昨日,国家计算机病毒应急中心发布《美国NSA网络武器“饮茶”分析报告》,揭开了美国国家安全局(NSA)网络攻击西北工业大学的技术细节。此前西北工业大学声明遭受境外网络攻击,攻击方是美国国家安全局特定入侵行动办公室(TAO)。
经技术分析,在此次针对西北工业大学攻击的41种网络武器中,名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。该网络武器主要针对Unix/Linux平台,其主要功能是对目标主机上的远程访问账号密码进行窃取。 据央视
(资料图片)
“饮茶”是何方神圣?
美国国家安全局(NSA)专用的网络武器,命名为“suctionchar”,该网络武器为“嗅探窃密类武器”,主要针对Unix/Linux平台,其主要功能是对目标主机上的远程访问账号密码进行窃取,可以在服务器上隐蔽运行,实时监视用户在操作系统控制台终端程序上的输入,并从中截取各类用户名密码,如同站在用户背后的“偷窥者”。
『饮茶』攻击示意图
美国国家安全局(NSA)下属
特定入侵行动办公室(TAO)
使用“饮茶”作为嗅探窃密工具将其植入西北工业大学内部网络服务器
窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码 从而获得内网中其他服务器的访问权限 实现内网横向移动
并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器
造成大规模、持续性敏感数据失窃
其他机构网络中也发现了“饮茶”的攻击痕迹
很可能是TAO利用“饮茶”对中国发动了大规模的网络攻击活动
外交部:
美方尚未作出实质性回应
在9月13日举行的中国外交部例行记者会上,有记者提问说:在360公司发布关于西北工业大学遭受美国国家安全局网络攻击的调查报告后,中方有关机构13日再次发布了对美国国家安全局网络武器“饮茶”的技术分析报告,引起了媒体的高度关注。中方对此有何评论?
发言人毛宁对此表示,确实当天中方有关机构发布了美国国家安全局攻击西北工业大学、使用网络武器的技术分析报告,报告中披露了更多的细节和证据,中方已经通过多个渠道要求美方对恶意网络攻击作出解释,并立即停止不法行为,但是迄今,我们还没有得到美方实质性的回应。
毛宁强调,美方行径严重侵犯中国有关机构的技术秘密,严重危害中国关键基础设施安全机构和个人信息安全。美方有关行为必须立即停止,并作出负责任的解释。 据环球时报
报告详情
概述
国家计算机病毒应急处理中心在对西北工业大学遭境外网络攻击事件进行调查过程中,在西北工业大学的网络服务器设备上发现了美国国家安全局(NSA)专用的网络武器“饮茶”(NSA命名为“suctionchar”)(参见我中心2022年9月5日发布的《西北工业大学遭美国NSA网络攻击事件调查报告(之一)》)。国家计算机病毒应急处理中心联合奇安信公司对该网络武器进行了技术分析,分析结果表明,该网络武器为“嗅探窃密类武器”,主要针对Unix/Linux平台,其主要功能是对目标主机上的远程访问账号密码进行窃取。
技术分析
经技术分析与研判,该网络武器针对Unix/Linux平台,与其他网络武器配合,攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务,该网络武器的主要目标是获取用户输入的各种用户名密码,包括SSH、TELNET、FTP和其他远程服务登录密码,也可根据配置窃取保存在其他位置的用户名密码信息。
该网络武器包含“验证模块(authenticate)”、“解密模块(decrypt)”、“解码模块(de-code)”、“配置模块”、“间谍模块(agent)”等多个组成部分。
总结
