网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　昨日，国家计算机病毒应急中心发布《美国NSA网络武器“饮茶”分析报告》，揭开了美国国家安全局（NSA）网络攻击西北工业大学的技术细节。此前西北工业大学声明遭受境外网络攻击，攻击方是美国国家安全局特定入侵行动办公室（TAO）。

　　经技术分析，在此次针对西北工业大学攻击的41种网络武器中，名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。该网络武器主要针对Unix/Linux平台，其主要功能是对目标主机上的远程访问账号密码进行窃取。 据央视

　　“饮茶”是何方神圣？

　　美国国家安全局（NSA）专用的网络武器，命名为“suctionchar”，该网络武器为“嗅探窃密类武器”，主要针对Unix/Linux平台，其主要功能是对目标主机上的远程访问账号密码进行窃取，可以在服务器上隐蔽运行，实时监视用户在操作系统控制台终端程序上的输入，并从中截取各类用户名密码，如同站在用户背后的“偷窥者”。

　　『饮茶』攻击示意图

　　美国国家安全局（NSA）下属

　　特定入侵行动办公室（TAO）

　　使用“饮茶”作为嗅探窃密工具将其植入西北工业大学内部网络服务器

　　窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码 从而获得内网中其他服务器的访问权限 实现内网横向移动

　　并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器

　　造成大规模、持续性敏感数据失窃

　　其他机构网络中也发现了“饮茶”的攻击痕迹

　　很可能是TAO利用“饮茶”对中国发动了大规模的网络攻击活动

　　外交部：

　　美方尚未作出实质性回应

　　在9月13日举行的中国外交部例行记者会上，有记者提问说：在360公司发布关于西北工业大学遭受美国国家安全局网络攻击的调查报告后，中方有关机构13日再次发布了对美国国家安全局网络武器“饮茶”的技术分析报告，引起了媒体的高度关注。中方对此有何评论？

　　发言人毛宁对此表示，确实当天中方有关机构发布了美国国家安全局攻击西北工业大学、使用网络武器的技术分析报告，报告中披露了更多的细节和证据，中方已经通过多个渠道要求美方对恶意网络攻击作出解释，并立即停止不法行为，但是迄今，我们还没有得到美方实质性的回应。

　　毛宁强调，美方行径严重侵犯中国有关机构的技术秘密，严重危害中国关键基础设施安全机构和个人信息安全。美方有关行为必须立即停止，并作出负责任的解释。 据环球时报

　　报告详情

　　概述

　　国家计算机病毒应急处理中心在对西北工业大学遭境外网络攻击事件进行调查过程中，在西北工业大学的网络服务器设备上发现了美国国家安全局（NSA）专用的网络武器“饮茶”（NSA命名为“suctionchar”）（参见我中心2022年9月5日发布的《西北工业大学遭美国NSA网络攻击事件调查报告（之一）》）。国家计算机病毒应急处理中心联合奇安信公司对该网络武器进行了技术分析，分析结果表明，该网络武器为“嗅探窃密类武器”，主要针对Unix/Linux平台，其主要功能是对目标主机上的远程访问账号密码进行窃取。

　　技术分析

　　经技术分析与研判，该网络武器针对Unix/Linux平台，与其他网络武器配合，攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务，该网络武器的主要目标是获取用户输入的各种用户名密码，包括SSH、TELNET、FTP和其他远程服务登录密码，也可根据配置窃取保存在其他位置的用户名密码信息。

　　该网络武器包含“验证模块（authenticate）”、“解密模块（decrypt）”、“解码模块（de-code）”、“配置模块”、“间谍模块（agent）”等多个组成部分。

　　总结

　　基于上述分析结果，技术分析团队认为，“饮茶”编码复杂，高度模块化，支持多线程，适配操作系统环境广泛，包括FreeBSD、SunSolaris系统以及Debian、RedHat、Cen-tos、Ubuntu等多种Linux发行版，反映出开发者先进的软件工程化能力。“饮茶”还具有较好的开放性，可以与其他网络武器有效进行集成和联动，其采用加密和校验等方式加强了自身安全性和隐蔽性，并且其通过灵活的配置功能，不仅可以提取登录用户名密码等信息，理论上也可以提取所有攻击者想获取的信息，是功能先进，隐蔽性强的强大网络武器工具。