9月13日,國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布《美國NSA網(wǎng)絡(luò)武器“飲茶”分析報(bào)告》。
分析報(bào)告指出,在對西北工業(yè)大學(xué)遭境外網(wǎng)絡(luò)攻擊事件進(jìn)行調(diào)查過程中 (參見此前報(bào)道 ),在西工大的網(wǎng)絡(luò)服務(wù)器設(shè)備上發(fā)現(xiàn)了美國國家安全局(NSA)專用的網(wǎng)絡(luò)武器“飲茶”(NSA命名為“suctionchar”) 。
國家計(jì)算機(jī)病毒應(yīng)急處理中心聯(lián)合北京奇安盤古實(shí)驗(yàn)室對“飲茶”進(jìn)行了技術(shù)分析,分析結(jié)果表明,該網(wǎng)絡(luò)武器為“嗅探竊密類武器”,主要針對Unix/linux平臺(tái),其主要功能是對目標(biāo)主機(jī)上的遠(yuǎn)程訪問賬號密碼進(jìn)行竊取。
“飲茶”包含“驗(yàn)證模塊(authenticate)”“解密模塊(decrypt)”“解碼模塊(decode)”“配置模塊”“間諜模塊(agent)”等多個(gè)組成部分。
基于相關(guān)分析結(jié)果,技術(shù)分析團(tuán)隊(duì)認(rèn)為,“飲茶”編碼復(fù)雜,高度模塊化,支持多線程,適配操作系統(tǒng)環(huán)境廣泛,包括FreeBSD、Sun Solaris系統(tǒng)以及Debian、RedHat、centos、Ubuntu等多種Linux發(fā)行版,反映出開發(fā)者先進(jìn)的軟件工程化能力。
“飲茶”還具有較好的開放性,可以與其他網(wǎng)絡(luò)武器有效進(jìn)行集成和聯(lián)動(dòng),其采用加密和校驗(yàn)等方式加強(qiáng)了自身安全性和隱蔽性,并且其通過靈活的配置功能,不僅可以提取登錄用戶名密碼等信息,理論上也可以提取所有攻擊者想獲取的信息,是功能先進(jìn)、隱蔽性強(qiáng)的強(qiáng)大網(wǎng)絡(luò)武器工具。
美國國家安全局(NSA)總部 圖源:IC photo
在此次針對西北工業(yè)大學(xué)的攻擊中,美國NSA下屬特定入侵行動(dòng)辦公室(TAO)使用“飲茶”作為嗅探竊密工具,將其植入西北工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)服務(wù)器,竊取了SSH、TE.NET、FTP、SCP等遠(yuǎn)程管理和遠(yuǎn)程文件傳輸服務(wù)的登錄密碼,從而獲得內(nèi)網(wǎng)中其他服務(wù)器的訪問權(quán)限,實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng),并向其他高價(jià)值服務(wù)器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網(wǎng)絡(luò)武器,造成大規(guī)模、持續(xù)性敏感數(shù)據(jù)失竊。
隨著調(diào)查的逐步深入,技術(shù)團(tuán)隊(duì)還在西北工業(yè)大學(xué)之外的其他機(jī)構(gòu)網(wǎng)絡(luò)中發(fā)現(xiàn)了“飲茶”的攻擊痕跡,很可能是TAO利用“飲茶”對中國發(fā)動(dòng)了大規(guī)模的網(wǎng)絡(luò)攻擊活動(dòng)。