基于上述分析结果,技术分析团队认为,“饮茶”编码复杂,高度模块化,支持多线程,适配操作系统环境广泛,包括FreeBSD、SunSolaris系统以及Debian、RedHat、Cen-tos、Ubuntu等多种Linux发行版,反映出开发者先进的软件工程化能力。“饮茶”还具有较好的开放性,可以与其他网络武器有效进行集成和联动,其采用加密和校验等方式加强了自身安全性和隐蔽性,并且其通过灵活的配置功能,不仅可以提取登录用户名密码等信息,理论上也可以提取所有攻击者想获取的信息,是功能先进,隐蔽性强的强大网络武器工具。
在此次针对西北工业大学的攻击中,美国NSA下属特定入侵行动办公室(TAO)使用“饮茶”作为嗅探窃密工具,将其植入西北工业大学内部网络服务器,窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码,从而获得内网中其他服务器的访问权限,实现内网横向移动,并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器,造成大规模、持续性敏感数据失窃。随着调查的逐步深入,技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹,很可能是TAO利用“饮茶”对中国发动了大规模的网络攻击活动。 据国家计算机病毒应急处理中心网站(有删减)
网络安全专家解读:
41种网络武器中“饮茶”是最直接“罪魁祸首”之一
9月5日,中国相关部门对外界宣布,此前西北工业大学声明遭受境外网络攻击,攻击方是美国国家安全局(NSA)特定入侵行动办公室(TAO)。此后国家计算机病毒应急处理中心与北京奇安盘古实验室对此次入侵事件进一步深入分析,在最新的调查报告中,美国实施攻击的技术细节被公开:即在41种网络武器中名为“饮茶”的嗅探窃密类网络武器就是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。
经技术分析与研判,“饮茶”不仅能够窃取所在服务器上的多种远程管理和远程文件传输服务的账号密码,并且具有很强的隐蔽性和环境适应性。网络安全专家称,“饮茶”被植入目标服务器和网络设备后,会将自身伪装成正常的后台服务进程,并且采用模块化方式,分阶段投送恶意负载,具有很强的隐蔽性,发现难度很大。“饮茶”可以在服务器上隐蔽运行,实时监视用户在操作系统控制台终端程序上的输入,并从中截取各类用户名密码,如同站在用户背后的“偷窥者”。网络安全专家介绍:“一旦这些用户名密码被TAO获取,就可以被用于进行下一阶段的攻击,使用这些用户名密码访问其他服务器和网络设备,进而窃取服务器上的文件或投送其他网络武器。”
技术分析表明,“饮茶”可以与NSA其他网络武器有效进行集成和联动,实现“无缝对接”。今年2月份,北京奇安盘古实验室公开披露了隶属于美国国家安全局(NSA)黑客组织——“方程式”专属的顶级武器“电幕行动”(Bvp47)的技术分析,其被用于奇安盘古命名为“电幕行动”的攻击活动中。在TAO此次对西北工业大学实施网络攻击的事件中,“饮茶”嗅探窃密工具与Bvp47木马程序其他组件配合实施联合攻击。根据介绍,Bvp47木马具有极高的技术复杂度、架构灵活性以及超高强度的分析取证对抗特性,与“饮茶”组件配合用于窥视并控制受害组织信息网络,秘密窃取重要数据。其中,“饮茶”嗅探木马秘密潜伏在受害机构的信息系统中,专门负责侦听、记录、回送“战果”——受害者使用的账号和密码,不论其是在内网还是外网中。
网络安全专家建议:
选用国产化产品和“零信任”安全解决方案
值得注意的是,在美国对他国实施的多次网络攻击活动中,反复出现美国IT产业巨头的身影。例如在“棱镜”计划中,美国情治部门掌握高级管理员权限,能够随时进入微软、雅虎、谷歌、苹果等公司的服务器中,长期秘密进行数据挖掘。在“影子经纪人”公布的“方程式”组织所使用的黑客工具中,也多次出现了微软、思科甚至中国部分互联网服务商旗下产品的“零日漏洞”(0Day)或者后门。“美国正在利用其在网络信息系统软硬件领域的技术主导地位,在美国IT产业巨头的全面配合下,利用多种尖端网络武器,在全球范围发动无差别的网络攻击,持续窃取世界各地互联网设备的账号密码,以备后续随时‘合法’登录受害者信息系统,实施更大规模的窃密甚至破坏活动,其网络霸权行径显露无疑。”因此,网络安全专家建议用户对关键服务器尤其是网络运维服务器进行加固,定期更改服务器和网络设备的管理员口令,并加强对内网网络流量的审计,及时发现异常的远程访问请求。同时,在信息化建设过程中,建议选用国产化产品和“零信任”安全解决方案。“零信任”是新一代的网络安全防护理念,默认不信任企业网络内外的任何人、设备和系统。
