的承包商。不仅可以实时跟踪大约30亿台设备，将数据传递给美国情报机构。还可以收集GPS精确定位，追踪被监控人的生活轨迹。根据Motherboard公开记录，美国特种作战司令部于2020年9月向Anomaly Six（A6）支付了59万美元，用于访问该公司的“商业遥测数据源”一年。】

　　而在美国电信“三巨头”的帮助下，TAO已经成功地破坏了一系列4G手机和手持设备上使用的隐私保护系统。【神秘人：这些还只是冰山一角，NSA的移动基站可以模仿网络提供商的基础设施，并收集移动信号以进行解码和研究。还可以利用SIM卡漏洞，将代码安装在SIM卡上，就可以跟踪和监视单个用户的呼叫和位置。还有几个以前比较出名的，像是Dropout Jeep，这个后门代码就如同一个用来装载泄漏数据的吉普，专为iOS系统开发用来偷窃用户信息和监视用户活动。名为NIGHTSTAND的漏洞可以在8英里范围内伪造Wi-Fi通讯，从而对拥有漏洞的潜在计算机实施控制。而一台名为SPARROW II的小型Linux操作系统计算机可以安装在无人机上，从空中监视安全性差的无线网络。】这些都来自于美国国家安全局的机密产品目录，也可以称之为TAO目录，这份将近50页的内容列出了由高级网络技术(ANT) 部门提供给美国国家安全局(NSA)特定入侵行动办公室(TAO)用来帮助网络监视获取目标数据的各种技术。

　　【神秘人：在硬件方面，TAO的黑客团队中还有“近距离访问操作”或“离网”项目的专家，这些项目需要对目标系统进行物理访问。比如拦截用户从亚马逊或其他公司在线订购的笔记本电脑，然后对其添加跟踪硬件，最后包装成原来的样子正常交付就行了。NSA还开发了一套名为HOWLERMONKEY的微型监控电子设备，隐藏在计算机硬件中，例如普通的以太网端口。无线通信也可以通过安装一个名为BULLDOZER的单独Wi-Fi卡来颠覆。即使用户默认关闭了无线，也可以连接到附近被控制的路由器上，并从目标系统收集元数据和内容。惠普和戴尔制造的服务器也被认为是一个容易被植入的系统，被称为GODSURGE的硬件可以安装在戴尔PowerEdge机器的JTAG调试端口上，以提供完全访问权限。作为存储资料的最基本的硬件设备之一的硬盘，肯定不会放过，一款名为IRATEMONK系列的软件工具包，就可以轻松的在西部数据、希捷、迈拓和三星的磁盘上刷入新的固件，用来允许完全访问目标的数据和操作系统。而且由于是直接刷入固件，因此几乎不可能被检测到。这就使得间谍可以在连接的计算机上隐藏和执行他们喜欢的任何内容，就算驱动器已被擦除也照样可以操作。】

　　还有某位不愿透露姓名的全球知名互联网公司（微软）高管，也证实了他们公司在提示用户需要漏洞修复之前，都会提前通知美国情报机构，但是至于NSA如何利用这些漏洞信息，就不是他们的事情了。这也就是为什么就意味着TAO就能够在第一时间获得各种漏洞信息并加以利用。【神秘人：ProPublica发布的2012年2月预算文件中可以发现，诸如此类的公司会代表TAO“将漏洞插入目标使用的商业加密系统、IT系统、网络和端点通信设备”。同时为TAO量身定制的黑客程序使得当前可用的商业计算机安全软件完全无法检测到它们。因此美国和海外制造的大多数商用计算机安全软件系统实际上都已经被NSA破解了，要么是秘密的进行的，要么是在开发这些系统的公司知情和同意下进行的。可以说几乎所有的美国互联网巨头或多或少都与TAO有着一定的合作关系。除此之外，还有成千上万的技术、金融和制造公司也在与美国国家安全局密切合作，他们靠提供行业敏感信息换取包括机密情报在内的利益。给TAO提供过方便的“合作伙伴”遍布全球，数量之庞大远远超过了美国前国安局员工斯诺登（Edward Snowden）所透露的范围。】对于棱镜计划记忆模糊的朋友，我再给大家回顾一下，前中情局（CIA）职员爱德华·斯诺登，在2013年6月曾将两份绝密资料交给了英国《卫报》和美国《华盛顿邮报》发表。这两份绝密资料犹如两颗炸弹，在当时掀起了轩然大波。先是6月5日《卫报》发布了美国国家安全局有一项代号为棱镜的秘密项目，要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。紧接着只隔了一天，《华盛顿邮报》又披露在过去6年间，美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器，监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。这是美国有史以来被曝光的最大监控事件，其侵犯的人群之广、程度之深和他们一直以来标榜的某些论点背道而驰。【神秘人：TAO长期从美国和海外（特别是西欧）秘密购买商用黑客工具或间谍软件系统，用来辅助自己更好的完成“任务”。并且除了和各大软件相关行业的高层保持合作关系，】

