6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击,并报警,陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。随后,中国国家计算机病毒应急处理中心和360公司联合组成技术团队介入并全程参与此案的技术侦察与分析工作。
经综合使用国内数据资源和技术分析手段,并得到欧洲和南亚国家的通力支持,团队全面还原了攻击事件的总体概貌、技术特征、攻击手段、路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)下辖“特定入侵行动办公室”(TAO),TAO亦被称为“获取特定情报行动办公室”。
回顾历史,TAO成立于冷战时期。1952年11月,根据杜鲁门总统的命令,NSA成立,隶属美国国防部,是美国庞大情报系统的一个重要组成部分,专门负责收集和分析外国及本国通讯资料。NSA继承了二战中成功破译敌方密码的工作(美国军情八处)的职能,主要负责监听监视对手的电台广播、通讯、互联网,尤其是军事和外交秘密通讯,长期与美国中央情报局(CIA)合作,是世界上单独雇佣最多数学博士和电脑专家的单位,总体技术侦查能力一流。TAO约在1998年设立,主要工作是识别、监视、渗透和收集其他国家的电脑系统中情报,该机构现名“Computer Network Operations”(计算机网络运作),是目前美国政府专门从事对他国实施大规模网络攻击、窃密活动的战术实施单位,经过30余年的运作,TAO团队人数已超过2000人。
TAO拥有自己的小型秘密情报收集单位,被称为“Access Technologies Operations Branch”,其中包括由中央情报局(CIA)和联邦调查局(FBI)的借调人员,执行所谓的“网外行动”。其力量部署主要依托NSA在美国和欧洲的密码中心,目前有六个密码中心被公布,即国家安全局马里兰的米德堡总部、瓦胡岛的国安局夏威夷密码中心(NSAH)、戈登堡的国家安全局乔治亚密码中心(NSAG)、圣安东尼奥的国安局德克萨斯密码中心(NSAT)、丹佛马克利空军基地的国安局科罗拉多密码中心(NSAC)、德国达姆施塔特美军基地的国安局欧洲密码中心(NSAE)。TAO下设有10个单位,即远程操作中心(ROC,代号S321)、先进接入网络技术处(ANT,代号S322)、数据网络技术处(DNT,代号S323)、电信网络技术处(TNT,代号S324)、任务基础设施技术处(MIT,代号S325)、接入行动处(AO,代号S326)、需求与定位处(R&T,代号S327)、接入技术行动处(ATO,编号S328)、项目计划整合处(PPI,代号S32P)、网络战小组(NWT)。TAO因长期向美国情报界提供一系列绝密情报而享有“盛名”,这些情报涉及各种恐怖组织、外国政府针对美国的间谍活动、弹道导弹和全球大规模杀伤性武器的发展以及全球最新的政治、军事和经济信息等,可以说它是美国政府实施“不对称”作战的重要“拳头”力量。