这位专家进一步指出,无论是数据窃取还是系统毁灭瘫痪,网络攻击行为都会给网络空间甚至现实世界造成巨大破坏,尤其是针对重要关键信息基础设施的攻击行为,“网络空间很大程度是物理空间的映射,网络活动轻易跨越国境的特性使之成为持续性斗争的先导。没有网络安全就没有国家安全,只有要发展我们在科技领域的非对称竞争优势,才能建立起属于中国的、独立自主的网络防护和对抗能力。” 据《环球时报》
嗅探窃密是什么意思
黑客常用手段有哪些
专业网络安全人员给你解读
近期,西北工业大学遭受国家级黑客攻击事件逐渐浮出水面。在这次攻击中,网络嗅探窃密武器“饮茶”引起了公众的高度关注。9月13日晚,华商报记者就此事采访了专门从事网络安全业务的西安四叶草信息技术有限公司技术人员,请这位技术人员就本次网络攻击事件从技术层面做了解读。
事件从学校电子邮箱系统遭受钓鱼邮件攻击开始
2022年4月初,西北工业大学相关人员发现学校电子邮箱系统遭受钓鱼邮件攻击。所谓钓鱼邮件攻击,是指黑客通过技术手段构造与真实邮件或者真实系统十分相似的网站链接,常见的例如重置账号密码、要求下载附件自查(其实是恶意木马程序)等内容,黑客将伪造好的邮件定向发给受害目标人员,当受害人员点击后,误以为是真实的系统或者真实的人员,因此而信任对方输入账号密码或者下载附件中的程序双击执行。
据了解,本次攻击事件的黑客主要选择“科研评审、答辩邀请和出国通知”等为主题的钓鱼邮件,内含木马程序,引诱部分师生点击链接,非法获取师生电子邮箱登录权限,致使相关邮件数据被窃取。同时,部分学生和教职工人员点击邮件中的附件,也因此而被黑客远程控制。
使用了41种不同攻击武器
仅后门工具就有14款
本次事件,攻击者使用了41种不同的专属网络攻击武器,仅后门工具“狡诈异端犯”就有14款不同版本。攻击后期开始持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。其中,名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。
所谓嗅探窃密,是指黑客利用技术手段在正常应用程序中或者网络中植入恶意程序,专门劫持正常用户输入的账号密码,像网络通信流量的劫持,用户键盘输入等均是常见的嗅探劫持场景。其中嗅探的目标集中各种需要身份认证的账户密码,例如Linux系统远程管理服务SSH、网络设备的管理的Telnet服务、文件服务器的FTP账号密码等等。
黑客常用的其他三种入侵手段
除此之外,黑客还经常运用以下三种入侵手段。
鱼叉邮件攻击。黑客在进行鱼叉邮件攻击前,会通过情报搜集,分析出攻击目标的业务领域,然后伪装成其业务往来对象并发送邮件,诱导目标下载、打开附件(可能是伪装成文档的可执行文件或是经压缩的可执行文件),从而入侵对方电脑。
水坑攻击。顾名思义,是在受害者必经之路设置一个“水坑(陷阱)”。最常见的做法是,黑客通过分析攻击目标的上网规律,将其经常使用的网站“攻破”并植入攻击代码,一旦目标访问该网站就会“中招”。
供应链攻击。黑客在软件供应链的几大环节(开发、交付、使用)中设下“埋伏”,如修改源代码并植入木马程序、影响编译环境间接攻击软件产品等,以便在攻击目标使用软件时达到远程控制终端的目的。
黑客手段层出不穷,但并非防不胜防。事前做好防御,做好人员安全意识培训和信息化系统的安全建设尤为重要。 华商报记者 马虎振
关键词: 西工大遭网袭细节曝光 小心美国饮茶 计算机病毒
营业执照公示信息