小心饮茶！西工大被美国网络攻击的罪魁祸首找到了

西北工大遭美网袭事件

又一细节曝光！

“罪魁祸首”名为“饮茶”

据《环球时报》消息，记者13日从相关部门获悉：

在西北工业大学遭受美国国家安全局（NSA）网络攻击事件中，名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。

对此，网络安全专家建议，在信息化建设过程中，建议选用国产化产品和“零信任”安全解决方案。

美国国家安全局（NSA）总部

美实施攻击技术细节公开

9月5日，中国相关部门对外界宣布，此前西北工业大学声明遭受境外网络攻击，攻击方是美国国家安全局（NSA）特定入侵行动办公室（TAO）。

“特定入侵行动办公室”（TAO）到底是什么机构？

据了解，“特定入侵行动办公室”成立于1998年，是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成，其力量部署主要依托美国国家安全局在美国和欧洲的各密码中心，下设10个单位。

针对西北工业大学的攻击窃密行动的负责人是罗伯特·乔伊斯。此人于1967年9月13日出生，1989年进入美国国家安全局工作。曾经担任过“特定入侵行动办公室”副主任、主任，现担任美国国家安全局NSA网络安全主管。

对此次入侵事件，国家计算机病毒应急处理中心与北京奇安盘古实验室进一步深入分析，在最新的调查报告中，美国实施攻击的技术细节被公开：

TAO使用“饮茶”作为嗅探窃密工具，将其植入西北工业大学内部网络服务器，窃取了SSH等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的访问权限，实现内网横向移动，并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。

经技术分析与研判，“饮茶”不仅能够窃取所在服务器上的多种远程管理和远程文件传输服务的账号密码，并且具有很强的隐蔽性和环境适应性。

网络安全专家称，“饮茶”被植入目标服务器和网络设备后，会将自身伪装成正常的后台服务进程，并且采用模块化方式，分阶段投送恶意负载，具有很强的隐蔽性，发现难度很大。“饮茶”可以在服务器上隐蔽运行，实时监视用户在操作系统控制台终端程序上的输入，并从中截取各类用户名密码，如同站在用户背后的“偷窥者”。

网络安全专家介绍：“一旦这些用户名密码被TAO获取，就可以被用于进行下一阶段的攻击，即使用这些用户名密码访问其他服务器和网络设备，进而窃取服务器上的文件或投送其他网络武器。”

根据此前调查报告，通过取证分析，技术团队已累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个，并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其他类型的日志和密钥文件以及其他与攻击活动相关的主要细节。

此外，技术分析表明，“饮茶”可以与NSA其他网络武器有效进行集成和联动，实现“无缝对接”。在TAO此次对西北工业大学实施网络攻击的事件中，“饮茶”嗅探窃密工具与Bvp47木马程序其他组件配合实施联合攻击。

或利用“饮茶”对中国发动大规模攻击

攻击西工大只是冰山一角。

报告还指出，随着调查的逐步深入，技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹，很可能是TAO利用“饮茶”对中国发动大规模的网络攻击活动。

值得注意的是，在美国对他国实施的多次网络攻击活动中，反复出现美国IT产业巨头的身影。

例如在“棱镜”计划中，美国情治部门掌握高级管理员权限，能够随时进入微软、雅虎、谷歌、苹果等公司的服务器中，长期秘密进行数据挖掘。在“影子经纪人”公布的“方程式”组织所使用的黑客工具中，也多次出现了微软、思科甚至中国部分互联网服务商旗下产品的“零日漏洞”（0Day）或者后门。

今年2月，北京奇安盘古实验室披露，隶属NSA的黑客组织“方程式”利用顶级后门，对中国、俄罗斯等全球45个国家和地区开展长达十几年的“电幕行动”网络攻击，攻击目标包括知名高校、科研机构、通信行业、政府部门等；360公司始于2008年的调查也显示，中国是NSA长期重点网络攻击目标之一。

这些网络攻击行为不仅能窃取他国情报，还能破坏电力、水利、电信、交通、能源等关键基础设施，甚至对公共数据、公共通信网络、公共交通网络、公共服务造成灾难性后果。

美国监听全世界，早已是公开的秘密。以众人熟知的“棱镜”项目为例，仅2009年就有122名外国领导人被美国监听；截至2011年，来自欧洲、非洲及中东的1亿多条信用卡信息被美国“追踪”。一顿操作下来，美国情报部门每天收集到全球近50亿份手机通话记录、20亿条手机短信息。

2020年2月，多家美媒发布联合调查报告，称自上世纪70年代起，美国就和原西德情报部门合作，秘密操控瑞士加密设备供应商，在全球120多个国家和地区窃取情报，开展无差别监听。“美国网络霸权行径显露无遗。”

避免西北工业大学遭袭类似事件，网络安全专家建议：

1. 用户对关键服务器尤其是网络运维服务器进行加固

2.定期更改服务器和网络设备的管理员口令

3.加强对内网网络流量的审计

4.及时发现异常的远程访问请求

同时，在信息化建设过程中，建议选用国产化产品和“零信任”安全解决方案。（“零信任”是新一代的网络安全防护理念，默认不信任企业网络内外的任何人、设备和系统。）

网络活动能轻易跨越国境

网络攻击已经成为

当代持续性斗争的先导

网络安全是国家安全的一部分

需建立起属于中国的、独立自主的

网络防护和对抗能力

作为普通公民记住以下几点

信息来源 | 环球时报、央视新闻、侠客岛、人民日报

原文来自「广州交通电台」｜侵删

中电运行是专业专注培养能源企业IT工匠和提供IT整体解决方案的服务商，也是能源互联网安全专家。我们每天都会分享各种IT相关内容，如果您有任何关于IT疑问，欢迎给我们留言。

●小白必读！寰宇卫士手把手教你栈溢出（上）

●手把手教你栈溢出（中）

●手把手教你栈溢出（下）

●《信息安全知识》之法律关键常识汇总

●CTF经验分享|带你入门带你飞！

原文始发于微信公众号（寰宇卫士）：小心“饮茶”！西工大被美国网络攻击的“罪魁祸首”找到了