从中国视角看 NSA(方程式组织)的 TTP(攻击套路)
💡
原文中文,约7600字,阅读约需18分钟。
📝
内容提要
作者研究了中国对五眼联盟的网络攻击,特别是美国国家安全局(NSA)对西北工业大学的攻击。通过分析中国网络安全机构的报告,发现NSA使用多种恶意软件进行数据窃取,并采用特定手段进行归因。研究指出,中国的事件响应方法与西方存在显著差异,且强调了对边缘设备的攻击趋势。
🎯
关键要点
- 作者研究了中国对五眼联盟的网络攻击,特别是美国国家安全局(NSA)对西北工业大学的攻击。
- 通过分析中国网络安全机构的报告,发现NSA使用多种恶意软件进行数据窃取,并采用特定手段进行归因。
- 研究指出,中国的事件响应方法与西方存在显著差异,强调了对边缘设备的攻击趋势。
- 西北工业大学于2022年成为NSA发起的复杂网络攻击的目标,攻击由特定入侵行动办公室(TAO)执行。
- TAO使用了40多种独特的恶意软件进行数据窃取和间谍活动。
- CVERC和xx通过调查确定了4个IP地址,指控NSA通过掩护公司购买这些IP地址。
- 攻击者使用美式英语,所有设备具有英文操作系统和应用程序,且攻击主要发生在美国工作时间。
- 调查发现41种不同的工具和恶意软件样本,其中16种与Shadow Brokers泄密事件曝光的TAO武器一致。
- NSA在攻击前进行了大量准备工作,利用0day漏洞入侵目标系统。
- APT-C-40使用中间人攻击和网络钓鱼电子邮件进入大学网络,部署了多种恶意工具。
- NSA通过合法凭证访问防火墙设备,进行数据监听和敏感信息查询。
- 攻击者系统地窃取了机密研究数据和敏感操作文件,使用多种工具进行数据传输和加密。
- NSA采用反取证技术以降低被发现的风险,包括日志处理和加密通信。
- 西方的事件响应方法与中国的做法存在差异,后者更注重大数据分析和模式识别。
➡️