　　在此次TAO对西北工业大学的网络攻击行动中，他们就先后使用了41种NSA的专用网络攻击武器装备，通过分布于日本、韩国、瑞典、波兰、乌克兰等17个国家的49台跳板机和5台代理服务器，对西北工业大学发起了攻击窃密行动上千次。【神秘人：从此次攻击手段来看，可以看到TAO所使用的武器类别分为四大类，具体包括：1、漏洞攻击突破类武器；2、持久化控制类武器；3、嗅探窃密类武器；4、隐蔽消痕类武器。从最开始的这种漏洞的攻击突破，突破之后去传送第二类久控制类的武器工具然后再传送第三类嗅探武器，使其长期潜伏在网络系统中窃取我们重要的数据，在预期的任务已经完成之后，那么开始使用第四类的武器就是隐蔽消痕类，把现场清理干净，让被害人无法察觉。

　　举个简单的例子：某某经调查发现你家小区保审核不严，伪装成外卖进入了小区，然后外卖换了一身某电子门锁厂家的工作服，在你下午人少，独居的你不在家的情况下把你家的电子门锁换成你现在用的同品牌改装电子门锁（持久控制留有后面），可以记录你的开锁密码。随后伪装成家政阿姨进入你的屋内将监听工具塞进你的空调内机里面用来探听记录你的日常隐私阿里云 ip代理服务器，当获取到预计的内容以后再把门锁换回来取走监听工具抹除前面的痕迹。讲到这里就应该发现为什么这个某某可以根据不同的品牌进行门锁的替换？因为市场上几乎所有电子门锁里面的控制程序都是这个某某所在公司开发的。就好比互联网的前身，是美国政府于上世纪60年代资助的“高级研究计划署网络” (Advanced Research Projects Agency Network，简称ARPANET)】

　　“高级研究计划署网络”简称“阿帕网”（ARPANET），是美国国防部高级研究计划署（ARPA）开发的世界上第一个运营的封包交换网络，也就是全球互联网的始祖。“阿帕”不仅是网络诞生地，也是电脑图形、平行过程、计算机模拟飞行等重要成果的诞生地。直到其他互联网中枢的出现，以及互联网商业化后，阿帕网的重要性被大大减弱了，终于在1990年正式退役。

　　【神秘人：时至今日，美国政府仍认为其对这项关键战略性技术拥有所有权，不允许多边机构干涉。并且美国大量高等学府和科研机构都在70年代初的时候就开始参与了其中。也就是说当今没有任何网络技术可以绕开美国政府，没有任何一个国家比美国政府更懂得网络，更不用说我们常用的互联网电子邮件，以及互联网最基本通讯协议可以说都是从APANET孕育而来的，只要你的操作系统能联网，那么必然绕不开美国政府。】既然什么都绕不开，那么是否意味着NSA可以很轻易的进入到别国的网络中窃取机密？答案已经不言而喻。说到这，不得不提到影子经纪人（The Shadow Brokers），2016年美国用于存放网络攻击武器的服务器，被一个名叫Shadow Brokers影子经纪人的黑客组织成功渗透，并发布了包括NSA黑客工具在内的数个漏洞，也包括多个零日攻击（zero-day attack），这些漏洞专门针对企业防火墙、杀毒软件和微软软件。据Shadow Brokers称，这些漏洞全都来自于方程式组织“Equation Group”，该组织于2015年被国际信息安全软件提供商卡巴斯基实验室发现，因为喜好在间谍活动中使用复杂的加密算法和混淆策略，所以被称为方程式组织（Equation Group）。卡巴斯基指出，该团体的恶意软件已感染起码42个国家的500台电脑。

　　【神秘人：影子经纪人还与此前发现的“火焰”（Flame）以及“震网”（Stuxnet）的幕后团体存在联系。】“火焰”是一种后门程序和木马病毒，同时又具有蠕虫病毒的特点。根据卡巴斯基的估计，Flame最初感染了大约1000台机器，受害者包括政府组织、教育机构和个人。当时 65% 的感染发生在伊朗、以色列、巴勒斯坦、苏丹、叙利亚、黎巴嫩、沙特阿拉伯和埃及， “绝大多数目标”在伊朗境内。而“震网”是首个专门针对工业控制系统编写的破坏性病毒，不仅结构异常复杂、隐蔽性超强，在电脑操作员将被病毒感染的U盘插入USB接口后，这种病毒可以在不需要任何操作的情况下，取得工业电脑系统控制权，曾对伊朗的核计划造成重大损害。被公认为美国和以色列联合打造的网络武器。

　　【神秘人：影子经纪人先后在2016年和2017年分别公开泄露过两个工具包。其中在2016年泄露的那个工具包中含有“NOPEN”木马（Linux 3.0.5.3版本，分为客户端和服务端）。还有一份“二次约会”（SecondDate）黑客软件使用说明文档，更是傻瓜式的逐步描述了如何攻破CISCO PIX防火墙的整个操作步骤。至于另外一份2017年泄露的工具包中就有一个可以利用Windows系统SMB漏洞获取系统最高权限的攻击工具永恒之蓝（EternalBlue），在它现世后在不到一个月的时间就被不法分子通过改造“永恒之蓝”制作了臭名昭著的wannacry勒索病毒，并使150个国家遭遇到袭击，包括政府、银行、电力系统、通讯系统、能源企业、机场等重要基础设施都被波及。类似永恒之蓝这样的漏洞TAO其实还掌握了很多，他们常常会利用这些仅仅只有他们掌握的漏洞发起网络攻击，并能很轻易的突破目标的网络系统，这种攻击我们称之为“零日攻击（zero-day attack）”，当然这些如果背后没有美国各大IT巨头支持着是完全不可能的。

　　除了以上提到针对CISCO防火墙的攻击以外，泄露的工具包中还包含了Juniper NetScreen-ISG 2000 防火墙等一些知名厂商防火墙设备的攻击利用程序，更值得注意的是泄露的工具包最早构建于2010年，这就意味着NSA的整体技术完全领先于整个世界至少10年以上。】TAO只要手握这些网络攻击武器，再联合或攻破各大电信、互联网公司以及软硬件制造商等，就可以利用网络空间的行动来完成他们想要达到的任何目的。

　　【神秘人：所以普通人根本无法想象美国政府如何利用庞大的监视设备操控一切。根据一份泄漏的美国绝密情报显示，TAO在搜寻本·拉登的过程中也发挥了极大的作用。虽然本·拉登为了确保自己不会留下电子线索，坚持十几年不用电话和电子邮件传递信息。但NSA依然可以凭借TAO的“植入”，从本·拉登周围的人下手，在相关人员的手机收集情报。在本·拉登被击毙的前一个月，当时美军依靠植入物的信号情报，在阿富汗抓获了40名中低级别塔利班武装人员和其他反叛分子。】

　　那么这样的组织当然不会“攻击”一个普通的学校，此次的目标“西北工业大学”是我国唯一同时发展航空、航天、航海工程教育和科研的重点大学，像歼20总设计师杨伟就是从西工大毕业的。作为“国防七子”之一，西工大参与了中国航空航天领域的多项顶尖科研成果，所以美国当然不会放过这个“不断探索前进”机会，这背后归根结底都是霸权思维在作祟。（蓬佩奥名言：我们撒谎、我们欺骗、我们偷窃……这是美国不断探索前进的荣耀）【神秘人：而这样的思维并不会因为对方示弱而停止，这一点他的盟友们也非常清楚。澳大利亚莫里森政府的最新国防预算方案里，澳大利亚信号局（Australian Signals Directorate，ASD）将分到99亿澳元（约合74.1亿美元）的大蛋糕。这个代号为“红辣椒计划”的项目，被称为澳大利亚信号局“75年历史里获得的最大一笔投资”的预算，会在未来十年内创造约1900个新工作岗位，而这个项目的重中之重就是要增强网络攻防能力。】

　　传统意义上的战争是建立在实际领域上的，但到了信息时代便又产生了新的网络空间领域，在全球人类对互联网的日益依赖下，网络安全始终是一项全球性议题。韩国平昌冬奥会开幕受恶意软件攻击造成网络中断；哥斯达黎加数十个政府机构遭到勒索软件攻击影响市民办理业务；欧洲电信巨头沃达丰遭受蓄意网络攻击，导致葡萄牙全国大部分地区持续断网；能源、电力、水利等关键基础设施领域都可能因为网络攻击而停摆。小到个人手机上的隐私安全，大到国家城市的正常运转。未来的网络战，不仅仅是经济战，与网络空间有关的危险和风险是巨大的，所以保卫网络安全等于保卫国家安全，维护网络空间的安全需要各个国家之间的合作，只有形成以人类整体为视角的发展观念，以及互联网治理的规则体系，人类才能有美好的未来。