西北工业大学去年遭互联网攻击　黑客身份锁定为美国安局工作人员

去年4月，西北工业大学曾遭互联网攻击，校方曾发声明称，有来自境外的黑客组织和不法分子向学校师生传送包含木马程序的钓鱼邮件，企图窃取相关师生邮件资料和个人资料。
近日，国家计算机病毒应急处理中心和360公司对一款名为“二次约会”（SecondDate）的间谍软件进行技术分析，报告显示该软件是美国国家安全域性（NSA）开发的互联网间谍武器，并成功销定互联网攻击案背后的美国国安局工作人员的真实身份。

技术分析报告显示，“二次约会”间谍软件是美国国家安全域性开发的互联网间谍武器，该软件可实现互联网流量窃听劫持、中间人攻击、插入恶意程式码等恶意功能，它与其他恶意软件配合可以完成复杂的互联网“间谍”活动。

国家计算机病毒应急处理中心高阶工程师杜振华介绍，该软件是具有高技术水平的互联网间谍工具，使攻击者能够全面接管被攻击的（目标）互联网装置，以及流经这些互联网装置的互联网流量，从而实现对目标互联网中主机和使用者的长期窃密，同时可作为下一阶段攻击的“前进基地”，随时向目标互联网中投送更多互联网攻击武器。

专家介绍，“二次约会”间谍软件长期驻留在闸道器、边界路由器、防火墙等互联网边界装置上，其主要功能包括互联网流量嗅探、互联网会话追踪、流量重定向劫持、流量篡改等。另外，“二次约会”间谍软件支持在各类作业系统上执行，同时相容多种体系架构，适用范围较广。

杜振华介绍，该间谍软件通常是结合特定入侵行动办公室（TAO）的各类针对防火墙、互联网路由器的互联网装置漏洞攻击工具一并使用。一旦漏洞攻击成功，攻击者成功获得目标互联网装置的控制许可权，就可以将间谍软件植入目标的互联网装置中。

报告显示，国家计算机病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查，经层层溯源，发现了上千台遍布各国的互联网装置中仍在隐蔽执行“二次约会”间谍软件及其衍生版本，并发现被美国国家安全域性远端控制的跳板伺服器，其中多数分布在德国、日本、韩国、印度和台湾。

杜振华表示，在多国业内伙伴的通力配合下，联合调查工作取得突破性的进展。目前已经成功锁定针对西北工业大学发动互联网攻击的美国国家安全域性相关工作人员的真实身份。