飲茶

“飲茶”的嗅探竊密類網絡武器是導致大量敏感數據遭竊的最直接“罪魁禍首”之一。 ^[2] 

“飲茶”不僅能夠竊取所在服務器上的多種遠程管理和遠程文件傳輸服務的賬號密碼，並且具有很強的隱蔽性和環境適應性。“飲茶”被植入目標服務器和網絡設備後，會將自身偽裝成正常的後台服務進程，並且採用模塊化方式，分階段投送惡意負載，具有很強的隱蔽性，發現難度很大。“飲茶”可以在服務器上隱蔽運行，實時監視用户在操作系統控制枱終端程序上的輸入，並從中截取各類用户名密碼，如同站在用户背後的“偷窺者”。 ^[2] 

2022年9月5日，中國相關部門對外界宣佈，此前西北工業大學聲明遭受境外網絡攻擊，攻擊方是美國國家安全局（NSA）特定入侵行動辦公室（TAO）。此後國家計算機病毒應急處理中心與北京奇安盤古實驗室對此次入侵事件進一步深入分析，在最新的調查報告中，美國實施攻擊的技術細節被公開：即在41種網絡武器中名為“飲茶”的嗅探竊密類網絡武器就是導致大量敏感數據遭竊的最直接“罪魁禍首”之一。

TAO使用“飲茶”作為嗅探竊密工具，將其植入西北工業大學內部網絡服務器，竊取了SSH等遠程管理和遠程文件傳輸服務的登錄密碼，從而獲得內網中其他服務器的訪問權限，實現內網橫向移動，並向其他高價值服務器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網絡武器，造成大規模、持續性敏感數據失竊。 ^[2] 

2022年6月22日，西北工業大學發佈《公開聲明》稱，遭受境外網絡攻擊，TAO通過在西北工業大學運維管理服務器安裝嗅探工具“飲茶”，長期隱蔽嗅探竊取西北工業大學運維管理人員遠程維護管理信息，包含網絡邊界設備賬號口令、業務設備訪問權限、路由器等設備配置信息等。 ^[3]