-
飲茶
(網絡攻擊武器)
鎖定
“飲茶”可長期駐留在32位或64位的Solaris系統中,通過嗅探進程間通信的方式獲取ssh、telnet、rlogin等多種遠程登錄方式下暴露的賬號口令。
TAO主要使用該武器嗅探西北工業大學業務人員實施運維工作時產生的賬號口令、操作記錄、日誌文件等,壓縮加密存儲後供NOPEN木馬下載。
[1]
飲茶定義
飲茶特點
“飲茶”不僅能夠竊取所在服務器上的多種遠程管理和遠程文件傳輸服務的賬號密碼,並且具有很強的隱蔽性和環境適應性。“飲茶”被植入目標服務器和網絡設備後,會將自身偽裝成正常的後台服務進程,並且採用模塊化方式,分階段投送惡意負載,具有很強的隱蔽性,發現難度很大。“飲茶”可以在服務器上隱蔽運行,實時監視用户在操作系統控制枱終端程序上的輸入,並從中截取各類用户名密碼,如同站在用户背後的“偷窺者”。
[2]
飲茶事件
西北工業大學遭受美國國家安全局(NSA)網絡攻擊事件
2022年9月5日,中國相關部門對外界宣佈,此前西北工業大學聲明遭受境外網絡攻擊,攻擊方是美國國家安全局(NSA)特定入侵行動辦公室(TAO)。此後國家計算機病毒應急處理中心與北京奇安盤古實驗室對此次入侵事件進一步深入分析,在最新的調查報告中,美國實施攻擊的技術細節被公開:即在41種網絡武器中名為“飲茶”的嗅探竊密類網絡武器就是導致大量敏感數據遭竊的最直接“罪魁禍首”之一。
TAO使用“飲茶”作為嗅探竊密工具,將其植入西北工業大學內部網絡服務器,竊取了SSH等遠程管理和遠程文件傳輸服務的登錄密碼,從而獲得內網中其他服務器的訪問權限,實現內網橫向移動,並向其他高價值服務器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網絡武器,造成大規模、持續性敏感數據失竊。
[2]
2022年6月22日,西北工業大學發佈《公開聲明》稱,遭受境外網絡攻擊,TAO通過在西北工業大學運維管理服務器安裝嗅探工具“飲茶”,長期隱蔽嗅探竊取西北工業大學運維管理人員遠程維護管理信息,包含網絡邊界設備賬號口令、業務設備訪問權限、路由器等設備配置信息等。
[3]
- 參考資料
-
- 1. 360公司:關於西北工業大學發現美國NSA網絡攻擊調查報告(之一) .央視新聞客户端.2022-09-05[引用日期2022-09-05]
- 2. 西工大被美國網絡攻擊又一重要細節曝光!要小心“飲茶”! .環球網.2022-09-13[引用日期2022-09-13]
- 3. 西北工業大學遭受美國NSA網絡攻擊調查報告(之二) .其他.2022-09-27
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:4次歷史版本
- 最近更新: dxnMGcPT