西工大被美國網路攻擊又一重要細節曝光!要小心「飲茶」!
2022-09-29 08:26 作者:dl001 來源:環球時報 閱覽:
《環球時報》記者13日從相關部門獲悉,在西北工業大學遭受美國國家安全局(NSA)網路攻擊事件中,名為「飲茶」的嗅探竊密類網路武器是導致大量敏感數據遭竊的最直接「罪魁禍首」之一。對此,網路安全專家建議,在資訊化建設過程中,建議選用國產化產品和「零信任」安全解決方案。
9月5日,中國相關部門對外界宣布,此前西北工業大學聲明遭受境外網路攻擊,攻擊方是美國國家安全局(NSA)特定入侵行動辦公室(TAO)。此後國家計算機病毒應急處理中心與北京奇安盤古實驗室對此次入侵事件進一步深入分析,在最新的調查報告中,美國實施攻擊的技術細節被公開:即在41種網路武器中名為「飲茶」的嗅探竊密類網路武器就是導致大量敏感數據遭竊的最直接「罪魁禍首」之一。
相關網路安全專家介紹,TAO使用「飲茶」作為嗅探竊密工具,將其植入西北工業大學內部網路伺服器,竊取了SSH等遠程管理和遠程文件傳輸服務的登錄密碼,從而獲得內網中其他伺服器的訪問權限,實現內網橫向移動,並向其他高價值伺服器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網路武器,造成大規模、持續性敏感數據失竊。
經技術分析與研判,「飲茶」不僅能夠竊取所在伺服器上的多種遠程管理和遠程文件傳輸服務的賬號密碼,並且具有很強的隱蔽性和環境適應性。上文中的網路安全專家稱,「飲茶」被植入目標伺服器和網路設備後,會將自身偽裝成正常的後臺服務進程,並且採用模塊化方式,分階段投送惡意負載,具有很強的隱蔽性,發現難度很大。「飲茶」可以在伺服器上隱蔽運行,實時監視用戶在作業系統控制臺終端程式上的輸入,並從中截取各類用戶名密碼,如同站在用戶背後的「偷窺者」。網路安全專家介紹:「一旦這些用戶名密碼被TAO獲取,就可以被用於進行下一階段的攻擊,即使用這些用戶名密碼訪問其他伺服器和網路設備,進而竊取伺服器上的文件或投送其他網路武器。」
技術分析表明,「飲茶」可以與NSA其他網路武器有效進行集成和聯動,實現「無縫對接」。今年2月份,北京奇安盤古實驗室公開披露了隸屬於美國國家安全局(NSA)駭客組織——「方程式」專屬的頂級武器「電幕行動」(Bvp47)的技術分析,其被用於奇安盤古命名為「電幕行動」的攻擊活動中。在TAO此次對西北工業大學實施網路攻擊的事件中,「飲茶」嗅探竊密工具與Bvp47木馬程式其他組件配合實施聯合攻擊。根據介紹, Bvp47木馬具有極高的技術複雜度、架構靈活性以及超高強度的分析取證對抗特性,與「飲茶」組件配合用於窺視並控制受害組織資訊網路,秘密竊取重要數據。其中,「飲茶」嗅探木馬秘密潛伏在受害機構的資訊系統中,專門負責偵聽、記錄、回送「戰果」——受害者使用的賬號和密碼,不論其是在內網還是外網中。
技術分析表明,「飲茶」可以與NSA其他網路武器有效進行集成和聯動,實現「無縫對接」。今年2月份,北京奇安盤古實驗室公開披露了隸屬於美國國家安全局(NSA)駭客組織——「方程式」專屬的頂級武器「電幕行動」(Bvp47)的技術分析,其被用於奇安盤古命名為「電幕行動」的攻擊活動中。在TAO此次對西北工業大學實施網路攻擊的事件中,「飲茶」嗅探竊密工具與Bvp47木馬程式其他組件配合實施聯合攻擊。根據介紹, Bvp47木馬具有極高的技術複雜度、架構靈活性以及超高強度的分析取證對抗特性,與「飲茶」組件配合用於窺視並控制受害組織資訊網路,秘密竊取重要數據。其中,「飲茶」嗅探木馬秘密潛伏在受害機構的資訊系統中,專門負責偵聽、記錄、回送「戰果」——受害者使用的賬號和密碼,不論其是在內網還是外網中。
