中方揪出美网攻暗器 “饮茶”曝光

被美国国安局网络攻击的西工大是内地科研重镇。图为西工大研发的火箭与研究团队。

13日，国家计算机病毒应急处理中心发布《美国NSA网络武器“饮茶”分析报告》。报告显示，在西北工业大学遭受美国国家安全局（NSA）网络攻击事件中，名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。“饮茶”可以在服务器上无痕迹运行，实时监视用户行动，并大规模截取各类用户名、密码回传NSA，如同站在用户背后的“偷窥者”。外交部发言人毛宁13日在例行记者会上表示，中方已要求美方对恶意网络攻击作出解释并立即停止不法行为，但是迄今我们还没有得到美方实质性回应。

9月5日，中国相关部门对外界宣布，此前西北工业大学声明遭受境外网络攻击，攻击方是NSA特定入侵行动办公室（下称TAO）。此后国家计算机病毒应急处理中心与北京奇安盘古实验室对此次入侵事件进一步深入分析，在最新的调查报告中，美国实施攻击的技术细节被公开：即在41种网络武器中名为“饮茶”的嗅探窃密类网络武器就是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。

伪装后台程序用户难发现

相关网络安全专家介绍，TAO使用“饮茶”作为嗅探窃密工具，将其植入西北工业大学内部网络服务器，窃取了SSH等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的访问权限，实现内网横向移动，并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。

经技术分析与研判，“饮茶”不仅能够窃取所在服务器上的多种远程管理和远程文件传输服务的账号密码，并且具有很强的隐蔽性和环境适应性。专家称，“饮茶”被植入目标服务器和网络设备后，会将自身伪装成正常的后台服务进程，并且采用模块化方式，分阶段投送恶意负载，具有很强的隐蔽性，发现难度很大。“饮茶”可以在服务器上隐蔽运行，实时监视用户在操作系统控制台终端程序上的输入，并从中截取各类用户名密码，如同站在用户背后的“偷窥者”。

专家建言选用国产方案

报告还指出，随着调查的逐步深入，技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹，很可能是TAO利用“饮茶”对中国发动大规模的网络攻击活动。网络安全专家建议用户对关键服务器尤其是网络运维服务器进行加固，定期更改服务器和网络设备的管理员口令，并加强对内网网络流量的审计，及时发现异常的远程访问请求。建议选用国产化产品和“零信任”安全解决方案。

外交部发言人毛宁在13日的例行记者会上表示，中方已通过多个渠道要求美方对恶意网络攻击作出解释并立即停止不法行为，但是迄今我们还没有得到美方实质性回应。毛宁强调，美方行径严重侵犯中国有关机构的技术秘密，严重危害中国关键基础设施安全、机构和个人信息安全。美方有关行为必须立即停止，并作出负责任的解释。