“飲茶”可長期駐留在32位或64位的Solaris系統中,通過嗅探進程間通信的方式獲取ssh、telnet、rlogin等多種遠程登錄方式下暴露的賬號口令。
TAO主要使用該武器嗅探西北工業大學業務人員實施運維工作時產生的賬號口令、操作記錄、日誌檔案等,壓縮加密存儲後供NOPEN木馬下載。
基本介紹
- 中文名:飲茶
- 類型:嗅探竊密類網路武器
定義,特點,事件,
定義
“飲茶”的嗅探竊密類網路武器是導致大量敏感數據遭竊的最直接“罪魁禍首”之一。
特點
“飲茶”不僅能夠竊取所在伺服器上的多種遠程管理和遠程檔案傳輸服務的賬號密碼,並且具有很強的隱蔽性和環境適應性。“飲茶”被植入目標伺服器和網路設備後,會將自身偽裝成正常的後台服務進程,並且採用模組化方式,分階段投送惡意負載,具有很強的隱蔽性,發現難度很大。“飲茶”可以在伺服器上隱蔽運行,實時監視用戶在作業系統控制台終端程式上的輸入,並從中截取各類用戶名密碼,如同站在用戶背後的“偷窺者”。
事件
西北工業大學遭受美國國家安全局(NSA)網路攻擊事件
2022年9月5日,中國相關部門對外界宣布,此前西北工業大學聲明遭受境外網路攻擊,攻擊方是美國國家安全局(NSA)特定入侵行動辦公室(TAO)。此後國家計算機病毒應急處理中心與北京奇安盤古實驗室對此次入侵事件進一步深入分析,在最新的調查報告中,美國實施攻擊的技術細節被公開:即在41種網路武器中名為“飲茶”的嗅探竊密類網路武器就是導致大量敏感數據遭竊的最直接“罪魁禍首”之一。
TAO使用“飲茶”作為嗅探竊密工具,將其植入西北工業大學內部網路伺服器,竊取了SSH等遠程管理和遠程檔案傳輸服務的登錄密碼,從而獲得區域網路中其他伺服器的訪問許可權,實現區域網路橫向移動,並向其他高價值伺服器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網路武器,造成大規模、持續性敏感數據失竊。
2022年6月22日,西北工業大學發布《公開聲明》稱,遭受境外網路攻擊,TAO通過在西北工業大學運維管理伺服器安裝嗅探工具“飲茶”,長期隱蔽嗅探竊取西北工業大學運維管理人員遠程維護管理信息,包含網路邊界設備賬號口令、業務設備訪問許可權、路由器等設備配置信息等。
