今年6月22日，西北工業大學發布《公開聲明》稱，該校遭受境外網絡攻擊，隨后西安警方對此正式立案調查，中國國家計算機病毒應急處理中心和360公司聯合組成技術團隊全程參與了此案的技術分析工作，并于9月5日發布了第一份“西北工業大學遭受美國NSA網絡攻擊調查報告”，調查報告指出此次網絡攻擊源頭系美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）。今天（27日），技術團隊再次發布相關網絡攻擊的調查報告，報告披露，特定入侵行動辦公室（TAO）在對西北工業大學發起網絡攻擊過程中構建了對我國基礎設施運營商核心數據網絡遠程訪問的（所謂）“合法”通道，實現了對我國基礎設施的滲透控制。

此次調查報告顯示，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）對他國發起的網絡攻擊技戰術針對性強，采取半自動化攻擊流程，單點突破、逐步滲透、長期竊密。

360公司網絡安全專家 邊亮：它可以通過漏洞的方式去批量地對網絡當中的設備或者說一段IP進行這種批量的投漏洞、投病毒，從而獲取相關的權限，這個是可以做到自動化的。它后續需要進行潛伏，進行長期控制，并且需要有針對性地去竊取相關的這種文件。這個過程中是背后需要有人來操作，來指定到底去竊取什么去做什么，以及最后在撤退的時候需要銷毀，那么這個過程其實都是由人在背后去控制的，那么這個過程其實是屬于半自動化。

技術團隊發現，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）經過長期的精心準備，使用“酸狐貍”平臺對西北工業大學內部主機和服務器實施中間人劫持攻擊，部署“怒火噴射”遠程控制武器，控制多臺關鍵服務器。

國家計算機病毒應急處理中心高級工程師 杜振華：進入到這些服務器之后，它會對網絡流量進行劫持，那么采用這種中間人攻擊的方式，把其他的武器投送到西北工業大學內網的主機或者服務器上，投送成功之后，尤其是投送持久控制類武器之后，可以說獲得了西北工業大學內網的訪問權。那么在這個基礎上，會對內網進行這種探測，去尋找高價值的服務器，高價值的主機，然后再向這些服務器和主機進行橫向移動，成功地進入之后，可以去部署這種嗅探竊密類的武器。

報告顯示，特定入侵行動辦公室（TAO）通過竊取西北工業大學運維和技術人員遠程業務管理的賬號口令、操作記錄以及系統日志等關鍵敏感數據，掌握了一批網絡邊界設備賬號口令、業務設備訪問權限、路由器等設備配置信息、FTP服務器文檔資料信息。

360公司網絡安全專家 邊亮：它控制了西北工大（相關設備）之后，相當于利用西北工大再去對其他單位進行攻擊，這個過程是一個打引號的合法。相當于我們數據庫當中有類似于這種人臉識別這么一個防護機制一樣。如果說一個比如美國人來的話，我們直接給他攔住了，不讓他進去，但是他刷了比如像西工大的臉，我們認為他是一個正常的用戶，那么在網絡數據當中就對他進行了一個放行這么一個操作。但實際上西工大的相關服務器是被美國（TAO）所控制的，那么（TAO）去進一步對其他單位產生攻擊。

技術團隊根據特定入侵行動辦公室（TAO）攻擊鏈路、滲透方式、木馬樣本等特征，關聯發現其非法攻擊滲透中國境內的基礎設施運營商，構建了對基礎設施運營商核心數據網絡遠程訪問的（所謂）“合法”通道，實現了對中國基礎設施的滲透控制。

報告顯示，特定入侵行動辦公室（TAO）通過掌握的中國基礎設施運營商的思科PIX防火墻、天融信防火墻等設備的賬號口令，以（所謂）“合法”身份進入運營商網絡，隨后實施內網滲透拓展，分別控制相關運營商的服務質量監控系統和短信網關服務器，利用“魔法學校”等專門針對運營商設備的武器工具，查詢了一批中國境內敏感身份人員，并將用戶信息打包加密后經多級跳板回傳至美國國家安全局總部。