对西工大发起网络攻击的美国国安局TAO,到底是什么来头？

极目新闻记者 满达

据央视新闻报道，9月5日，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告，调查发现，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）多年来对我国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备，疑似窃取了高价值数据。极目新闻记者梳理发现，美国国家安全局下面的TAO可谓是臭名昭著。

NSA总部（图片来源：明镜周刊）

早在2013年，德国《明镜周刊》就对它进行了曝光，该机构是美国国家安全局信号情报局下面最大的部门，招揽大量黑客来闯入、操纵和利用计算机网络。TAO的分支机构遍布美国各个角落，在2003年到2013年之间，他们入侵89个国家的258个目标，几乎遍布世界各地。他们截获过德国前总理默克尔的电话，入侵过墨西哥前总统的电子邮件账户，还监控了巴西政府持有多数股权的石油公司 Petrobras的电子邮件和电话通讯。

上万次的恶意网络攻击

据央视新闻报道，今年6月22日，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本，西安警方已对此正式立案调查。

之后，国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了该案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局特定入侵行动办公室。

调查发现，在近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，窃取了超过140GB的高价值数据。

在针对西北工业大学的网络攻击中，TAO使用了40余种不同的NSA专属网络攻击武器，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

资料图

在黑客圈子招募大量员工

TAO到底是什么来头？它还有哪些劣迹？

早在2013年，斯诺登曝光了美国“棱镜门”监听计划，就揭开了TAO的冰山一角。

当年，德国《明镜周刊》获取了TAO的绝密文件，曝光了这个臭名昭著的组织。

TAO创建于1997年，当时世界上只有不到2%的人口能够访问互联网。

从第一批TAO员工搬入位于马里兰州米德堡的NSA总部办公室开始，该部门就被安置在一个单独的翼楼中，与该机构的其他部门分开。他们的任务从一开始就很明确，那就是昼夜不停地寻找入侵全球通信流量的方法。

相比于NSA的其他员工，TAO所需的是一种特殊的新型员工。他们比NSA的其他工作人员更年轻，他们的工作是闯入、操纵和利用计算机网络，他们是黑客，也是公务员。

事实上，NSA正是在黑客圈子招募新员工。近年来，NSA前局长基思·亚历山大就多次出现在美国的各大黑客会议上。有时，他甚至穿着牛仔裤和T恤，拉近自己和所招募员工的距离。

报道称，在NSA内部，几乎没有哪个部门像TAO一样野蛮生长。在夏威夷的瓦希阿瓦、在佐治亚州的戈登堡、在科罗拉多州丹佛附近的巴克利空军基地的NSA前哨、在NSA的米德堡总部、在得克萨斯州圣安东尼奥，都有TAO的分支机构。

甚至，TAO还将触角伸到了德国，该机构在国外也有联络员，联络处就位于德国法兰克福附近，具体位置是欧洲安全运营中心（ESOC）在达姆施塔特格里斯海姆郊区的一个美军大院。

TAO位于德国法兰克福的联络处（图片来源：明镜周刊）

美国网络媒体《每日野兽》2017年曾报道称，TAO拥有1000多名军事和文职人员，是NSA信号情报局下面最大的部门。

曾截获德国前总理的电话

报道将TAO称为NSA的最高行动单位，他们就像一队管道工，当NSA对目标的正常访问被阻止时，就可以召集他们。

《明镜周刊》曝光NSA内部的文件显示，TAO的“数字管道工”参与了美国情报机构进行的许多敏感行动。TAO的业务范围从反恐到网络攻击再到传统间谍活动。TAO所使用的工具也变得多样化，它利用IT行业的技术弱点，进行谨慎而有效的攻击。

《明镜周刊》曝光的绝密文件还显示，TAO得克萨斯分部的发展最令人印象深刻。2008年，得克萨斯密码学中心雇佣了不到60名TAO专家，到了2015年，这一数字预计将增长到270人。此外，“需求与目标”部门还有85名专家（2008年为13名）。软件开发人员的数量预计将从2008年的3人增加到2015年的38人。

该分部针对中东、古巴、委内瑞拉和哥伦比亚的目标都进行了攻击，更不用说距离仅200公里的墨西哥。

文件指出，美国国土安全部和美国情报机构需要了解有关美墨边境毒品贸易、人口贩运和安全的一切信息。TAO的工作人员选择了墨西哥机构的系统管理员和电信工程师作为他们的目标，并将这一行动称为“WHITETAMALE”。

报道还称，早在默克尔还没成为德国总理之前，NSA就于2002年将她列为目标，方法是通过渗透她的电子邮件账户，随后渗透到整个网络并开始捕捉数据。电子空间网报道称，TAO截获了默克尔的电话，并进行了监听。

TAO还入侵了墨西哥前总统的电子邮件账户，对巴西前总统迪尔玛·罗塞夫进行监控，并监控了巴西政府持有多数股权的石油公司 Petrobras的电子邮件和电话通讯。

非法入侵公司网络和海底光缆

报道还称，TAO能入侵包括服务器、工作站、防火墙、路由器、手机、电话交换机、SCADA系统等在内的设备。其中，SCADA是用于工厂和发电厂的工业控制系统。任何能够控制这些系统的人都有可能破坏一个国家的部分关键基础设施。

此类攻击最臭名昭著的就是，利用名为Stuxnet的计算机蠕虫操纵了伊朗纳坦兹铀浓缩设施所使用的SCADA控制技术，导致多达1000台离心机无法使用。

此前，TAO特工还和网络犯罪分子使用的相同方法，通过发送伪装成垃圾邮件的攻击电子邮件将用户引导至受病毒感染的网站的链接。后来，TAO升级了工具，使用一个内部称为“QUANTUMTHEORY”的复杂工具箱，提高攻击的成功率。

TAO将包括脸书、雅虎、推特和油管在内的平台都当成攻击目标。他们针对雅虎、脸书平台的用户获取静态IP地址，还将技术传授给英国情报机构政府通讯总部，该总部使用这种方法攻击了部分由政府控股的比利时电信公司Belgacom员工的计算机，以便使用他们的计算机进一步渗透到公司的网络中。与此同时，NSA使用相同的技术针对石油输出国组织（欧佩克）维也纳总部的高级成员。这样，跨大西洋间谍联盟都可以使用这些工具不受阻碍地访问有价值的经济数据。

TAO的间谍行为不只针对特定的个人，甚至是整个网络和网络供应商，比如在传递全球互联网流量的光纤电缆。

一份标有“绝密”和“不适合外国人”的文件描述了NSA对“SEA-ME-WE-4”电缆系统的监控。这条巨大的水下电缆束将欧洲与北非和海湾国家连接起来，然后继续穿过巴基斯坦和印度，一直延伸到马来西亚和泰国。电缆系统起源于法国南部，靠近马赛。

该文件宣布，2013年2月13日，TAO“成功收集了SEA-Me-We海底电缆系统的网络管理信息”。