【环球时报-环球网报道 特约记者袁宏】《环球时报》记者13日从相关部门获悉,在西北工业大学遭受美国国家安全局(NSA)网络攻击事件中,名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。对此,网络安全专家建议,在信息化建设过程中,建议选用国产化产品和“零信任”安全解决方案。
9月5日,中国相关部门对外界宣布,此前西北工业大学声明遭受境外网络攻击,攻击方是美国国家安全局(NSA)特定入侵行动办公室(TAO)。此后国家计算机病毒应急处理中心与北京奇安盘古实验室对此次入侵事件进一步深入分析,在最新的调查报告中,美国实施攻击的技术细节被公开:即在41种网络武器中名为“饮茶”的嗅探窃密类网络武器就是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。
相关网络安全专家介绍,TAO使用“饮茶”作为嗅探窃密工具,将其植入西北工业大学内部网络服务器,窃取了SSH等远程管理和远程文件传输服务的登录密码,从而获得内网中其他服务器的访问权限,实现内网横向移动,并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器,造成大规模、持续性敏感数据失窃。
攻击场景流程
经技术分析与研判,“饮茶”不仅能够窃取所在服务器上的多种远程管理和远程文件传输服务的账号密码,并且具有很强的隐蔽性和环境适应性。上文中的网络安全专家称,“饮茶”被植入目标服务器和网络设备后,会将自身伪装成正常的后台服务进程,并且采用模块化方式,分阶段投送恶意负载,具有很强的隐蔽性,发现难度很大。“饮茶”可以在服务器上隐蔽运行,实时监视用户在操作系统控制台终端程序上的输入,并从中截取各类用户名密码,如同站在用户背后的“偷窥者”。网络安全专家介绍:“一旦这些用户名密码被TAO获取,就可以被用于进行下一阶段的攻击,即使用这些用户名密码访问其他服务器和网络设备,进而窃取服务器上的文件或投送其他网络武器。”
技术分析表明,“饮茶”可以与NSA其他网络武器有效进行集成和联动,实现“无缝对接”。今年2月份,北京奇安盘古实验室公开披露了隶属于美国国家安全局(NSA)黑客组织——“方程式”专属的顶级武器“电幕行动”(Bvp47)的技术分析,其被用于奇安盘古命名为“电幕行动”的攻击活动中。在TAO此次对西北工业大学实施网络攻击的事件中,“饮茶”嗅探窃密工具与Bvp47木马程序其他组件配合实施联合攻击。根据介绍, Bvp47木马具有极高的技术复杂度、架构灵活性以及超高强度的分析取证对抗特性,与“饮茶”组件配合用于窥视并控制受害组织信息网络,秘密窃取重要数据。其中,“饮茶”嗅探木马秘密潜伏在受害机构的信息系统中,专门负责侦听、记录、回送“战果”——受害者使用的账号和密码,不论其是在内网还是外网中。
资料图
报告还指出,随着调查的逐步深入,技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹,很可能是TAO利用“饮茶”对中国发动大规模的网络攻击活动。
值得注意的是,在美国对他国实施的多次网络攻击活动中,反复出现美国IT产业巨头的身影。例如在“棱镜”计划中,美国情治部门掌握高级管理员权限,能够随时进入微软、雅虎、谷歌、苹果等公司的服务器中,长期秘密进行数据挖掘。在“影子经纪人”公布的“方程式”组织所使用的黑客工具中,也多次出现了微软、思科甚至中国部分互联网服务商旗下产品的“零日漏洞”(0Day)或者后门。“美国正在利用其在网络信息系统软硬件领域的技术主导地位,在美国IT产业巨头的全面配合下,利用多种尖端网络武器,在全球范围发动无差别的网络攻击,持续窃取世界各地互联网设备的账号密码,以备后续随时‘合法’登录受害者信息系统,实施更大规模的窃密甚至破坏活动,其网络霸权行径显露无疑。”因此,网络安全专家建议用户对关键服务器尤其是网络运维服务器进行加固,定期更改服务器和网络设备的管理员口令,并加强对内网网络流量的审计,及时发现异常的远程访问请求。同时,在信息化建设过程中,建议选用国产化产品和“零信任”安全解决方案。(“零信任”是新一代的网络安全防护理念,默认不信任企业网络内外的任何人、设备和系统。)
