《美國NSA網路武器“飲茶”分析報告》是國家計算機病毒應急處理中心2022年9月13日發布的報告。
基本介紹
- 中文名:美國NSA網路武器“飲茶”分析報告
- 發布單位:國家計算機病毒應急處理中心
- 發布時間:2022年9月13日
報告背景,報告全文,
報告背景
2022年9月5日,國家計算機病毒應急處理中心和360公司分別發布了關於西北工業大學遭受境外網路攻擊的調查報告,調查發現,美國國家安全局下屬的“特定入侵行動辦公室”多年來對我國國內的網路目標實施了上萬次的惡意網路攻擊,控制了相關網路設備,疑似竊取了高價值數據。
報告全文
一、概述
國家計算機病毒應急處理中心在對西北工業大學遭境外網路攻擊事件進行調查過程中,在西北工業大學的網路伺服器設備上發現了美國國家安全局(NSA)專用的網路武器“飲茶”(NSA命名為“suctionchar”)(參見我中心2022年9月5日發布的《西北工業大學遭美國NSA網路攻擊事件調查報告(之一)》)。國家計算機病毒應急處理中心聯合奇安信公司對該網路武器進行了技術分析,分析結果表明,該網路武器為“嗅探竊密類武器”,主要針對Unix/Linux平台,其主要功能是對目標主機上的遠程訪問賬號密碼進行竊取。
二、技術分析
經技術分析與研判,該網路武器針對Unix/Linux平台,與其他網路武器配合,攻擊者可通過推送配置檔案的方式控制該惡意軟體執行特定竊密任務,該網路武器的主要目標是獲取用戶輸入的各種用戶名密碼,包括SSH、TELNET、FTP和其他遠程服務登錄密碼,也可根據配置竊取保存在其他位置的用戶名密碼信息。
該網路武器包含“驗證模組(authenticate)”、“解密模組(decrypt)”、“解碼模組(decode)”、“配置模組”、“間諜模組(agent)”等多個組成部分,其主要工作流程和技術分析結果如下:
(一)驗證模組
驗證模組的主要功能是在“飲茶”被調用前驗證其調用者(父進程)的身份,隨後進行解密、解碼以載入其他惡意軟體模組。如圖1所示。
驗證模組
(二)解密模組
解密模組是通用模組,可被其他模組調用對指定檔案進行解密,採用了與NOPEN遠控木馬(參見《“NOPEN”遠控木馬分析報告》)類似的RSA+RC6加密算法。如圖2所示。
解密模組
(三)解碼模組
與解密模組類似,解碼模組也是通用模組,可以被其他模組調用對指定檔案進行解碼,但採用了自編碼算法。如圖3所示。
解碼模組
(四)配置模組
配置模組的主要功能是讀取攻擊者遠程投送的xml格式配置檔案中的指令和匹配規則,並生成二進制配置檔案,從而由“監視模組”和“間諜模組”調用後在受害主機上查找相關內容。如圖4、圖5所示。
配置模組
配置模組
(五)間諜模組
間諜模組的主要功能是按照攻擊者下發的指令和規則從受害主機上提取相應的敏感信息並輸出到指定位置。
間諜模組
(六)其他模組
在分析過程中,我們還發現另外兩個模組,分別是配置檔案生成模組和守護者模組。其中,配置檔案生成模組的功能可能是生成ini臨時配置檔案,而守護者模組與間諜模組具有很高的代碼相似性,可能是為不同版本系統生產的變種。
三、總結
基於上述分析結果,技術分析團隊認為,“飲茶”編碼複雜,高度模組化,支持多執行緒,適配作業系統環境廣泛,包括FreeBSD、Sun Solaris系統以及Debian、RedHat、Centos、Ubuntu等多種Linux發行版,反映出開發者先進的軟體工程化能力。“飲茶”還具有較好的開放性,可以與其他網路武器有效進行集成和聯動,其採用加密和校驗等方式加強了自身安全性和隱蔽性,並且其通過靈活的配置功能,不僅可以提取登錄用戶名密碼等信息,理論上也可以提取所有攻擊者想獲取的信息,是功能先進,隱蔽性強的強大網路武器工具。
在此次針對西北工業大學的攻擊中,美國NSA下屬特定入侵行動辦公室(TAO)使用“飲茶”作為嗅探竊密工具,將其植入西北工業大學內部網路伺服器,竊取了SSH、TELNET、FTP、SCP等遠程管理和遠程檔案傳輸服務的登錄密碼,從而獲得區域網路中其他伺服器的訪問許可權,實現區域網路橫向移動,並向其他高價值伺服器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網路武器,造成大規模、持續性敏感數據失竊。隨著調查的逐步深入,技術團隊還在西北工業大學之外的其他機構網路中發現了“飲茶”的攻擊痕跡,很可能是TAO利用“飲茶”對中國發動了大規模的網路攻擊活動。
