最新调查：美国将网络武器“饮茶”植入西北工业大学伺服器窃密

西北工业大学的信息系统早前遭受境外网络攻击。国家计算机病毒应急处理中心和360公司调查后，发现攻击是来自美国国家安全局（NSA）特定入侵行动办公室（Office of Tailored Access Operation，简称TAO）。
今日（13日），国家计算机病毒应急中心发布《美国NSA网络武器“饮茶”分析报告》，指出该网络武器为“嗅探窃密类武器”，主要针对Unix/Linux平台，其主要功能是窃取目标主机上的各种帐号和密码。

报告指出，调查人员在西北工业大学的网络伺服器设备上，发现美国国家安全局专用的网络武器“饮茶”（suctionchar）。

经技术分析与研判，该网络武器针对Unix/Linux平台，与其他网络武器配合，攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务，该网络武器的主要目标是获取用户输入的各种用户名密码，包括SSH、TELNET、FTP和其他远程服务登录密码，也可根据配置窃取保存在其他位置的用户名密码信息。

报告指，该网络武器包含7个模块，包括验证模块（authenticate）、解密模块（decrypt）、解码模块（decode）、配置模块、间谍模块（agent）等。

技术分析团队认为，“饮茶”编码复杂，高度模块化，支持多线程，适配操作系统环境广泛，包括FreeBSD、Sun Solaris系统以及Debian、RedHat、Centos、Ubuntu等多种Linux发行版，反映出开发者先进的软件工程化能力。

“饮茶”具有较好的开放性，可以与其他网络武器有效进行集成和联动，其采用加密和校验等方式加强了自身安全性和隐蔽性，并通过灵活的配置功能，不仅可以提取登录用户名密码等信息，理论上也可以提取所有攻击者想获取的信息。

在此次针对西北工业大学的攻击中，TAO使用“饮茶”作为嗅探窃密工具，将其植入西北工业大学内部网络伺服器，窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码，从而获得内网中其他伺服器的访问权限，并向其他高价值伺服器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。

同时，技术团队在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹，很可能是TAO利用“饮茶”对中国发动大规模的网络攻击活动。

对于上述报告揭开了美国国家安全局网络攻击西北工业大学的技术细节，外交部发言人毛宁表示，报告中披露了更多的细节和证据，中方已经通过多个渠道要求美方对恶意网络攻击作出解释，并立即停止不法行为，但迄今尚未得到美方实质性回应。

毛宁强调，美方行径严重侵犯中国有关机构的技术秘密，严重危害中国关键基础设施安全机构和个人信息安全，美方有关行为必须立即停止并作出负责任的解释。