袁宏

《環(huán)球時(shí)報(bào)》記者13日從相關(guān)部門(mén)獲悉，在西北工業(yè)大學(xué)遭受美國(guó)國(guó)家安全局(NSA)網(wǎng)絡(luò)攻擊事件中，名為“飲茶”的嗅探竊密類(lèi)網(wǎng)絡(luò)武器是導(dǎo)致大量敏感數(shù)據(jù)遭竊的最直接“罪魁禍?zhǔn)住敝瓼。對(duì)此，網(wǎng)絡(luò)安全專(zhuān)家建議，在信息化建設(shè)過(guò)程中，選用國(guó)產(chǎn)化產(chǎn)品和“零信任“安全解決方案。

9月5日，中國(guó)相關(guān)部門(mén)對(duì)外宣布，西北工業(yè)大學(xué)遭境外網(wǎng)絡(luò)攻擊的“真兇”是NSA特定入侵行動(dòng)辦公室(TAO)。此后國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心與北京奇安盤(pán)古實(shí)驗(yàn)室對(duì)此次入侵事件進(jìn)一步深入分析，在最新的調(diào)查報(bào)告中，美國(guó)實(shí)施攻擊的技術(shù)細(xì)節(jié)被公開(kāi)：即在41種網(wǎng)絡(luò)武器中，名為“飲茶”的嗅探竊密類(lèi)網(wǎng)絡(luò)武器就是導(dǎo)致大量敏感數(shù)據(jù)遭竊的最直接“罪魁禍?zhǔn)住敝弧?/p>

經(jīng)技術(shù)分析與研判，“飲茶”不僅能夠竊取所在服務(wù)器上的多種遠(yuǎn)程管理和遠(yuǎn)程文件傳輸服務(wù)的賬號(hào)密碼，并且具有很強(qiáng)的隱蔽性和環(huán)境適應(yīng)性。上文中的網(wǎng)絡(luò)安全專(zhuān)家稱(chēng)，“飲茶”被植入目標(biāo)服務(wù)器和網(wǎng)絡(luò)設(shè)備后，會(huì)將自身偽裝成正常的后臺(tái)服務(wù)進(jìn)程，并且采用模塊化方式，分階段投送惡意負(fù)載，具有.很強(qiáng)的隱蔽性，發(fā)現(xiàn)難度很大?！帮嫴琛笨梢栽诜?wù)器上隱蔽運(yùn)行，實(shí)時(shí)監(jiān)視用戶(hù)在操作系統(tǒng)控制臺(tái)終端程序上的輸火，并從中截取各類(lèi)用戶(hù)名密碼，如同站在用戶(hù)背后的“偷窺者”。網(wǎng)絡(luò)安全專(zhuān)家介紹：“一旦這些用戶(hù)名密碼被TAO獲取，就可以被用于進(jìn)行下一階段的攻擊，即使用這些用戶(hù)名密碼訪問(wèn)其他服務(wù)器和網(wǎng)絡(luò)設(shè)備，進(jìn)而竊取服務(wù)器上的文件射投送其他網(wǎng)絡(luò)武器?！?/p>

據(jù)專(zhuān)象介紹，TAO使用“飲茶”作為嗅探竊密工具，將其植入西北工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)服務(wù)器，竊取SSH等遠(yuǎn)程管理和遠(yuǎn)程文件傳輸服務(wù)的登錄密碼，從而獲得內(nèi)網(wǎng)中其他服務(wù)器的訪問(wèn)權(quán)限，實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)，并向其他高價(jià)值服務(wù)器投送其他嗅探竊密類(lèi)、持久化控制類(lèi)和隱蔽消痕類(lèi)網(wǎng)絡(luò)武器，造成大規(guī)模、持續(xù)性敏感數(shù)據(jù)失竊。

技術(shù)分析表明，“飲茶”可以與NSA其他網(wǎng)絡(luò)武器有效進(jìn)行集成和聯(lián)動(dòng)，實(shí)現(xiàn)“無(wú)縫對(duì)接”。今年2月，北京奇安盤(pán)古實(shí)驗(yàn)室公開(kāi)披露隸屬于NSA的黑客組織—“方程式”專(zhuān)屬的頂級(jí)武器'“電幕行動(dòng)”(Bvp47)的技術(shù)分析，其被用于奇安盤(pán)古命名為“電幕行動(dòng)”的攻擊活動(dòng)中。在TAO此次對(duì)西北工業(yè)大學(xué)實(shí)施麗絡(luò)攻擊的事件中，“飲茶”嗅探竊密工具與Bvp47木馬程序其他組件配合實(shí)施聯(lián)合攻擊。據(jù)介紹，Bvp47木馬具有極高的技術(shù)復(fù)雜度、架構(gòu)靈活性及超高強(qiáng)度的分析取證對(duì)抗特性，與“飲茶”組件配合用于窺視并控制受害組織信息網(wǎng)絡(luò)，秘密竊取重要數(shù)據(jù)。其中，“飲茶”嗅探木馬秘密潛伏在受害機(jī)構(gòu)的信息系統(tǒng)中，專(zhuān)門(mén)負(fù)責(zé)偵聽(tīng)、記錄、回送“戰(zhàn)果”——受零者使用的賬號(hào)和密碼，不論其是在內(nèi)網(wǎng)還是外網(wǎng)中。

