【資料圖】

今天，國家計算機病毒應急中心發(fā)布《美國NSA網(wǎng)絡武器“飲茶”分析報告》，詳情如下：

一、概述

國家計算機病毒應急處理中心在對西北工業(yè)大學遭境外網(wǎng)絡攻擊事件進行調(diào)查過程中，在西北工業(yè)大學的網(wǎng)絡服務器設備上發(fā)現(xiàn)了美國國家安全局（NSA）專用的網(wǎng)絡武器“飲茶”（NSA命名為“suctionchar”）（參見我中心2022年9月5日發(fā)布的《西北工業(yè)大學遭美國NSA網(wǎng)絡攻擊事件調(diào)查報告（之一）》）。國家計算機病毒應急處理中心聯(lián)合奇安信公司對該網(wǎng)絡武器進行了技術分析，分析結(jié)果表明，該網(wǎng)絡武器為“嗅探竊密類武器”，主要針對Unix/Linux平臺，其主要功能是對目標主機上的遠程訪問賬號密碼進行竊取。

二、技術分析

經(jīng)技術分析與研判，該網(wǎng)絡武器針對Unix/Linux平臺，與其他網(wǎng)絡武器配合，攻擊者可通過推送配置文件的方式控制該惡意軟件執(zhí)行特定竊密任務，該網(wǎng)絡武器的主要目標是獲取用戶輸入的各種用戶名密碼，包括SSH、TELNET、FTP和其他遠程服務登錄密碼，也可根據(jù)配置竊取保存在其他位置的用戶名密碼信息。

該網(wǎng)絡武器包含“驗證模塊（authenticate）”、“解密模塊（decrypt）”、“解碼模塊（decode）”、“配置模塊”、“間諜模塊（agent）”等多個組成部分，其主要工作流程和技術分析結(jié)果如下：

三、總結(jié)

基于上述分析結(jié)果，技術分析團隊認為，“飲茶”編碼復雜，高度模塊化，支持多線程，適配操作系統(tǒng)環(huán)境廣泛，包括FreeBSD、Sun Solaris系統(tǒng)以及Debian、RedHat、Centos、Ubuntu等多種Linux發(fā)行版，反映出開發(fā)者先進的軟件工程化能力?！帮嫴琛边€具有較好的開放性，可以與其他網(wǎng)絡武器有效進行集成和聯(lián)動，其采用加密和校驗等方式加強了自身安全性和隱蔽性，并且其通過靈活的配置功能，不僅可以提取登錄用戶名密碼等信息，理論上也可以提取所有攻擊者想獲取的信息，是功能先進，隱蔽性強的強大網(wǎng)絡武器工具。

在此次針對西北工業(yè)大學的攻擊中，美國NSA下屬特定入侵行動辦公室（TAO）使用“飲茶”作為嗅探竊密工具，將其植入西北工業(yè)大學內(nèi)部網(wǎng)絡服務器，竊取了SSH、TELNET、FTP、SCP等遠程管理和遠程文件傳輸服務的登錄密碼，從而獲得內(nèi)網(wǎng)中其他服務器的訪問權(quán)限，實現(xiàn)內(nèi)網(wǎng)橫向移動，并向其他高價值服務器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網(wǎng)絡武器，造成大規(guī)模、持續(xù)性敏感數(shù)據(jù)失竊。隨著調(diào)查的逐步深入，技術團隊還在西北工業(yè)大學之外的其他機構(gòu)網(wǎng)絡中發(fā)現(xiàn)了“飲茶”的攻擊痕跡，很可能是TAO利用“飲茶”對中國發(fā)動了大規(guī)模的網(wǎng)絡攻擊活動。

關鍵詞： 西北工業(yè)大學 技術分析 網(wǎng)絡攻擊