最新調查:美國將網絡武器「飲茶」植入西北工業大學伺服器竊密

撰文:林芷瑩
出版:更新:

西北工業大學的信息系統早前遭受境外網絡攻擊。國家計算機病毒應急處理中心和360公司調查後,發現攻擊是來自美國國家安全局(NSA)特定入侵行動辦公室(Office of Tailored Access Operation,簡稱TAO)。
今日(13日),國家計算機病毒應急中心發布《美國NSA網絡武器「飲茶」分析報告》,指出該網絡武器為「嗅探竊密類武器」,主要針對Unix/Linux平台,其主要功能是竊取目標主機上的各種帳號和密碼。

報告指出,調查人員在西北工業大學的網絡伺服器設備上,發現美國國家安全局專用的網絡武器「飲茶」(suctionchar)。

經技術分析與研判,該網絡武器針對Unix/Linux平台,與其他網絡武器配合,攻擊者可通過推送配置文件的方式控制該惡意軟件執行特定竊密任務,該網絡武器的主要目標是獲取用戶輸入的各種用戶名密碼,包括SSH、TELNET、FTP和其他遠程服務登錄密碼,也可根據配置竊取保存在其他位置的用戶名密碼信息。

報告分析美國國家安全局攻擊西北工業大學的場景流程。(微博@新華社)

報告指,該網絡武器包含7個模塊,包括驗證模塊(authenticate)、解密模塊(decrypt)、解碼模塊(decode)、配置模塊、間諜模塊(agent)等。

技術分析團隊認為,「飲茶」編碼複雜,高度模塊化,支持多線程,適配操作系統環境廣泛,包括FreeBSD、Sun Solaris系統以及Debian、RedHat、Centos、Ubuntu等多種Linux發行版,反映出開發者先進的軟件工程化能力。

「飲茶」具有較好的開放性,可以與其他網絡武器有效進行集成和聯動,其採用加密和校驗等方式加強了自身安全性和隱蔽性,並通過靈活的配置功能,不僅可以提取登錄用戶名密碼等信息,理論上也可以提取所有攻擊者想獲取的信息。

《環球時報》的報道指,羅伯特·喬伊斯(Robert E. Joyce)涉及網絡攻擊西北工業大學的行動。(《環球時報》)

在此次針對西北工業大學的攻擊中,TAO使用「飲茶」作為嗅探竊密工具,將其植入西北工業大學內部網絡伺服器,竊取了SSH、TELNET、FTP、SCP等遠程管理和遠程文件傳輸服務的登錄密碼,從而獲得內網中其他伺服器的訪問權限,並向其他高價值伺服器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網絡武器,造成大規模、持續性敏感數據失竊。

同時,技術團隊在西北工業大學之外的其他機構網絡中發現了「飲茶」的攻擊痕跡,很可能是TAO利用「飲茶」對中國發動大規模的網絡攻擊活動。

(微博@西北工業大學)

對於上述報告揭開了美國國家安全局網絡攻擊西北工業大學的技術細節,外交部發言人毛寧表示,報告中披露了更多的細節和證據,中方已經通過多個渠道要求美方對惡意網絡攻擊作出解釋,並立即停止不法行為,但迄今尚未得到美方實質性回應。

毛寧強調,美方行徑嚴重侵犯中國有關機構的技術秘密,嚴重危害中國關鍵基礎設施安全機構和個人信息安全,美方有關行為必須立即停止並作出負責任的解釋。