Представлены доказательства ответственности АНБ США за кибератаки на крупный китайский вуз
Китайский национальный центр реагирования на чрезвычайные ситуации с компьютерными вирусами (CVERC) совместно с ИБ-компанией «360» опубликовал доклад о результатах расследования кибератак на Северо-Западный политехнический университет Китая, сообщает агентство Синьхуа во вторник.
При технической поддержке некоторых стран Европы и Юго-Восточной Азии китайским экспертам удалось восстановить технические характеристики, оружие и пути, использованные кибертеррористами во время атаки – было обнаружено, что атаки исходили от подразделения АНБ США под названием «TAO», которое в процессе нападения «обнажило свои технические бреши и операционные ошибки».
Ранее расследование показало, что в кибератаках на университет использовался 41 тип кибероружия.
Среди них 16 идентичны оружию TAO, которое было раскрыто хакерской группой Shadow Brokers, а 23 имеют 97-процентное генетическое сходство с теми, что применялись TAO; гомология оружия предполагает, что все они принадлежат АНБ, говорится в докладе.
Технический анализ показал, что рабочее время, языковые и поведенческие привычки кибер-злоумышленников, а также промахи в операции выявили их связи с TAO.
В докладе раскрываются детали процесса проникновения TAO во внутреннюю сеть китайского университета. Использовав сначала FoxAcid (платформу для атаки методом перехвата сообщений и подмены ключей) для проникновения во внутренний главный компьютер и серверы университета, ТАО затем получила контроль над несколькими ключевыми серверами с помощью оружия дистанционного управления. В результате они установили контроль над некоторыми важными сетевыми узлами, в том числе внутренними маршрутизаторами и коммутаторами университета, после чего похитили данные аутентификации.
Скрываясь на серверах эксплуатации и обслуживания университета, хакерские программы TAO украли несколько ключевых файлов конфигурации сетевого оборудования, которые использовались для «легального» мониторинга ряда сетевого оборудования и пользователей Интернета.
Китайская следственная группа обнаружила, что TAO захватила личную информацию некоторых людей с конфиденциальной идентификацией в континентальной части Китая. Информация была отправлена обратно в штаб-квартиру АНБ через несколько серверов.
В докладе говорится, что истинные личности 13 хакеров были установлены.