報(bào)告還指出，隨著調(diào)查的逐步深入，技術(shù)團(tuán)隊(duì)還在西北工業(yè)大學(xué)之外的其他機(jī)構(gòu)網(wǎng)絡(luò)中發(fā)現(xiàn)了“飲茶”的攻擊痕跡，很可能是TAO利用“飲茶”對(duì)中國(guó)發(fā)動(dòng)大規(guī)模的網(wǎng)絡(luò)攻擊活動(dòng)。

值得注意的是，在美國(guó)對(duì)他國(guó)實(shí)施的多次網(wǎng)絡(luò)攻擊活動(dòng)中，反復(fù)出現(xiàn)美國(guó)IT產(chǎn)業(yè)巨頭的身影。例如在“棱鏡”計(jì)劃中，美國(guó)情治部門(mén)掌握高級(jí)管理員權(quán)限，能夠隨時(shí)進(jìn)入微雅虎、谷歌、蘋(píng)果等公司的服務(wù)器中，長(zhǎng)期秘密進(jìn)行數(shù)據(jù)挖掘。在“影子經(jīng)紀(jì)人”公布的“方程式”組織房使用的黑客工具中，也多次出現(xiàn)微軟、思科甚至中國(guó)部分互聯(lián)網(wǎng)服務(wù)商旗下產(chǎn)品的“零日漏洞”（0Day）或者后門(mén)?！懊绹?guó)正利用其在網(wǎng)絡(luò)信息系統(tǒng)軟硬件領(lǐng)域的技術(shù)主導(dǎo)地位，在美國(guó)IT產(chǎn)業(yè)巨頭的全面配合下，利用多種尖端網(wǎng)絡(luò)武器，在全球范圍發(fā)動(dòng)無(wú)差別的網(wǎng)絡(luò)攻擊，持續(xù)竊取世界各地互聯(lián)網(wǎng)設(shè)備的賬號(hào)密碼，以備后續(xù)隨時(shí)合法登錄受害者信息系統(tǒng)；實(shí)施更大規(guī)模的竊密甚至破壞活動(dòng)，其網(wǎng)絡(luò)霸權(quán)行徑顯露無(wú)遺?！币虼?，網(wǎng)絡(luò)安全專(zhuān)家建議用戶(hù)對(duì)關(guān)鍵服務(wù)器尤其是網(wǎng)絡(luò)運(yùn)維服務(wù)器進(jìn)行加固，定期更改服務(wù)器和網(wǎng)絡(luò)設(shè)備的管理員口令，并加強(qiáng)對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)流量的審計(jì)，及時(shí)發(fā)現(xiàn)異常的遠(yuǎn)程訪問(wèn)請(qǐng)求。同時(shí)，在信息化建設(shè)過(guò)程中，建議選用國(guó)產(chǎn)化產(chǎn)品和“零信任”安全解決方案（“零信任”是新一代的網(wǎng)絡(luò)安全防護(hù)理念，默認(rèn)不信任企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)）。

這名專(zhuān)家進(jìn)一步指出，無(wú)論是數(shù)據(jù)竊取還是系統(tǒng)毀滅癱瘓，網(wǎng)絡(luò)攻擊行為都會(huì)給網(wǎng)絡(luò)空間甚至現(xiàn)實(shí)世界造成巨大破壞，尤其是針對(duì)重要關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊行為，“網(wǎng)絡(luò)空間很大程度是物理空間的映射，網(wǎng)絡(luò)活動(dòng)輕易跨越國(guó)境的特性使之成為持續(xù)性斗爭(zhēng)的先導(dǎo)。沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，只有發(fā)展我們?cè)诳萍碱I(lǐng)域的非對(duì)稱(chēng)競(jìng)爭(zhēng)優(yōu)勢(shì)，才能建立起屬于中國(guó)的、獨(dú)立自主的網(wǎng)絡(luò)防護(hù)和對(duì)抗能力”。