攻击西北工大的TAO：一个伪装成组织形式的国家网络战机器

admin 2025-04-09 共294人围观，发现290个评论

第一部分前言

世界最大网络黑客部队暴露

中国有句俗话说，事不过三：2010年8月，伊朗核电站突遭来历不明的“震网”网络病毒攻击，世界怀疑对象直指美国中央情报局（简称CIA）与以色列的摩萨德组织；2013年6月，斯诺登事件爆发，一下子牵出美国政府正在执行的监控全世界的“棱镜计划”，以及其背后的TAO组织开始从水面浮出，进入广大公众视野！2016年6月22日，西北工大学校网络遭到境外网络攻击，在国家计算机病毒应急处理中心和360公司联合技术团队参与下，基本还原TAO本次攻击窃取事件的全貌，这个被称之为TAO的组织彻底被抓现行，终于水落石出！

第二部分TAO组织的组建

“接入技术行动处”（简称TAO）简介

TAO组织的徽章

该组织成立于1997年--1998年期间，直到2000年才正式以TAO命名，直接隶属美国国家安全局（NSA）下的信号情报部(SID)，归其下数据侦查局的直接管辖，从组织代号上来理解，信号情报部（SID）组织代号为S，数据侦查局组织代号为S3，TAO组织代号为S32，TAO的总部直接位于马里兰州米德堡的美国国家安全局（NSA）总部，该组织一直保持神秘面纱，属于NSA中的一个高度机密单位。

美国国家安全局（NSA）总部

该部门建立初期，被定义为是国家安全局(NSA)的网络战情报收集单位，成员初期成员被美国人笑称为“管道工人”，目前除识别、监控、渗透和收集有关美国境外实体使用的计算机系统的情报外，还实行特定目标计划行动APT（下面再详细讲解），包含但不限于网络攻击甚至战争的计划与行动实施。如果只以部门称呼已经不妥，可以说是名副其实的全球最大的国家黑客网络部队，一点也不为过。

组织工作方式

该部门成员由现役军人、网络黑客、情报分析师、专家学者、计算机软硬设计师，以及电子工程师等人员组成，规模不低于2000人，具体人数不详；作为NSA下属重要的机密部门，纪律严明与保密极严，不被NSA公开承认，据说执行7*24工作方式实行全球性24小时的网络监控、网络行动与网络战争。

TAO组织特定动作方式

该部队的目的是进行网络间谍与网络战，采用方法为零日漏洞的间谍软件为基础的强大丰富武器库，对特定的、高价值的、基础性的各类目标进行高级持续性威胁，这种作战方式类型简称为APT。

部门负责人

目前该部队的负责人为罗伯特•乔伊斯（）

罗伯特•乔伊斯（）

教育背景：乔伊斯1989年毕业于克拉克森大学，获得电气和计算机工程理学学士学位，并于1993年获得约翰霍普金斯大学电气工程理学硕士学位。

职务背景：曾担任美国总统特别助理，和美国国家安全委员会网络安全协调员。2013年到2017年，罗伯特•乔伊斯是接入技术行动处（TAO）的负责人。该人主持实施了对中国和世界其他国家的网络攻击和间谍窃密行动。2017年10月13日，罗伯特•乔伊斯受命担任美国国土安全顾问。2018年4月10日至2018年5月31日，罗伯特•乔伊斯担任时任美国总统唐纳德·特朗普的白宫国土安全顾问。2018年5月，罗伯特•乔伊斯担任美国国家安全局（NSA）的网络安全战略高级顾问。2021年1月15日，美国国家安全局（NSA）宣布，罗伯特•乔伊斯担任该局的网络安全总监。

NSA与网络作战司令部（USCYBERCO）

想全方位清楚TAO，一定离不开两个重要核心单位，一个是NSA，另一个则是美国国防部下属十一个作战单元之一的一个协同重要部门，那就是网络作战司令部。

美国国家安全局、国防部、昂罗司令部徽章

对比三个徽章，除国防部以利箭作为进攻外，NSA与美国网络司令部都有同样的地方那就是钥匙，这就说明其共同的目的，就是网络暗战，只要清楚这一点，就知道理解TAO这个看上去小部门，为什么具有这么大的能量。

