抓到了 网攻大陆西工大神秘骇客 锁定美国安局「这个人」

新证据锁定网攻大陆西工大神秘骇客身分，间谍软体是关键。（澎湃新闻）

大陆央视新闻用户端14日报导，近日，中国大陆国家电脑病毒应急处理中心和360公司技术分析一款名为「二次约会」的间谍软体，报告显示，该软体是美国国家安全局（NSA）开发的网路间谍武器。据悉，在大陆国家电脑病毒应急处理中心会同360公司配合侦办西北工业大学被NSA网路攻击案过程中，成功提取了这款间谍软体的多个样本，并锁定了这起网路间谍行动背后「NSA工作人员」真实身分。

据技术分析报告显示，「二次约会」间谍软体是NSA开发的网路间谍武器，该软体可实现网路流量窃听劫持、中间人攻击、插入恶意程式码等恶意功能，它与其他恶意软体配合可以完成复杂的网路「间谍」活动。

大陆国家电脑病毒应急处理中心高级工程师杜振华说，该软体是具有高技术水准的网路间谍工具，使攻击者能够全面接管被攻击的（目标）网路设备以及流经这些网路设备的网路流量，从而实现对目标网路中主机和使用者的长期窃密，同时还可以作为下一阶段攻击的「前进基地」，随时向目标网路中投送更多网路攻击武器。

据专家介绍，「二次约会」间谍软体长期驻留在闸道、边界路由器、防火墙等网路边界设备上，其主要功能包括网路流量嗅探、网路会话追踪、流量重定向劫持、流量篡改等。另外，「二次约会」间谍软体支持在各类作业系统上运行，同时相容多种体系架构，适用范围较广。

杜振华称，该间谍软体通常是结合特定入侵行动办公室（TAO）的各类针对防火墙、网路路由器的网路设备漏洞攻击工具一并使用。一旦漏洞攻击成功，攻击者成功获得了目标网路设备的控制许可权，就可以将这款网路间谍软体植入到目标的网路设备中。

报告显示，大陆国家电脑病毒应急处理中心和360公司与业内合作伙伴在全球范围开展技术调查，经层层溯源，发现了上千台遍布各国的网路设备中仍在隐蔽运行「二次约会」间谍软体及其衍生版本，并发现被NSA远端控制的跳板伺服器，其中多数分布在德国、日本、韩国、印度和台湾。

杜振华表示，在多国业内伙伴通力配合下，联合调查工作取得突破性进展。目前已经成功锁定了针对西北工业大学发动网路攻击的NSA相关工作人员的真实身分。