中宏网9月6日电 9月5日，外交部发言人毛宁主持例行记者会。有记者提问，日前，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受美国国家安全局网络攻击的调查报告，显示美国国家安全局下属的特定入侵行动办公室针对中国的网络目标实施了上万次恶意网络攻击。中方对此有何评论?

　　毛宁说，你提到的调查报告揭露了美国政府对中国进行网络攻击的又一实例。

　　毛宁表示，根据国家计算机病毒应急处理中心和360公司联合技术团队的技术分析与追踪溯源，美国国家安全局对中国实施网络攻击和数据窃密的证据链清晰完整，涉及在美国国内对中国直接发起网络攻击的人员13名，以及为构建网络攻击环境而与美国电信运营商签订的合同60余份，电子文件170余份。报告显示，美方先后使用41种专用网络攻击武器装备，对西北工业大学发起攻击窃密行动上千次，窃取了一批核心技术数据。美方还长期对中国的手机用户进行无差别语音监听，非法窃取手机用户的短信内容，并对其进行无线定位。

　　毛宁指出，美方行径严重危害中国国家安全和公民个人信息安全。中方强烈谴责，要求美方作出解释并立即停止不法行为。

　　毛宁说，我想强调的是，网络空间安全是世界各国面临的共同问题。作为拥有最强大网络技术实力的国家，美国应立即停止对他国进行窃密和攻击，以负责任的态度参与全球网络空间治理，为维护网络安全发挥建设性作用。

　　延伸阅读

　　西北工业大学公开声明

　　2022年4月12日，我校就邮件系统遭受钓鱼邮件攻击的情况向公安机关报案。近期，公安机关向我校通报了案件侦办的相关情况。在此，我校公开声明：我们坚决反对以任何形式实施网络攻击。学校高度重视网络安全工作，为师生营造安全的网络环境。学校号召广大师生进一步提高网络安全意识，共同维护学校网络安全。

　　西工大遭境外网络攻击！警方通报

　　6月22日，@西北工业大学 在微博发布了一则公开声明，称学校电子邮件系统遭受网络攻击，对学校正常教学生活造成负面影响。学校已在第一时间报警。

　　6月23日，陕西省西安市公安局碑林分局发布警情通报称，已根据中华人民共和国刑法第285条之规定，对此案进行立案侦查，并对提取到的木马和钓鱼邮件样本进一步开展技术分析。初步判定，此事件为境外黑客组织和不法分子发起的网络攻击行为。

　　调查结果公布！网络攻击源头为美国国家安全局

　　9月5日，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告，调查发现，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）多年来对我国国内的网络目标实施了上万次的恶意网络攻击，控制了相关网络设备，疑似窃取了高价值数据。

　　今年4月，西安市公安机关接到一起网络攻击的报警，西北工业大学的信息系统发现遭受网络攻击的痕迹。

　　西安市公安机关对此高度重视，立即组织警力与网络安全技术专家成立联合专案组对此案进行立案侦查。国家计算机病毒应急处理中心和360公司联合组成技术团队，全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，综合使用国内现有数据资源和分析手段，并得到了欧洲、南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，简称TAO）。

　　本次调查还发现，在近年里，美国国家安全局（NSA）下属特定入侵行动办公室（TAO）对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，包括：网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等，窃取了超过140GB的高价值数据。

　　联合技术团队经过复杂的技术分析与溯源，还原了西北工业大学遭受网络攻击的过程和被窃取的文件，掌握了美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）对中国信息网络实施网络攻击和数据窃密的相关证据，涉及在美国国内对中国直接发起网络攻击的人员13 名，以及美国国家安全局（NSA）通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同 60 余份、电子文件 170余份。

　　目前，联合专案组已将相关调查结果上报国家有关部门。

　　窃密组织TAO负责人曝光

　　据360公司此次发布的调查报告显示，此案在美国国家安全局（NSA）内部攻击行动代号为“阻击XXXX”（shotXXXX）。该行动由TAO负责人直接指挥，而NSA窃密期间，TAO负责人是罗伯特·乔伊斯（Robert Edward Joyce）。

罗伯特•乔伊斯（Robert E. Joyce）原TAO主任，现NSA网络安全局主管

　　此人1967年9月13日出生，曾就读于汉尼拔高中，1989年毕业于克拉克森大学，获学士学位，1993年毕业于约翰·霍普金斯大学，获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任，2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月，担任美国白宫国务安全顾问，后回到NSA担任美国国家安全局局长网络安全战略高级顾问，现担任NSA网络安全局主管。

　　美国多家大型互联网企业配合窃密手段细节披露

　　技术分析中发现，TAO已于此次攻击活动开始前，在美国多家大型知名互联网企业的配合下，掌握了中国大量通信网络设备的管理权限，为NSA持续侵入中国国内的重要信息网络大开方便之门。

　　TAO先后使用了41种NSA的专用网络攻击武器装备，通过分布于日本、韩国、瑞典、波兰、乌克兰等17个国家的49台跳板机和5台代理服务器，对西北工业大学发起了攻击窃密行动上千次，窃取了一批网络数据。

　　41种网络攻击武器装备版本多样

　　美国国家安全局TAO的网络攻击武器装备针对性强，得到了美国互联网巨头的鼎力支持。同一款装备会根据目标环境进行灵活配置，在使用的41款装备中，仅后门工具“狡诈异端犯”（NSA命名）在对西北工业大学的网络攻击中就有14款不同版本。

　　技术团队将此次攻击活动中TAO所使用工具类别分为四大类。

　　（一）漏洞攻击突破类武器

　　TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名网络。

　　（二）持久化控制类武器

　　TAO依托此类武器对西北工业大学网络进行隐蔽持久控制，TAO工作人员可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。

　　（三）嗅探窃密类武器

　　TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、生成的操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。

　　（四）隐蔽消痕类武器

　　TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。

　　利用49台跳板机掩饰真实IP

　　据调查显示，这些跳板机均经过精心挑选，所有IP均归属于非“五眼联盟”国家，而且大部分选择了中国周边国家（如日本、韩国等）的IP，约占70%。根据溯源分析，这些跳板机仅使用了中转指令，将上一级的跳板指令转发到目标系统，从而掩盖美国国家安全局发起网络攻击的真实IP。

　　目前已经至少掌握TAO攻击实施者从其接入环境（美国国内电信运营商）控制跳板机的四个IP：

　　209.59.36.*

　　69.165.54.*

　　207.195.240.*

　　209.118.143.*

　　美国国家安全局NSA为了保护其身份安全，使用了美国Register公司的匿名保护服务，相关域名和证书无明确指向，无关联人员。而TAO为了掩盖其攻击来源，并保护工具的安全，对需要长期驻留互联网的攻击平台，通过掩护公司向服务商购买服务。

　　5台代理服务器配合掩护

　　针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器，NSA通过秘密成立的两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP，并租用一批服务器。

　　这两家公司分别为杰克·史密斯咨询公司（Jackson Smith Consultants）、穆勒多元系统公司（Mueller Diversified Systems）。

　　同时，技术团队还发现，TAO基础设施技术处（MIT）工作人员使用“阿曼达·拉米雷斯（Amanda Ramirez）”的名字匿名购买域名和一份通用的SSL证书（ID：e42d3bea0a16111e67ef79f9cc2*****）。随后，上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”（Foxacid）上，对中国的大量网络目标开展攻击。特别是，TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。