《環球時報》記者13日從相關部門獲悉，在西北工業大學遭受美國國家安全域性（NSA）網路攻擊事件中，名為“飲茶”的嗅探竊密類網路武器是導致大量敏感資料遭竊的最直接“罪魁禍首”之一。對此，網路安全專家建議，在資訊化建設過程中，建議選用國產化產品和“零信任”安全解決方案。

9月5日，中國相關部門對外界宣佈，此前西北工業大學宣告遭受境外網路攻擊，攻擊方是美國國家安全域性（NSA）特定入侵行動辦公室（TAO）。此後國家計算機病毒應急處理中心與北京奇安盤古實驗室對此次入侵事件進一步深入分析，在最新的調查報告中，美國實施攻擊的技術細節被公開：即在41種網路武器中名為“飲茶”的嗅探竊密類網路武器就是導致大量敏感資料遭竊的最直接“罪魁禍首”之一。

相關網路安全專家介紹，TAO使用“飲茶”作為嗅探竊密工具，將其植入西北工業大學內部網路伺服器，竊取了SSH等遠端管理和遠端檔案傳輸服務的登入密碼，從而獲得內網中其他伺服器的訪問許可權，實現內網橫向移動，並向其他高價值伺服器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網路武器，造成大規模、持續性敏感資料失竊。

經技術分析與研判，“飲茶”不僅能夠竊取所在伺服器上的多種遠端管理和遠端檔案傳輸服務的賬號密碼，並且具有很強的隱蔽性和環境適應性。上文中的網路安全專家稱，“飲茶”被植入目標伺服器和網路裝置後，會將自身偽裝成正常的後臺服務程序，並且採用模組化方式，分階段投送惡意負載，具有很強的隱蔽性，發現難度很大。“飲茶”可以在伺服器上隱蔽執行，實時監視使用者在作業系統控制檯終端程式上的輸入，並從中擷取各類使用者名稱密碼，如同站在使用者背後的“偷窺者”。網路安全專家介紹：“一旦這些使用者名稱密碼被TAO獲取，就可以被用於進行下一階段的攻擊，即使用這些使用者名稱密碼訪問其他伺服器和網路裝置，進而竊取伺服器上的檔案或投送其他網路武器。”

技術分析表明，“飲茶”可以與NSA其他網路武器有效進行整合和聯動，實現“無縫對接”。今年2月份，北京奇安盤古實驗室公開披露了隸屬於美國國家安全域性（NSA）駭客組織——“方程式”專屬的頂級武器“電幕行動”（Bvp47）的技術分析，其被用於奇安盤古命名為“電幕行動”的攻擊活動中。在TAO此次對西北工業大學實施網路攻擊的事件中，“飲茶”嗅探竊密工具與Bvp47木馬程式其他元件配合實施聯合攻擊。根據介紹， Bvp47木馬具有極高的技術複雜度、架構靈活性以及超高強度的分析取證對抗特性，與“飲茶”元件配合用於窺視並控制受害組織資訊網路，秘密竊取重要資料。其中，“飲茶”嗅探木馬秘密潛伏在受害機構的資訊系統中，專門負責偵聽、記錄、回送“戰果”——受害者使用的賬號和密碼，不論其是在內網還是外網中。

報告還指出，隨著調查的逐步深入，技術團隊還在西北工業大學之外的其他機構網路中發現了“飲茶”的攻擊痕跡，很可能是TAO利用“飲茶”對中國發動大規模的網路攻擊活動。

值得注意的是，在美國對他國實施的多次網路攻擊活動中，反覆出現美國IT產業巨頭的身影。例如在“稜鏡”計劃中，美國情治部門掌握高階管理員許可權，能夠隨時進入微軟、雅虎、谷歌、蘋果等公司的伺服器中，長期秘密進行資料探勘。在“影子經紀人”公佈的“方程式”組織所使用的駭客工具中，也多次出現了微軟、思科甚至中國部分網際網路服務商旗下產品的“零日漏洞”（0Day）或者後門。“美國正在利用其在網路資訊系統軟硬體領域的技術主導地位，在美國IT產業巨頭的全面配合下，利用多種尖端網路武器，在全球範圍發動無差別的網路攻擊，持續竊取世界各地網際網路裝置的賬號密碼，以備後續隨時‘合法’登入受害者資訊系統，實施更大規模的竊密甚至破壞活動，其網路霸權行徑顯露無疑。” 因此，網路安全專家建議使用者對關鍵伺服器尤其是網路運維伺服器進行加固，定期更改伺服器和網路裝置的管理員口令，並加強對內網網路流量的審計，及時發現異常的遠端訪問請求。同時，在資訊化建設過程中，建議選用國產化產品和“零信任”安全解決方案。（“零信任”是新一代的網路安全防護理念，預設不信任企業網路內外的任何人、裝置和系統。）

這位專家進一步指出，無論是資料竊取還是系統毀滅癱瘓，網路攻擊行為都會給網路空間甚至現實世界造成巨大破壞，尤其是針對重要關鍵資訊基礎設施的攻擊行為，“網路空間很大程度是物理空間的對映，網路活動輕易跨越國境的特性使之成為持續性鬥爭的先導。沒有網路安全就沒有國家安全，只有要發展我們在科技領域的非對稱競爭優勢，才能建立起屬於中國的、獨立自主的網路防護和對抗能力。”

環球時報-環球網報道 特約記者袁宏