当前位置：新闻 > 中国新闻 > 正文

饮茶分析报告发布透露西北工大遭美网袭新细节(2)

2022-09-13 11:06:22 来源：新京报 A+A-

配置模块的主要功能是读取攻击者远程投送的xml格式配置文件中的指令和匹配规则，并生成二进制配置文件，从而由“监视模块”和“间谍模块”调用后在受害主机上查找相关内容。如图4、图5所示。

饮茶分析报告发布透露西北工大遭美网袭新细节

（五）间谍模块

间谍模块的主要功能是按照攻击者下发的指令和规则从受害主机上提取相应的敏感信息并输出到指定位置。

饮茶分析报告发布透露西北工大遭美网袭新细节

（六）其他模块

在分析过程中，我们还发现另外两个模块，分别是配置文件生成模块和守护者模块。其中，配置文件生成模块的功能可能是生成ini临时配置文件，而守护者模块与间谍模块具有很高的代码相似性，可能是为不同版本系统生产的变种。

三、总结

基于上述分析结果，技术分析团队认为，“饮茶”编码复杂，高度模块化，支持多线程，适配操作系统环境广泛，包括FreeBSD、Sun Solaris系统以及Debian、RedHat、Centos、Ubuntu等多种Linux发行版，反映出开发者先进的软件工程化能力。“饮茶”还具有较好的开放性，可以与其他网络武器有效进行集成和联动，其采用加密和校验等方式加强了自身安全性和隐蔽性，并且其通过灵活的配置功能，不仅可以提取登录用户名密码等信息，理论上也可以提取所有攻击者想获取的信息，是功能先进，隐蔽性强的强大网络武器工具。

在此次针对西北工业大学的攻击中，美国NSA下属特定入侵行动办公室（TAO）使用“饮茶”作为嗅探窃密工具，将其植入西北工业大学内部网络服务器，窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的访问权限，实现内网横向移动，并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。随着调查的逐步深入，技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹，很可能是TAO利用“饮茶”对中国发动了大规模的网络攻击活动。

首页上一页 12共 2 页

(责任编辑：王艺萌)