这位专家进一步指出,无论是数据窃取还是系统毁灭瘫痪,网络攻击行为都会给网络空间甚至现实世界造成巨大破坏,尤其是针对重要关键信息基础设施的攻击行为,“网络空间很大程度是物理空间的映射,网络活动轻易跨越国境的特性使之成为持续性斗争的先导。没有网络安全就没有国家安全,只有要发展我们在科技领域的非对称竞争优势,才能建立起属于中国的、独立自主的网络防护和对抗能力。”
相关报道:
美国家安全局中国西工大?先发制裁令,又派黑客窃密
9月5日,中国国家计算机病毒应急处理中心网站发布了西北工业大学遭美国国家安全局(NSA)下属“美国特定入侵行动办公室(TAO)”大规模网络攻击的调查报告。
资料图
两个多月前,西北工业大学发布声明称,学校遭受到境外网络攻击,有黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,随后西安警方正式对此事件立案调查。
经过技术团队分析,得出的报告锁定了四个IP地址,证实相关攻击源头来自美国TAO。
TAO成立于1998年,是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,下设10个处室。
资料图
为了实施本次攻击,TAO进行了长时间的准备工作,使用了41种NSA特有的网络攻击武器,持续对西北工业大学展开网络攻击和窃密行动。
除此之外,TAO还在此次攻击活动开始前,在美国多家大型知名互联网企业的配合下,掌握了中国大量通信网络设备的管理权限,为NSA持续侵入中国国内的重要信息网络大开方便之门。
而西北工业大学之所以成为NSA的攻击目标,与其特殊地位和从事的敏感科学研究有着密不可分的联系。
西北工业大学在国内名校当中并不算顶尖,但却早早就登上了美国公布的所谓“实体制裁名单”,该校师生被美国禁止购买或使用一些美国制造的商品,包括软件在内。
而正如网友们经常调侃的,美国制裁我们什么,就证明我们什么东西厉害。低调的西北工业大学,也确实有其特殊实力,能成为美国的眼中钉、肉中刺。
该校以培养航空、航天、航海“三航”人才闻名于世,已有大批杰出校友,在毕业之后走上我国国防工业的重要岗位。比如歼20的总师杨伟、歼10总师宋文骢、运20总师唐长红、直20总师邓景辉等,都是中国发展先进军备所依仗的栋梁之材。
西北工业大学“飞天一号”发射成功(来源:中国日报网)
而就在西北工业大学遭到网络攻击之后没多久,就发布消息称,由该校牵头研发的“飞天一号”火箭冲压组合动力就在西北某靶场试射成功,全球首次验证了煤油燃料的火箭冲压组合循环发动机,实现了火箭/亚燃、超燃、火箭/超燃的多模态自由调节能力,突破了热力喉道调节、超宽包线高效燃烧组织等关键技术。
“飞天一号”火箭冲压组合动力,可谓不折不扣的“黑科技”。
简单说来,所谓“组合动力”,实际上就是发动机在飞行过程中进行四次动力转换,使得采用这种发动机的火箭具备更快的速度、更远的射程,和更强劲的运载能力。
在技术成熟之后,军用方面,可应用于高超音速导弹,实现美国提出的“一小时内打遍全球”概念,而民用方面,则可用于开发更大的运载火箭和载人航空器,潜力无限。
资料图
换句话说,西北工业大学在发动机上取得的突破,已经将美国甩在了身后。而了解这些信息之后,再来看美国NSA对西北工业大学的网络攻击行为,其意图已经不言自明。
美国不断在国际社会炒作所谓“中国威胁”,还常常以“保护美国科研成果”为由,动辄对中国企业、高校等实体加以制裁,实际上私底下却干着“贼喊捉贼”的勾当,不断窃取中国、乃至全球科学家的研究成果。
而本次中国还原美国NSA的黑客攻击,不仅在大庭广众之下揭穿了美国的真面目,还打破了对我国的“单向透明”优势,让我们真正明确风险在哪,是什么样的风险,什么时候的风险。
西北工业大学黑客攻击事件,也将会成为全球各国防范美国黑客攻击的一个有力借鉴,让更多的国家提高警惕,免受其害。