當前位置：新聞 > 中國新聞 > 正文

飲茶分析報告發(fā)布透露?西北工大遭美網(wǎng)襲新細節(jié)(2)

2022-09-13 11:06:22 來源：新京報 A+A-

配置模塊的主要功能是讀取攻擊者遠程投送的xml格式配置文件中的指令和匹配規(guī)則，并生成二進制配置文件，從而由“監(jiān)視模塊”和“間諜模塊”調(diào)用后在受害主機上查找相關內(nèi)容。如圖4、圖5所示。

飲茶分析報告發(fā)布透露西北工大遭美網(wǎng)襲新細節(jié)

（五）間諜模塊

間諜模塊的主要功能是按照攻擊者下發(fā)的指令和規(guī)則從受害主機上提取相應的敏感信息并輸出到指定位置。

飲茶分析報告發(fā)布透露西北工大遭美網(wǎng)襲新細節(jié)

（六）其他模塊

在分析過程中，我們還發(fā)現(xiàn)另外兩個模塊，分別是配置文件生成模塊和守護者模塊。其中，配置文件生成模塊的功能可能是生成ini臨時配置文件，而守護者模塊與間諜模塊具有很高的代碼相似性，可能是為不同版本系統(tǒng)生產(chǎn)的變種。

三、總結(jié)

基于上述分析結(jié)果，技術分析團隊認為，“飲茶”編碼復雜，高度模塊化，支持多線程，適配操作系統(tǒng)環(huán)境廣泛，包括FreeBSD、Sun Solaris系統(tǒng)以及Debian、RedHat、Centos、Ubuntu等多種Linux發(fā)行版，反映出開發(fā)者先進的軟件工程化能力。“飲茶”還具有較好的開放性，可以與其他網(wǎng)絡武器有效進行集成和聯(lián)動，其采用加密和校驗等方式加強了自身安全性和隱蔽性，并且其通過靈活的配置功能，不僅可以提取登錄用戶名密碼等信息，理論上也可以提取所有攻擊者想獲取的信息，是功能先進，隱蔽性強的強大網(wǎng)絡武器工具。

在此次針對西北工業(yè)大學的攻擊中，美國NSA下屬特定入侵行動辦公室（TAO）使用“飲茶”作為嗅探竊密工具，將其植入西北工業(yè)大學內(nèi)部網(wǎng)絡服務器，竊取了SSH、TELNET、FTP、SCP等遠程管理和遠程文件傳輸服務的登錄密碼，從而獲得內(nèi)網(wǎng)中其他服務器的訪問權限，實現(xiàn)內(nèi)網(wǎng)橫向移動，并向其他高價值服務器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網(wǎng)絡武器，造成大規(guī)模、持續(xù)性敏感數(shù)據(jù)失竊。隨著調(diào)查的逐步深入，技術團隊還在西北工業(yè)大學之外的其他機構網(wǎng)絡中發(fā)現(xiàn)了“飲茶”的攻擊痕跡，很可能是TAO利用“飲茶”對中國發(fā)動了大規(guī)模的網(wǎng)絡攻擊活動。

首頁上一頁 12共 2 頁

(責任編輯：王藝萌)