网络作战司令部内含有陆军网络作战司令部（陆军）、舰队网络司令部（海军）、第16航空队（空军）、海军陆战队网络司令部（海军陆战队）四个作战单元。合计有133个网络作战团队，包含有13个国家宣教队、68个网络保护团队、27个网络作战人物小组、25个网络支持小组。

网络作战司令部负责国防部信息网络的行动和防御；负责开展全方位的军事网络空间行动，确保美国/盟国在网络空间的行动自由，并拒绝对手这样做！

篇幅有限，网络作战司令部这里不进行深入，找机会再叙。维基百科信息披露，“USCYBERCOM于2009年年中在马里兰州乔治·米德堡的国家安全局（NSA）总部成立，它与国家安全局网络合作，自成立以来一直由国家安全局局长兼任。”

通过这些信息，这才是真正的TAO组织的后台力量之强大，才使得其可以发挥能力，展示整个美国国际力量层面上的网络霸权行为！

TAO组织架构

先说明，TAO组织被美国政府刻意神秘与隐秘，难免出现不当之处，大家可及时指出纠正。先看下图：

TAO组织架构示意图

上面我们已经知道，TAO组织代号为S32，其下面组织单元有：

组织代号S321---总部，远程作战中心(ROC)，负责操作武器平台和工具进入并控制目标系统或网络，及日常接收、整理、汇总全世界远程控制的信息系统中窃取的账号密码和重要敏感信息。

组织代号S322---先进/接入网络技术处（ANT），负责研究相关硬件技术研发部署，为网络攻击行动提供硬件技术和武器装备支持。

组织代号S323---数据网络技术处（DNT），负责研发计算机软件工具，为TAO任务执行网络攻击任务提供工具软件类支撑。下面还有子级组织，代号分别为S3231--访问权限部门（ACD）、S3232--网络安全技术部门（CNT）、S3233--未知、3234--计算机技术部门（CTD）、S3235-网络技术部门(NTD)等部门。

组织代号S324---电信网络技术处（TNT），负责研发电信类技术，为TAO任务隐蔽渗透全球所有电信网络服务中提供技术支撑。

组织代号S325---任务基础设施技术处（MIT），负责开发与建立网络基础设施和安全监控平台，用于搭建攻击行动的网络环境与所有相关匿名化环境。

组织代号S326---接入行动处（ATO），负责通过特定技术产品的供应链及现有掌控技术端产品，对拟定送到目标的产品进行后门安装。

组织代号S327---需求与定位处（RT），负责接收各相关单位的特定或指定任务，明确侦察目标，同时分析评估情报价值。

组织代号S328---远程访问行动分部（ATO），由美国中央情报局（CIA）和联邦调查局（FBI）雇员组成，负责执行所谓“离网行动”，NSA装备的特殊任务潜艇-吉米卡特号，就在此部门，被用于对全球范围的光纤和电缆进行窃听。此部门下面还有组织代号为S3283--远程访问权限行动部门（EAO）、S3285--持久化部门等子级部门。

组织代号S32P---项目计划整合处（PPI），负责所有特定任务的总体规划与项目管理，可能进行单项目化管理。

组织代号不详---网络战小组（NWT），负责与133网络作战小队联络，推进与国防部下属网络作战司令部开展工作协调。

为联络与打通上述所有业务单元以及全球范围内的各作战单元小组的工作衔接，TAO还在全球设有若干个保密中心，已被公布的六个密码中心分别是：

1、美国马里兰州米德堡的NSA总部；

2、美国夏威夷瓦胡岛的NSA夏威夷密码中心（NSAH）；

3、美国佐治亚州戈登堡的NSA佐治亚密码中心（NSAG）；

4、美国得克萨斯州圣安东尼奥的NSA得克萨斯密码中心（NSAT）；

5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心（NSAC）；

6、德国达姆施塔特美军基地的NSA欧洲密码中心（NSAE）

第三部分TAO的作战指导方针---APT

APT名词解释

高级持续性威胁（AdvancedPresidentThreat,简称APT），不管怎样翻译，都是很生涩，拆解成大白话，简单一个个字理解，第一个字母A表示在攻击层面上，手段必须是高级的、高效的；第二个字母P表示目标价值，不但要求目标明确、价值高，同时具有可持续性；第三个字母T就是威胁性，威胁再加上持续，大家就基本清楚这种对指定实施目标直接带来的压迫感与恐惧感。

APT的生命周期

APT生命周期示意图

哇塞，这套十二点的连环锁式的思维逻辑，一下就可以显示老美阴险深厚的锁喉功底，大家有时间可以慢慢消化、品味后再细细体会。

APT逻辑拆解

APT简化后的逻辑就分解为如下五点：

发现价值：选定单一目的或特定组织或特定标的；

搭建周边：构建环境建立监控机制（如鱼叉式网络钓鱼等）；

伪装进入：使用受感染的系统，间接访问目标网络；

攻击准备：部署可以实现攻击目标的相关工具；

持续攻击：攻击与清理痕迹相结合，确保对未来计划的访问

APT执行路径与步骤

为便于TAO娴熟应用这种作战方式，2013年，Mandiant内部演示了2004年至2013年间使用APT方法进行的中国攻击的研究成果，如下：

建立连线---通过使用社会工程和鱼叉式网络钓鱼、通过电子邮件、使用零日病毒进行。另一种流行的感染方法是在受害者员工可能会访问的网站上植入恶意软件。

建立据点---在受害者的网络中植入远程管理软件，创建网络后门和隧道，允许秘密访问其基础设施。

提升权限---利用漏洞利用和密码破解来获取受害者计算机的管理员权限，并可能将其扩展到Windows域管理员帐户。

内部侦察---收集有关周围基础设施、信任关系、Windows域结构的信息，如西北工大周边经常联络的教育类社交网资源。

横向移动---将控制扩展到其他工作站、服务器和基础设施元素，并对其进行数据收集。

保持存在---确保持续控制在之前步骤中获得的访问渠道和凭据。

完成任务---从受害者的网络中窃取被盗数据。

预演后的行动实施

曾经的预演，就是现场的行动，从本次西北工大的攻击方式与路径来看，就是这个以APT指导思想的作战方案进行的实施，遗憾的是，我们原来不曾研究理解美式网络战争内部的工具逻辑，造成现有的损失，亡羊补牢，研究理解后，我们将从本质与根子上将老美彻底制服。

APT作战单元

作战思想一旦形成，应用上，就可以立即形成武器，就是组建各式各样特种作战小组或小队，据目前已经揭露的相关信息，TAO组建出来的还不少，大家可以一起观览下：

中国APT计划：PLA单元61398（代号APT1）、PLA单元61486（代号APT2）、巴克耶（代号APT3）、红色阿波罗（代号APT10）、编号熊猫（代号APT12）、代理狗（代号APT17）、Codoso团队（代号APT19）、混蛋（代号APT20）、解放军78020部队（代号APT30和奈坤）、锆（代号APT31）、潜望镜组（代号APT40）、双龙（代号APT41）、热带骑兵、铪、轻盆地（代号UNC1945）等；

伊朗APT计划：精灵团队（代号APT33）、螺旋小猫（代号APT34）、迷人的小猫（代号APT35）、阿普特39号公寓、先锋小猫等；

以色列APT计划：单元8200等；

北朝鲜APT计划：金苏基、拉撒路集团（代号APT38）、里科切特·乔利马（代号APT37）等；

俄罗斯APT计划：花式熊（代号APT28）、舒适的熊（代号APT29）、沙虫、狂战士熊、芬兰7、Gamaredon（也叫原始熊）、毒熊等；

土耳其APT计划：强怜悯（代号APT-C-41）

美国APT计划：等式组等

乌兹别克斯坦APT计划：沙猫等

越南APT计划：大洋莲花（代号APT32）等

第四部分TAO的武器库与工具箱

俗话说，工欲善其事必先利其器，整个TAO组织庞大，与此同步的是武器库也非常庞大，谁也无法穷尽其所有武器，我们不妨看看冰山一角，或者说管窥一豹地去看看吧

该目录就是由组织代号为S322的先进/接入网络技术处（ANT）组织编撰实施，专用于进行网络攻击量身订制的产品目录，这是2013年12月，德国新闻杂志《DerSpiegel》披露的，美国国家安全局（NSA）于2008至2009年编写的一份长达50页的机密网络攻击武器产品目录，如下图

