一、美国国家安全局（NSA）

NSA美国网络军火库是全世界单独雇佣最多数学博士、计算机博士和语言学家的机构，每年花费超过100亿美元，甚至曾以1000万美元收买RSA公司植入算法后门(2004)，以便于收集各方重要情报及搭建作战平台。而这一深刻的揭示，不仅揭露出NSA不计成本、不惜代价、极具威慑的网络攻防战略布局，更让关注网络安全的专家学者为之震惊。

众所周知，网络战中的胜负，武器火力值是关键。NSA武器库里的“重型军火”——包括Stuxnet病毒（震网）、FOXACID（酸狐狸零日漏洞攻击平台）、VALIDATOR（初始化验证和轻量后门）、OLYMPUS&UNITEDRAKE（欧林巴斯& 联合耙）等高危木马，以及TAO（NSA下属特定入侵行动办公室小组网络攻击组织）。

近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”（0day）及其控制的网络设备等，持续扩大网络攻击和范围。

二、NSA武器库攻击大事件

2013年，美国利用“震网”病毒致使伊朗核计划流产；2017年，“永恒之蓝”从NSA武器库流出，迅速席卷全球150个国家和地区。

NSA的军火武器库更像一座漂浮在水面上的巨型冰山，被外界看见的只是露在水面上的一小部分，水下暗涌的山体十倍于水面之上，并在暗处野蛮生长成倍扩张。

三、NSA相关网络攻击武器

1、漏洞攻击突破类武器

TAO依托此类武器对边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有3种：

① “剃须刀”

此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击，攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码，直接获取对目标主机的完整控制权，所控制跳板机被用于进行网络攻击。

② “孤岛”

此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击，直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力，需由使用者手动配置目标及相关参数。NSA可使用此武器攻击控制边界服务器。

③ “酸狐狸”武器平台

此武器平台部署在哥伦比亚，可结合“二次约会”中间人攻击武器使用，可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击，获取目标系统的控制权。TAO主要使用该武器平台对内网主机进行入侵。

2、持久化控制类武器

TAO依托此类武器进行隐蔽持久控制，TAO行动队可通过加密通道发送控制指令操作此类武器实施网络的渗透、控制、窃密等行为。此类武器共有6种：

① “二次约会”

此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上，可针对海量数据流量进行精准过滤与自动化劫持，实现中间人攻击功能。TAO在边界设备上安置该武器，劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。

② “NOPEN”

此武器是一种支持多种操作系统和不同体系架构的远控木马，可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作，并且本身具备权限提升和持久化能力。TAO主要使用该武器对网络内部的核心业务服务器和关键网络设备实施持久化控制。

③ “怒火喷射”

此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马，可根据目标系统环境定制化生成不同类型的木马服务端，服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对网内网的个人主机实施持久化控制。

④ “狡诈异端犯”

此武器是一款轻量级的后门植入工具，运行后即自删除，具备权限提升能力，持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留，以便在合适时机建立加密管道上传NOPEN木马，保障对信息网络的长期控制。

⑤ “坚忍外科医生”

此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门，该武器可持久化运行于目标设备上，根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程，避免其被监控发现。

3、嗅探窃密类武器

TAO依托此类武器嗅探人员运维网络时使用的账号口令、命令行操作记录，窃取网络内部的敏感信息和运维数据等。此类武器共有两种：

① “饮茶”

此武器可长期驻留在32位或64位的Solaris系统中，通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等，压缩加密存储后供NOPEN木马下载。

② “敌后行动”系列武器

此系列武器是专门针对电信运营商特定业务系统使用的工具，根据被控业务设备的不同类型，“敌后行动”会与不同的解析工具配合使用。TAO在网络攻击中使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。

4、隐蔽消痕类武器

TAO依托此类武器消除其在网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。现已发现1种此类武器：

“吐司面包” ，此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控上网设备上的各类日志文件，隐藏其恶意行为。