今天,國家計算機病毒應急中心釋出《美國NSA網絡武器“飲茶”分析報告》,詳情如下:
一、概述
國家計算機病毒應急進行中心在對西北工業大學遭境外網絡攻擊事件進行調查過程中,在西北工業大學的網絡伺服器裝置上發現了美國國家安全局(NSA)專用的網絡武器“飲茶”(NSA命名為“suctionchar”)(參見我中心2022年9月5日釋出的《西北工業大學遭美國NSA網絡攻擊事件調查報告(之一)》)。國家計算機病毒應急進行中心聯合奇安信公司對該網絡武器進行了技術分析,分析結果表明,該網絡武器為“嗅探竊密類武器”,主要針對Unix/Linux平台,其主要功能是對目标主機上的遠端通路賬号密碼進行竊取。
二、技術分析
經技術分析與研判,該網絡武器針對Unix/Linux平台,與其他網絡武器配合,攻擊者可通過推送配置檔案的方式控制該惡意軟體執行特定竊密任務,該網絡武器的主要目标是擷取使用者輸入的各種使用者名密碼,包括SSH、TELNET、FTP和其他遠端服務登入密碼,也可根據配置竊取儲存在其他位置的使用者名密碼資訊。
該網絡武器包含“驗證子產品(authenticate)”、“解密子產品(decrypt)”、“解碼子產品(decode)”、“配置子產品”、“間諜子產品(agent)”等多個組成部分,其主要工作流程和技術分析結果如下:
(一)驗證子產品
驗證子產品的主要功能是在“飲茶”被調用前驗證其調用者(父程序)的身份,随後進行解密、解碼以加載其他惡意軟體子產品。如圖1所示。
(二)解密子產品
解密子產品是通用子產品,可被其他子產品調用對指定檔案進行解密,采用了與NOPEN遠控木馬(參見《“NOPEN”遠控木馬分析報告》)類似的RSA+RC6加密算法。如圖2所示。
(三)解碼子產品
與解密子產品類似,解碼子產品也是通用子產品,可以被其他子產品調用對指定檔案進行解碼,但采用了自編碼算法。如圖3所示。
(四)配置子產品
配置子產品的主要功能是讀取攻擊者遠端投送的xml格式配置檔案中的指令和比對規則,并生成二進制配置檔案,進而由“監視子產品”和“間諜子產品”調用後在受害主機上查找相關内容。如圖4、圖5所示。
(五)間諜子產品
間諜子產品的主要功能是按照攻擊者下發的指令和規則從受害主機上提取相應的敏感資訊并輸出到指定位置。
(六)其他子產品
在分析過程中,我們還發現另外兩個子產品,分别是配置檔案生成子產品和守護者子產品。其中,配置檔案生成子產品的功能可能是生成ini臨時配置檔案,而守護者子產品與間諜子產品具有很高的代碼相似性,可能是為不同版本系統生産的變種。
三、總結
基于上述分析結果,技術分析團隊認為,“飲茶”編碼複雜,高度子產品化,支援多線程,适配作業系統環境廣泛,包括FreeBSD、Sun Solaris系統以及Debian、RedHat、Centos、Ubuntu等多種Linux發行版,反映出開發者先進的軟體工程化能力。“飲茶”還具有較好的開放性,可以與其他網絡武器有效進行內建和關聯,其采用加密和校驗等方式加強了自身安全性和隐蔽性,并且其通過靈活的配置功能,不僅可以提取登入使用者名密碼等資訊,理論上也可以提取所有攻擊者想擷取的資訊,是功能先進,隐蔽性強的強大網絡武器工具。
在此次針對西北工業大學的攻擊中,美國NSA下屬特定入侵行動辦公室(TAO)使用“飲茶”作為嗅探竊密工具,将其植入西北工業大學内部網絡伺服器,竊取了SSH、TELNET、FTP、SCP等遠端管理和遠端檔案傳輸服務的登入密碼,進而獲得内網中其他伺服器的通路權限,實作内網橫向移動,并向其他高價值伺服器投送其他嗅探竊密類、持久化控制類和隐蔽消痕類網絡武器,造成大規模、持續性敏感資料失竊。随着調查的逐漸深入,技術團隊還在西北工業大學之外的其他機構網絡中發現了“飲茶”的攻擊痕迹,很可能是TAO利用“飲茶”對中國發動了大規模的網絡攻擊活動。
(總台央視記者 陳雷 張崗)
來源:央視新聞用戶端