解密间谍软件，网攻西工大的神秘黑客浮出水面！

近日，国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析，分析报告显示，该软件是美国国家安全局（NSA）开发的网络间谍武器。据悉，研究团队在此前西北工业大学遭受网络攻击案件中，成功提取这款间谍软件的多个样本，并锁定了这起网络间谍行动背后美国国家安全局（NSA）工作人员的真实身份。

2022年6月，西北工业大学发布声明称，有来自境外的黑客组织对西北工业大学服务器实施攻击。该校第一时间报警，经公安机关初步判定，是境外黑客组织和不法分子发起的网络攻击行为。9月份，相关部门调查显示针对西北工业大学的网络攻击来自美国国家安全局（NSA）特定入侵行动办公室（TAO）。

经调查表明，TAO长期隐蔽控制西北工业大学的运维管理服务器，同时采取替换原系统文件和擦除系统日志的方式消痕隐身，规避溯源。网络安全技术人员根据TAO攻击西北工业大学的隐蔽链路、渗透工具、木马样本等特征关联发现，TAO对我国基础设施运营商核心数据网络实施了渗透控制。同时，入侵过程中还查询一批中国境内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

此次国家计算机病毒应急处理中心和360公司对“二次约会”（SecondDate）间谍软件的技术分析，进一步证实美国长期以来试图渗透控制中国基础设施核心设备，窃取中国用户隐私数据的目的。

据技术分析报告显示，“二次约会”间谍软件是美国国家安全局（NSA）开发的网络间谍武器，该软件针对基于FreeBSD、Linux、Sun Solaris、Juniper JunOS等平台的路由器等网关设备平台，可实现网络流量窃听劫持、中间人攻击、插入恶意代码等恶意功能，从而与其它恶意软件配合完成复杂的网络“间谍”活动。

报告显示，研究团队与业内合作伙伴在全球范围开展技术调查，经层层溯源，发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本，并发现被美国国家安全局（NSA）远程控制的跳板服务器，其中多数分布在德国、日本、韩国、印度和中国台湾。在多国业内伙伴通力合作下，现已成功锁定对西北工业大学发起网络攻击的美国国家安全局（NSA）相关工作人员的真实身份。

近年来，西方国家持续对我国5G、芯片制造、网络高科技企业“围追堵截”，境外黑客组织也趁机对我党政机关、科研院所、重要行业领域以及关键信息基础设施开展持续性的网络攻击，以最终达到窃取情报的目的。

西北工大学网络攻击事件只是境外机构对我国开展网络攻击活动的冰山一角，而且各种攻击手段丰富多样，如邮件攻击、水坑攻击、供应链攻击等等。其中供应链攻击已经成为影响我国国家安全和关键信息基础设施安全的重要隐患，也是最常见的手段之一，攻击者常常在软件供应链的几大环节（开发、交付、使用）中设下“埋伏”，如修改源代码并植入木马程序、影响编译环境间接攻击软件产品等，以便在攻击目标使用软件时达到远程控制终端的目的。

为应对国际上错综复杂的网络攻击，我们必须从源头上保障ICT供应链安全，包括硬件设施和软件的安全，从供应商资质审核到供应商风险评估，从设备采购到设备运维，从软件研发安全到产品运营安全，等一系列涉及到产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险，我们都必须要严格把关。

随着互联网、人工智能、大数据等新技术的飞速发展，国际网络安全形势日趋严峻复杂，加之我国综合国力的不断增强和国际战略格局的深刻变化，我国面临的网络安全风险也日益突出，网络安全成为关乎国计民生、战略全局的大事。

面对日益复杂的网络安全威胁，仅仅依靠技术手段还不足以应对。我们需要构建一个全社会共同参与的网络安全新生态，政府、企业、学术界和个人用户都应承担起自己的责任，共同努力构建一个安全可靠的网络环境。

政府在制定相关法律法规和政策时应注重网络安全的重要性，并提供必要的支持和资源来推动网络安全研究和技术创新。企业应将网络安全纳入其业务战略，并投入足够的资金和人力资源来建立健全的安全体系。学术界应加强网络安全研究，培养专业人才，推动安全技术的发展和创新。个人用户则应提高网络安全意识，妥善保护个人信息，遵守网络安全规范和使用安全软件。

网络安全是一个不断演变的领域，我们需要不断学习和适应新的威胁和技术变化。社会各界应紧密合作，积极探索并分享前沿实践经验，共同推动网络安全的发展。