9月13日,國家計算機病毒應急處理中心發布《美國NSA網絡武器“飲茶”分析報告》。
分析報告指出,在對西北工業大學遭境外網絡攻擊事件進行調查過程中 (參見此前報道 ),在西工大的網絡服務器設備上發現了美國國家安全局(NSA)專用的網絡武器“飲茶”(NSA命名為“suctionchar”) 。
國家計算機病毒應急處理中心聯合北京奇安盤古實驗室對“飲茶”進行了技術分析,分析結果表明,該網絡武器為“嗅探竊密類武器”,主要針對Unix/linux平臺,其主要功能是對目標主機上的遠程訪問賬號密碼進行竊取。
“飲茶”包含“驗證模塊(authenticate)”“解密模塊(decrypt)”“解碼模塊(decode)”“配置模塊”“間諜模塊(agent)”等多個組成部分。
基于相關分析結果,技術分析團隊認為,“飲茶”編碼復雜,高度模塊化,支持多線程,適配操作系統環境廣泛,包括FreeBSD、Sun Solaris系統以及Debian、RedHat、centos、Ubuntu等多種Linux發行版,反映出開發者先進的軟件工程化能力。
“飲茶”還具有較好的開放性,可以與其他網絡武器有效進行集成和聯動,其采用加密和校驗等方式加強了自身安全性和隱蔽性,并且其通過靈活的配置功能,不僅可以提取登錄用戶名密碼等信息,理論上也可以提取所有攻擊者想獲取的信息,是功能先進、隱蔽性強的強大網絡武器工具。
美國國家安全局(NSA)總部 圖源:IC photo
在此次針對西北工業大學的攻擊中,美國NSA下屬特定入侵行動辦公室(TAO)使用“飲茶”作為嗅探竊密工具,將其植入西北工業大學內部網絡服務器,竊取了SSH、TE.NET、FTP、SCP等遠程管理和遠程文件傳輸服務的登錄密碼,從而獲得內網中其他服務器的訪問權限,實現內網橫向移動,并向其他高價值服務器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網絡武器,造成大規模、持續性敏感數據失竊。
隨著調查的逐步深入,技術團隊還在西北工業大學之外的其他機構網絡中發現了“飲茶”的攻擊痕跡,很可能是TAO利用“飲茶”對中國發動了大規模的網絡攻擊活動。
