今天,计算机病毒应急中心发布了关于NSA网络武器“饮茶”的详细分析报告。以下是报告的主要内容:
一、概述
在调查西北工业大学遭受的境外网络攻击事件时,计算机病毒应急处理中心在西北工业大学的网络服务器设备上发现了(NSA)专用的网络武器“饮茶”。该网络武器被NSA命名为“suctionchar”,具体分析结果可参见我们中心于2022年9月5日发布的调查报告。计算机病毒应急处理中心与奇安信公司对该网络武器进行了联合技术分析,发现它是一种“嗅探窃密类武器”,主要瞄准Unix/Linux平台,用于窃取目标主机上的远程访问账号密码。
二、技术分析
经过深入的技术研究,发现该网络武器包含多个模块,如验证模块、解密模块、解码模块、配置模块、间谍模块等。其主要工作流程如下:验证模块在“饮茶”被调用时验证调用者的身份,随后解密、解码以加载其他恶意软件模块。解密模块和解码模块采用复杂的加密算法,被其他模块调用以处理指定文件。配置模块负责读取攻击者远程投送的指令和匹配规则,生成配置文件,以供其他模块使用。间谍模块则根据攻击者的指令从受害主机提取敏感信息。还发现了另外两个模块,可能用于生成临时配置文件和守护间谍活动。
技术分析团队认为,“饮茶”编码复杂,模块化程度高,适应多种操作系统环境,反映出开发者的高级能力。该网络武有高度的开放性和集成性,可以与其它网络武器联动,通过加密和校验等方式增强其安全性和隐蔽性。在此次针对西北工业大学的攻击中,NSA使用“饮茶”作为嗅探窃密工具,窃取了大量远程管理和文件传输服务的登录密码,实现了内网横向移动,并投送了其他网络武器,造成了大规模敏感数据失窃。随着调查的深入,还可能在其他机构网络中发现“饮茶”的攻击痕迹,表明NSA可能对进行了大规模的网络攻击活动。
(来源:总台记者 张岗)
