9月13日,国度计较机病毒应急处理惩罚中心发布美国NSA网络兵器“饮茶”阐明陈诉。全文如下:
一、概述
国度计较机病毒应急处理惩罚中心在对西北家产大学遭境外网络进攻事件举办观测进程中,在西北家产大学的网络处事器设备上发明白美国国度安详局(NSA)专用的网络兵器“饮茶”(NSA定名为“suctionchar”)(拜见我中心2022年9月5日发布的《西北家产大学遭美国NSA网络进攻事件观测陈诉(之一)》)。国度计较机病毒应急处理惩罚中心连系奇安信公司对该网络兵器举办了技能阐明,阐明功效表白,该网络兵器为“嗅探窃密类兵器”,主要针对Unix/Linux平台,其主要成果是对方针主机上的长途会见账号暗码举办窃取。
二、技能阐明
经技能阐明与研判,该网络兵器针对Unix/Linux平台,与其他网络兵器共同,进攻者可通过推送设置文件的方法节制该恶意软件执行特定窃密任务,该网络兵器的主要方针是获取用户输入的各类用户名暗码,包罗SSH、TELNET、FTP和其他长途处事登录暗码,也可按照设置窃取生存在其他位置的用户名暗码信息。
该网络兵器包括“验证模块(authenticate)”、“解密模块(decrypt)”、“解码模块(decode)”、“设置模块”、“特工模块(agent)”等多个构成部门,其主要事情流程和技能阐明功效如下:
(一)验证模块
验证模块的主要成果是在“饮茶”被挪用前验证其挪用者(父历程)的身份,随后举办解密、解码以加载其他恶意软件模块。如图1所示。
(二)解密模块
解密模块是通用模块,dnf私服开服 DNF私服,可被其他模块挪用对指定文件举办解密,回收了与NOPEN远控木马(拜见《“NOPEN”远控木马阐明陈诉》)雷同的RSA+RC6加密算法。如图2所示。
(三)解码模块
与解密模块雷同,解码模块也是通用模块,可以被其他模块挪用对指定文件举办解码,但回收了自编码算法。如图3 所示。
(四)设置模块
设置模块的主要成果是读取进攻者长途投送的xml名目设置文件中的指令和匹配法则,并生成二进制设置文件,从而由“监督模块”和“特工模块”挪用后在受害主机上查找相关内容。如图4、图5所示。
(五)特工模块
特工模块的主要成果是凭据进攻者下发的指令和法则从受害主机上提取相应的敏感信息并输出到指定位置。
(六)其他模块
在阐明进程中,我们还发明别的两个模块,别离是设置文件生成模块和守护者模块。个中,设置文件生成模块的成果大概是生成ini姑且设置文件,而守护者模块与特工模块具有很高的代码相似性,大概是为差异版本系统出产的变种。
三、总结
基于上述阐明功效,技能阐明团队认为,“饮茶”编码巨大,高度模块化,支持多线程,适配操纵系统情况遍及,包罗FreeBSD、Sun Solaris系统以及Debian、RedHat、Centos、Ubuntu等多种Linux刊行版,反应出开拓者先进的软件工程化本领。“饮茶”还具有较好的开放性,可以与其他网络兵器有效举办集成和联动,其回收加密和校验等方法增强了自身安详性和隐蔽性,而且其通过机动的设置成果,不只可以提取登任命户名暗码等信息,理论上也可以提取所有进攻者想获取的信息,是成果先进,隐蔽性强的强大网络兵器东西。
在此次针对西北家产大学的进攻中,美国NSA部属特定入侵动作办公室(TAO)利用“饮茶”作为嗅探窃密东西,将其植入西北家产大学内部网络处事器,窃取了SSH、TELNET、FTP、SCP等长途打点和长途文件传输处事的登录暗码,从而得到内网中其他处事器的会见权限,实现内网横向移动,并向其他高代价处事器投送其他嗅探窃密类、耐久化节制类和隐蔽消痕类网络兵器,造成大局限、一连性敏感数据失窃。跟着观测的慢慢深入,技能团队还在西北家产大学之外的其他机构网络中发明白“饮茶”的进攻陈迹,很大概是TAO操作“饮茶”对中国动员了大局限的网络进攻勾当。
这位专家进一步指出,无论是数据窃取照旧系统歼灭瘫痪,网络进攻行为城市给网络空间甚至现实世界造成庞大粉碎,尤其是针对重要要害信息基本设施的进攻行为,“网络空间很洪流平是物理空间的映射,网络勾当等闲超过国境的特性使之成为一连性斗争的先导。没有网络安详就没有国度安详,只有要成长我们在科技规模的非对称竞争优势,才气成立起属于中国的、独立自主的网络防护和反抗本领。”