最新调查：美国将互联网武器“饮茶”植入西北工业大学伺服器窃密

西北工业大学的信息系统早前遭受境外互联网攻击。国家计算机病毒应急处理中心和360公司调查后，发现攻击是来自美国国家安全域性（NSA）特定入侵行动办公室（Office of Tailored Access Operation，简称TAO）。
今日（13日），国家计算机病毒应急中心发布《美国NSA互联网武器“饮茶”分析报告》，指出该互联网武器为“嗅探窃密类武器”，主要针对Unix/Linux平台，其主要功能是窃取目标主机上的各种帐号和密码。

报告指出，调查人员在西北工业大学的互联网伺服器装置上，发现美国国家安全域性专用的互联网武器“饮茶”（suctionchar）。

经技术分析与研判，该互联网武器针对Unix/Linux平台，与其他互联网武器配合，攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务，该互联网武器的主要目标是获取使用者输入的各种使用者名称密码，包括SSH、TELNET、FTP和其他远端服务登入密码，也可根据配置窃取储存在其他位置的使用者名称密码信息。

报告指，该互联网武器包含7个模组，包括验证模组（authenticate）、解密模组（decrypt）、解码模组（decode）、配置模组、间谍模组（agent）等。

技术分析团队认为，“饮茶”编码复杂，高度模组化，支持多执行绪，适配作业系统环境广泛，包括FreeBSD、Sun Solaris系统以及Debian、RedHat、Centos、Ubuntu等多种Linux发行版，反映出开发者先进的软件工程化能力。

“饮茶”具有较好的开放性，可以与其他互联网武器有效进行整合和联动，其采用加密和校验等方式加强了自身安全性和隐蔽性，并通过灵活的配置功能，不仅可以提取登入使用者名称密码等信息，理论上也可以提取所有攻击者想获取的信息。

在此次针对西北工业大学的攻击中，TAO使用“饮茶”作为嗅探窃密工具，将其植入西北工业大学内部互联网伺服器，窃取了SSH、TELNET、FTP、SCP等远端管理和远端文件传输服务的登入密码，从而获得内网中其他伺服器的访问许可权，并向其他高价值伺服器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类互联网武器，造成大规模、持续性敏感资料失窃。

同时，技术团队在西北工业大学之外的其他机构互联网中发现了“饮茶”的攻击痕迹，很可能是TAO利用“饮茶”对中国发动大规模的互联网攻击活动。

对于上述报告揭开了美国国家安全域性互联网攻击西北工业大学的技术细节，外交部发言人毛宁表示，报告中披露了更多的细节和证据，中方已经通过多个渠道要求美方对恶意互联网攻击作出解释，并立即停止不法行为，但迄今尚未得到美方实质性回应。

毛宁强调，美方行径严重侵犯中国有关机构的技术秘密，严重危害中国关键基础设施安全机构和个人信息安全，美方有关行为必须立即停止并作出负责任的解释。