美国NSA网络攻击西工大更多技术细节被公开,小心饮茶!

admin 2022年9月15日23:42:02安全新闻评论13 views2210字阅读7分22秒阅读模式
美国NSA网络攻击西工大更多技术细节被公开,小心饮茶!

9月13日国家计算机病毒应急中心发布《美国NSA网络武器“饮茶”分析报告》,揭开了美国国家安全局(NSA)网络攻击西北工业大学的技术细节。

此前西北工业大学声明遭受境外网络攻击,攻击方是美国国家安全局特定入侵行动办公室(TAO)。

西北工业大学遭美国国家安全局(NSA)网络攻击事件


国家计算机病毒应急处理中心在西北工业大学的网络服务器设备上发现了美国国家安全局(NSA)专用的网络武器饮茶(NSA命名为“suctionchar”)。技术分析结果表明,在此次针对西北工业大学攻击的41种网络武器中, “饮茶”是导致大量敏感数据遭窃的最直接“罪魁祸首”之一,该网络武器为“嗅探窃密类武器”,主要针对Unix/Linux平台,其主要功能是对目标主机上的远程访问账号密码进行窃取。



01

揭秘“饮茶”

经技术分析与研判,该网络武器针对Unix / Linux平台,与其他网络武器配合,攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务,该网络武器的主要目标是获取用户输入的各种用户名密码,包括SSH 、 TELNET、 FTP 和其他远程服务登录密码,也可根据配置窃取保存在其他位置的用户名密码信息。

该网络武器包含多个组成部分,其主要工作流程和技术分析结果如下:

 1、验证模块 (authenticate)

验证模块的主要功能是在“饮茶”被调用前验证其调用者(父进程)的身份,随后进行解密、解码以加载其他恶意软件模块。

 2、解密模块(decrypt)

解密模块是通用模块,可被其他模块调用对指定文件进行解密,采用了与NOPEN远控木马类似的RSA+RC6加密算法。

 3、解码模块(decode)

与解密模块类似,解码模块也是通用模块,可以被其他模块调用对指定文件进行解码,但采用了自编码算法。

 4、配置模块  

配置模块的主要功能是读取攻击者远程投送的xml格式配置文件中的指令和匹配规则,并生成二进制配置文件,从而由“监视模块”和“间谍模块”调用后在受害主机上查找相关内容。

 5、间谍模块(agent)

间谍模块的主要功能是按照攻击者下发的指令和规则从受害主机上提取相应的敏感信息并输出到指定位置。

 6、其他模块  

在分析过程中,还发现另外两个模块,分别是配置文件生成模块和守护者模块。其中,配置文件生成模块的功能可能是生成ini临时配置文件,而守护者模块与间谍模块具有很高的代码相似性,可能是为不同版本系统生产的变种。

02

 “饮茶”可以与NSA其他网络武器有效进行集成和联动,实现“无缝对接”

“饮茶”编码复杂,高度模块化,支持多线程,适配操作系统环境广泛,包括FreeBSD、Sun Solaris系统以及Debian、RedHat、Centos、Ubuntu等多种Linux发行版。“饮茶”还具有较好的开放性,可以与其他网络武器有效进行集成和联动,其采用加密和校验等方式加强了自身安全性和隐蔽性,并且其通过灵活的配置功能,不仅可以提取登录用户名密码等信息,理论上也可以提取所有攻击者想获取的信息,是功能先进,隐蔽性强的强大网络武器工具。

信息来源:国家计算机病毒应急处理中心

03

网络攻击层出不穷,如何应对?

有关数据显示,网络攻击的危害正在变大,从以前的黑客个人炫技、黑产,发展成为有规模有组织的网军,实施攻击的领域也越来越大。从上网计算机、信息网络,扩展到军用、民用等各种关键信息基础设施,各类层出不穷的网络安全事件也告诉我们,网络攻击行为会给网络空间甚至现实世界造成巨大破坏。

如今,密码技术已经成为保障网络与信息安全的重要支撑,但是密码技术一旦有漏洞,就会产生一系列网络安全方面的问题,网络武器“饮茶”便是通过技术手段突破防护,进行一系列解密、解码等后续行为来进行嗅探窃密的。可以说,密码技术是数字时代的基础性核心技术之一,谁掌控密码技术的先导权,谁就拥有控制相应网络与信息的能力。

2020年1月开始施行的《密码法》全面提升了密码工作法治化和现代化水平,保障国家政治安全、经济安全、国防安全和信息安全,是维护国家网络空间主权安全的重要举措,具有十分重要的意义。《密码法》推动构建以密码技术为核心、多种技术交叉融合的网络空间新安全体制,把密码应用和管理的基本制度及时上升为法律规范。

网络安全就是国家安全,在网络环境如此严峻的当下,我们更应努力攻坚克难,为服务国家重大需求、密码相关理论关键技术研究与研发再上台阶作出自己的努力,为网络安全保驾护航。

◆ ◆ ◆ ◆

关于工程中心

信息安全共性技术国家工程研究中心以增强我国信息安全产业核心竞争力为目标,开展信息安全保障体系相关的国家信息安全战略、安全体系结构共性支撑技术和相关标准的研究;推动信息安全领域共性支撑技术标准化、科技成果转化和相关产品的产业化;为信息系统安全建设提供建设规划、顶层设计、咨询和测试评估服务;承担信息安全系统建设规划、信息安全顶层设计的人才培养等任务。






工程中心作为国内少数同时具备“等保”和“密评”双资质的测评机构,近年来在商用密码应用安全性评估方面不断发力,推出了包含信息系统密码安全性评估、信息系统密码应用方案评估、信息系统密码应用方案设计咨询等多项密码相关的专业综合服务,以工程中心专家级科研团队与专业的服务团队为保障,为客户提供覆盖众多网络信息安全需求的专业化服务。

美国NSA网络攻击西工大更多技术细节被公开,小心饮茶!

原文始发于微信公众号(信息安全国家工程研究中心):美国NSA网络攻击西工大更多技术细节被公开,小心“饮茶”!

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月15日23:42:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  美国NSA网络攻击西工大更多技术细节被公开,小心饮茶! http://cn-sec.com/archives/1298153.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: