Китай во вторник опубликовал новый доклад о результатах расследования, которые раскрывают еще больше подробностей кибератак на один из китайских вузов, предпринятых Агентством национальной безопасности США /АНБ/.
При технической поддержке некоторых стран Европы и Юго-Восточной Азии, китайским экспертам удалось восстановить технические характеристики, оружие и пути, использованные кибертеррористами, во время атаки на Северо-Западный политехнический университет Китая, говорится в докладе, опубликованном Китайским национальным центром реагирования на чрезвычайные ситуации с компьютерными вирусами /CVERC/ вместе с компанией в сфере безопасности интернета 360.
Было обнаружено, что атаки исходили от подразделения АНБ США «TAO», который тем самым обнажил свои технические бреши и операционные ошибки, говорится в докладе.
Ранее расследование показало, что TAO использовало в своих кибератаках на Северо-Западный политехнический университет Китая 41 тип кибероружия.
Среди них 16 идентичны оружию TAO, которое было раскрыто хакерской группой «Shadow Brokers», а 23 имеют 97-процентное генетическое сходство с теми, что применялись TAO, говорится в отчете.
Оставшиеся два типа необходимо использовать в сочетании с другим оружием для кибератак TAO, отмечают составители доклада, добавляя, что гомология оружия предполагает, что все они принадлежат американскому ведомству.
Технический анализ показал, что рабочее время, языковые и поведенческие привычки кибер-злоумышленников, а также промахи в операции выявили их связи с TAO.
В докладе раскрываются детали процесса проникновения TAO во внутреннюю сеть китайского университета. Использовав сначала «FoxAcid» — платформу для атаки методом перехвата сообщений и подмены ключей, для проникновения во внутренний главный компьютер и серверы университета, ТАО затем получила контроль над несколькими ключевыми серверами с помощью оружия дистанционного управления. В результате они установили контроль над некоторыми важными сетевыми узлами, в том числе внутренними маршрутизаторами и коммутаторами университета, после чего похитили данные аутентификации.
Скрываясь на серверах эксплуатации и обслуживания университета, хакерские программы TAO украли несколько ключевых файлов конфигурации сетевого оборудования, которые использовались для «легального» мониторинга ряда сетевого оборудования и пользователей Интернета.
Китайская следственная группа обнаружила, что TAO захватила личную информацию некоторых людей с конфиденциальной идентификацией в континентальной части Китая. Информация была отправлена обратно в штаб-квартиру АНБ через несколько серверов.
В докладе говорится, что истинные личности 13 хакеров были установлены.
Доклад, проливающий свет на кибератаки США против китайского университета, был опубликован в качестве урока для стран всего мира, чтобы они могли более эффективно выявлять и предотвращать кибератаки со стороны TAO.