ANT产品目录相关图标

目录中包含的网络攻击武器设备、间谍软件的描述，以及相关图片、图表均由高级网络技术分部（ANT）编撰完成，交由TAO下属部门使用。

里面有针对苹果（Apple）、思科（Cisco）和戴尔（Dell）等美国互联网巨头产品的专用网络攻击武器，研发过程中是否得到了相关互联网巨头的参与和支持，也就不得而知。

据斯诺登披露的内部信息，高级网络技术分部（ANT）日常负责对全球互联网实施大规模流量监控和攻击窃密活动，同时这一系列产品与新开发的网络攻击武器，除美国外也供“五眼联盟”国家使用。

NSAPlayset

受ANT目录启发的内部开源性项目，目的是为创建更易于访问和易于使用的工具。针对ANT目录上的监控工具，采用现成的或开源的硬件和软件来重新创建。到目前为止，NSAPlayset由十四个项目组成，大致如下

NSAPlayset项目清单

所有这些工具，均通过ANT部门整合后统一输出，均具有强大入侵能力，基本可以说，TAO的行动完全可以轻易入侵常见的网络硬件设备，内部人士坦言包括，“诸多占有大量市场份额的路由器、交换机和防火墙”。

量子（Quantum）

TAO专门开发了一套被称为“量子”（QUANTUM）的攻击武器平台，内含多级多层的菜单应用，可谓积所有网络攻击武器之大全。如下，美国国家安全局（NSA）专门在“五眼联盟”介绍“量子”攻击武器平台的绝密级PPT---《QUANTUMTHEORY》，其中就包含多种机构代号和任务简介，描述了特定类型的网络攻击及与NSA其他网络攻击武器系统的集成情况。

QUANTUMTHEORY之PPT演示图

“量子”（Quantum）攻击，是针对国家级网络通信进行中间劫持，美国国家安全局（NSA）专门设计的一种先进的网络流量劫持攻击技术，以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。

据内部机密文档内容显示，“量子”（Quantum）攻击可以劫持全世界任意地区任意网上用户的正常网页浏览流量，进行“零日”（0day）漏洞攻击并远程植入后门程序。

“量子”（Quantum）攻击示意图

受到地域和传输距离等因素影响，攻击目标和软硬件组合可能速度过慢，不足以完成相关攻击任务，NSA从2011年中期开始，设计开发了一套代号为“量子射击”（QUANTUMQFIRE）的功能原型，这就是将具体任务的漏洞分发服务器部署到更靠近攻击目标的托管服务器（虚拟机）中，建成了名为“特殊收集站点”（SCS）的全球化网络攻击任务运行网络，从而降低攻击武器发出欺骗应答的延迟，提高远程网络攻击的成功率。

另外，一个称之为“量子松鼠”（QUANTUMSQUIRREL）的网络攻击武器，可以被伪装成任何IPv4或IPv6主机，使得网络攻击实施者能够在通过“量子松鼠”（QUANTUMSQUIRREL）作为跳板访问互联网时，随时生成虚假的地理位置信息和个人身份凭证。

无界线人（BoundlessInformant）

这是一款TAO专属的大数据汇总分析和数据可视化工具系统。无界线人具备对全球范围内，受TAO远程控制窃密系统的数据回收、管理、分析，为美国国家安全局（NSA）管理人员提供了全球化大数据支撑，连美国公民也不例外，也不能逃过这种大数据监控。

五眼联盟有五个国家构成

第五部分TAO攻击的目标与方向

据相关资料表明，美国国家安全局（NSA）所属的TAO组织的攻击目标，包括但不限于中国、俄罗斯、朝鲜、石油输出国组织（阿尔及利亚、安哥拉、赤道几内亚、加蓬、伊朗、伊拉克、科威特、利比亚、尼日利亚、刚果共和国、沙特阿拉伯、阿拉伯联合酋长国和委内瑞拉等）、墨西哥公共安全秘书处等国家和国际组织。

