美國國家安全局(NSA)總部,馬裡蘭州米德堡
《環球時報》記者13日從相關部門獲悉,在西北工業大學遭受美國國家安全局(NSA)網絡攻擊事件中,名為“飲茶”的嗅探竊密類網絡武器是導緻大量敏感資料遭竊的最直接“罪魁禍首”之一。對此,網絡安全專家建議,在資訊化建設過程中,建議選用國産化産品和“零信任”安全解決方案。
9月5日,中國相關部門對外界宣布,此前西北工業大學聲明遭受境外網絡攻擊,攻擊方是美國國家安全局(NSA)特定入侵行動辦公室(TAO)。此後國家計算機病毒應急進行中心與北京奇安盤古實驗室對此次入侵事件進一步深入分析,在最新的調查報告中,美國實施攻擊的技術細節被公開:即在41種網絡武器中名為“飲茶”的嗅探竊密類網絡武器就是導緻大量敏感資料遭竊的最直接“罪魁禍首”之一。
相關網絡安全專家介紹,TAO使用“飲茶”作為嗅探竊密工具,将其植入西北工業大學内部網絡伺服器,竊取了SSH等遠端管理和遠端檔案傳輸服務的登入密碼,進而獲得内網中其他伺服器的通路權限,實作内網橫向移動,并向其他高價值伺服器投送其他嗅探竊密類、持久化控制類和隐蔽消痕類網絡武器,造成大規模、持續性敏感資料失竊。
經技術分析與研判,“飲茶”不僅能夠竊取所在伺服器上的多種遠端管理和遠端檔案傳輸服務的賬号密碼,并且具有很強的隐蔽性和環境适應性。上文中的網絡安全專家稱,“飲茶”被植入目标伺服器和網絡裝置後,會将自身僞裝成正常的背景服務程序,并且采用子產品化方式,分階段投送惡意負載,具有很強的隐蔽性,發現難度很大。“飲茶”可以在伺服器上隐蔽運作,實時監視使用者在作業系統控制台終端程式上的輸入,并從中截取各類使用者名密碼,如同站在使用者背後的“偷窺者”。網絡安全專家介紹:“一旦這些使用者名密碼被TAO擷取,就可以被用于進行下一階段的攻擊,即使用這些使用者名密碼通路其他伺服器和網絡裝置,進而竊取伺服器上的檔案或投送其他網絡武器。”
技術分析表明,“飲茶”可以與NSA其他網絡武器有效進行內建和關聯,實作“無縫對接”。今年2月份,北京奇安盤古實驗室公開披露了隸屬于美國國家安全局(NSA)黑客組織——“方程式”專屬的頂級武器“電幕行動”(Bvp47)的技術分析,其被用于奇安盤古命名為“電幕行動”的攻擊活動中。在TAO此次對西北工業大學實施網絡攻擊的事件中,“飲茶”嗅探竊密工具與Bvp47木馬程式其他元件配合實施聯合攻擊。根據介紹, Bvp47木馬具有極高的技術複雜度、架構靈活性以及超高強度的分析驗證對抗特性,與“飲茶”元件配合用于窺視并控制受害組織資訊網絡,秘密竊取重要資料。其中,“飲茶”嗅探木馬秘密潛伏在受害機構的資訊系統中,專門負責偵聽、記錄、回送“戰果”——受害者使用的賬号和密碼,不論其是在内網還是外網中。
報告還指出,随着調查的逐漸深入,技術團隊還在西北工業大學之外的其他機構網絡中發現了“飲茶”的攻擊痕迹,很可能是TAO利用“飲茶”對中國發動大規模的網絡攻擊活動。
值得注意的是,在美國對他國實施的多次網絡攻擊活動中,反複出現美國IT産業巨頭的身影。例如在“棱鏡”計劃中,美國情治部門掌握進階管理者權限,能夠随時進入微軟、雅虎、谷歌、蘋果等公司的伺服器中,長期秘密進行資料挖掘。在“影子經紀人”公布的“方程式”組織所使用的黑客工具中,也多次出現了微軟、思科甚至中國部分網際網路服務商旗下産品的“零日漏洞”(0Day)或者後門。“美國正在利用其在網絡資訊系統軟硬體領域的技術主導地位,在美國IT産業巨頭的全面配合下,利用多種尖端網絡武器,在全球範圍發動無差别的網絡攻擊,持續竊取世界各地網際網路裝置的賬号密碼,以備後續随時‘合法’登入受害者資訊系統,實施更大規模的竊密甚至破壞活動,其網絡霸權行徑顯露無遺。”是以,網絡安全專家建議使用者對關鍵伺服器尤其是網絡運維伺服器進行加強,定期更改伺服器和網絡裝置的管理者密碼,并加強對内網網絡流量的審計,及時發現異常的遠端通路請求。同時,在資訊化建設過程中,建議選用國産化産品和“零信任”安全解決方案。(“零信任”是新一代的網絡安全防護理念,預設不信任企業網絡内外的任何人、裝置和系統。)
這位專家進一步指出,無論是資料竊取還是系統毀滅癱瘓,網絡攻擊行為都會給網絡空間甚至現實世界造成巨大破壞,尤其是針對重要關鍵資訊基礎設施的攻擊行為,“網絡空間很大程度是實體空間的映射,網絡活動輕易跨越國境的特性使之成為持續性鬥争的先導。沒有網絡安全就沒有國家安全,隻有要發展我們在科技領域的非對稱競争優勢,才能建立起屬于中國的、獨立自主的網絡防護和對抗能力。”
來源:環球時報
記者:袁宏
監制:關開亮
編輯:李永錫、馬骁駒
多加小心!