資料圖
報告還指出,隨著調查的逐步深入,技術團隊還在西北工業大學之外的其他機構網路中發現了「飲茶」的攻擊痕跡,很可能是TAO利用「飲茶」對中國發動大規模的網路攻擊活動。
值得注意的是,在美國對他國實施的多次網路攻擊活動中,反復出現美國IT產業巨頭的身影。例如在「稜鏡」計畫中,美國情治部門掌握高級管理員權限,能夠隨時進入微軟、雅虎、谷歌、蘋果等公司的伺服器中,長期秘密進行數據挖掘。在「影子經紀人」公佈的「方程式」組織所使用的駭客工具中,也多次出現了微軟、思科甚至中國部分互聯網服務商旗下產品的「零日漏洞」(0Day)或者後門。「美國正在利用其在網路資訊系統軟硬體領域的技術主導地位,在美國IT產業巨頭的全面配合下,利用多種尖端網路武器,在全球範圍發動無差別的網路攻擊,持續竊取世界各地互聯網設備的賬號密碼,以備後續隨時『合法』登錄受害者資訊系統,實施更大規模的竊密甚至破壞活動,其網路霸權行徑顯露無疑。」因此,網路安全專家建議用戶對關鍵伺服器尤其是網路運維伺服器進行加固,定期更改伺服器和網路設備的管理員口令,並加強對內網網路流量的審計,及時發現異常的遠程訪問請求。同時,在資訊化建設過程中,建議選用國產化產品和「零信任」安全解決方案。(「零信任」是新一代的網路安全防護理念,默認不信任企業網路內外的任何人、設備和系統。)
這位專家進一步指出,無論是數據竊取還是系統毁滅癱瘓,網路攻擊行為都會給網路空間甚至現實世界造成巨大破壞,尤其是針對重要關鍵資訊基礎設施的攻擊行為,「網路空間很大程度是物理空間的映射,網路活動輕易跨越國境的特性使之成為持續性鬥爭的先導。沒有網路安全就沒有國家安全,只有要發展我們在科技領域的非對稱競爭優勢,才能建立起屬於中國的、獨立自主的網路防護和對抗能力。」(特約記者袁宏)
報告還指出,隨著調查的逐步深入,技術團隊還在西北工業大學之外的其他機構網路中發現了「飲茶」的攻擊痕跡,很可能是TAO利用「飲茶」對中國發動大規模的網路攻擊活動。
值得注意的是,在美國對他國實施的多次網路攻擊活動中,反復出現美國IT產業巨頭的身影。例如在「稜鏡」計畫中,美國情治部門掌握高級管理員權限,能夠隨時進入微軟、雅虎、谷歌、蘋果等公司的伺服器中,長期秘密進行數據挖掘。在「影子經紀人」公佈的「方程式」組織所使用的駭客工具中,也多次出現了微軟、思科甚至中國部分互聯網服務商旗下產品的「零日漏洞」(0Day)或者後門。「美國正在利用其在網路資訊系統軟硬體領域的技術主導地位,在美國IT產業巨頭的全面配合下,利用多種尖端網路武器,在全球範圍發動無差別的網路攻擊,持續竊取世界各地互聯網設備的賬號密碼,以備後續隨時『合法』登錄受害者資訊系統,實施更大規模的竊密甚至破壞活動,其網路霸權行徑顯露無疑。」因此,網路安全專家建議用戶對關鍵伺服器尤其是網路運維伺服器進行加固,定期更改伺服器和網路設備的管理員口令,並加強對內網網路流量的審計,及時發現異常的遠程訪問請求。同時,在資訊化建設過程中,建議選用國產化產品和「零信任」安全解決方案。(「零信任」是新一代的網路安全防護理念,默認不信任企業網路內外的任何人、設備和系統。)
這位專家進一步指出,無論是數據竊取還是系統毁滅癱瘓,網路攻擊行為都會給網路空間甚至現實世界造成巨大破壞,尤其是針對重要關鍵資訊基礎設施的攻擊行為,「網路空間很大程度是物理空間的映射,網路活動輕易跨越國境的特性使之成為持續性鬥爭的先導。沒有網路安全就沒有國家安全,只有要發展我們在科技領域的非對稱競爭優勢,才能建立起屬於中國的、獨立自主的網路防護和對抗能力。」(特約記者袁宏)