据消息表明，全球性的海底光缆，几乎都已经NSA中的TAO采取各式各样的方法手段，进行或强或弱的监控，比如通过“东南亚-中东-西欧4”的光纤通信系统(即SEA-ME-WE4，涉及的国家有新加坡、马来西亚、泰国、孟加拉国、印度、斯里兰卡、巴基斯坦、阿拉伯联合酋长国、沙特阿拉伯、苏丹、埃及、意大利、突尼斯、阿尔及利亚和法国。另外默克尔监听事件暴露出来的，丹麦信息电缆，涉及到瑞典、挪威、德国、荷兰和英国等很多欧洲国家，丹麦竟然成为美国海外部署的“特殊收集站点”（SCS）！

根据APT相关报道，除主权国家政府外，持有大量个人身份信息的企业极有可能成为高级持续威胁的目标，如果在主权国家内，进一步按照行业来划分的话，重点监视的行业有：高等教育、金融机构、能源、运输、科技、保健、电信、制造业、农业等，因为这些行业中拥有民生最基础最重要的大数据。

相关资料表明，TAO除了上述常规指定目标外；其他指定或临时指定的、所谓的“高价值”目标，都有可能进入监听/攻击名单，甚至盟友中的欧盟、北约、日本以及五眼联盟成员（下面事件可以看出），甚至于国内大型重要企业，如脸书、推特、谷歌等，以及美国国民也逃不过这种监控网，因此可以说是已经形成一张全球性的监控网，并可随时选定特定目标进行攻击行动，一点也不夸张。

第六部分TAO部分代表行动及相关事件

“震网”（STUXNET）攻击行动：2010年，位于伊朗的霍尔木兹甘省核电站，就被这种蠕虫病毒入侵，TAO首先通过windows的零日漏洞攻入，造成windows感染，再入侵西门子的监督控制和数据采集（SCADA）系统，控制并重新编程设备的Step-7软件应用程序，造成工业上常用的可编程逻辑控制器（PLC）感染被控制。进入正式攻击环节时，控制的PLC内存块DB890系统消息总线，使得电机频率周期性在极高极低转速运行，直到被物理性摧毁。为消除留下的痕迹，刻意安装rootkit来隐藏系统上的恶意软件以掩盖监控系统的转速变化。本次行动，造成超过200台被感染，近1000台工业计算机出现问题的物理事件，摧毁了伊朗近五分之一的核离心机。本次行动后，震网病毒给世界其他国家也带来冲击性影响，感染率如下：伊朗，58.9%；印度尼西亚，18.2%；印度，8.3%；阿塞拜疆，2.6%；美国，1.6%；巴基斯坦，1.3%；其他国家，9.2%；真可谓是一个世界波！

高位领导人监听事件：2013年默克尔、马克龙等欧洲政要被监听，激起声讨大浪，最终却不了了之；据悉，NSA开启国家高位领导人监听行动最初于2003年，更多报道消息却偏向2012年--2014年间才开始行动。此次行动中，国家安全局（NSA）、美国中央情报局（CIA）联络丹麦情报机构，利用联通了瑞典、挪威、德国、荷兰和英国的海底互联网电缆的丹麦登录站，通过哥本哈根以南的阿迈厄岛上的数据中心（可以理解为“特殊收集站点”SCS），进行信息情报中转，从而实现对高价值目标的持续监听，确保美国与盟国的所谓核心利益。当然行动计划肯定离不开TAO,离不开TAO旗下特殊任务潜艇---吉米卡特号，其专门负责全球光缆与电缆进行监听的。

美国国防部高级研究计划局（DARPA）的“人类地域项目”：该项目由国防部牵头发起，NSA中的TAO对其进行配合组织实施，我们已经知道TAO与网络作战司令部的项目合作就是NSA与国防部合作的坚实基础之一；该项目以绘制人类地域数据库为名，搜集人类信息以展开针对性行动。在占领阿富汗和伊拉克期间，美军就绘制了不低于370万份人类信息。同此大家已经熟悉的中国与俄罗斯的基因收集，以及乌克兰的针对斯拉夫人的基因病毒研究，大家不妨也可以充分发挥下想象；

“水源头”（HEADWATER）的网络攻击：这是只有相关内部专业人士才知道的事件，原因就是TAO专门开发了一个名为“搅拌粉碎器”（Hammermill）的功能插件，可以通过网络，在华为公司某种型号路由器的启动ROM中，远程植入一个永久性后门，以此检测和捕获所有通过相关路由器的敏感（目标）IP数据包。这只是实现终端控制手段之一，中国国家计算机病毒应急处理中心也曾披露过一款木马工具“NOPEN”，这款工具同样也是TAO对外攻击窃密的一款主战武器。TAO的武器远不止这些，人们数字生活的几乎所有类型的设备，从服务器、工作站、防火墙、路由器、手机、电话交换机、SCADA系统（工业控制系统）等，都是TAO下手的目标，美国国家安全局对这种行动将之为“颠覆端点设备”。后面发生的美国对华为的长期制裁，也就昭然若揭啦！

2013年—2014期间欧洲系列信息窃取事件：2013年7月29日，德国《明镜》周刊发布了一张超过5.52亿条电话和互联网数据被美国国家安全局（NSA）的信息图表。2013年10月20日,法国《世界报》(LeMonde)发布了一张关于法国境内近7000万条电话数据被美国国家安全局（NSA）窃取的信息图表。2013年10月28日,西班牙《ElMundo》报发布了一张关于西班牙境内的6000万电话数据被美国国家安全局（NSA）窃取的信息图表。2013年11月19日，挪威的《Dagbladet》媒体发布了一张关于挪威境内的3300万电话数据被美国国家安全局（NSA）窃取的信息图表。2013年12月6日，意大利的《L'Espresso》媒体发布了一张关于意大利境内近4600万电话数据被美国国家安全局（NSA）窃取的信息图表。2014年2月8日，荷兰的《NRCHandelsblad》报纸发布了一张关于荷兰境内180万电话数据被美国国家安全局（NSA）窃取的信息图表。

2013年的SMW-4监视事件：据相关消息报道发现，美国国家安全局旗下的TAO使用其著名的量子武器QUANTUM-INSERT对“SEA-ME-WE-4”电缆系统进行监视。SMW-4是一条链接欧洲、北非和海湾国家，一直延伸到马来西亚和泰国的光缆。TAO的内部文件表明“成功收集了该海底光缆系统的网络管理信息”，使之能够“访问管理网站，并收集第2层网络信息”。

西北工大窃取事件：2022年9月，据中国计算机病毒应急处理中心和360公司联合技术团队表明，本次NSA下属的TAO组织，采用41种专用网络攻击武器、49台跳板机、5台部署酸狐狸的服务器，实施上万次的恶意攻击，控制了数以万计的网络设备，包括网络服务器、上网终端、交换机、路由器、防火墙等等，窃取了超过140GB的数据。

NSA对西北工大网络攻击示意图

第七部分感言与总结

对TAO组织的评价与感言

TAO是一个重要网络武器制造者与网络战争的执行者

TAO是一个NSA隐藏很深，目的很明确，以网络安全防御为名，忠实执行全球网络战争的重要作战单元。

TAO是一个伪装成组织的国家战争武器。

TAO是一个全球最大的黑客组织，被国家化部署在全球网络战线上的一个“隐形黑客”，一个“隐形杀手”。

TAO破坏力之大，源于联合美国政府以及美国军方的联合力量，远非技术表层意义。

TAO影响之深远，源于整个技术科研、技术供应链、信息产业链的整合，包含不限于路上光缆通讯（基础设施）、海底光缆（基础设施）、网络服务器（云端）、交换器与路由器（管端）、上网终端设备（终端）等基础硬件上，利用软件信息技术上的优势进行全方位、全链路整合，从而可以主导发起全方位的网络战争。

建议与补充

TAO组织原本就是一个“隐形杀手”，所有资料，难免存在不真实，不实之处，欢迎留言补充与探讨。同时对TAO组织的整体评价，也非常欢迎提出您的建议与看法。

参考资料