专业人员解读西工大遭TAO网络攻击始末 “饮茶”为“罪魁祸首”之一

　　近期，西北工业大学遭受国家级黑客攻击事件逐渐浮出水面。在这次攻击中，网络嗅探窃密武器“饮茶”引起了公众的高度关注。9月13日晚，华商报记者就此事采访了专门从事网络安全业务的西安四叶草信息技术有限公司技术人员，请这位技术人员就本次网络攻击事件从技术层面做了解读。

　　事件从学校电子邮箱系统遭受钓鱼邮件攻击开始

　　2022年4月初，西北工业大学相关人员发现学校电子邮箱系统遭受钓鱼邮件攻击。所谓钓鱼邮件攻击，是指黑客通过技术手段构造与真实邮件或者真实系统十分相似的网站链接，常见的例如重置账号密码、要求下载附件自查（其实是恶意木马程序）等内容，黑客将伪造好的邮件定向发给受害目标人员，当受害人员点击后，误以为是真实的系统或者真实的人员，因此而信任对方输入账号密码或者下载附件中的程序双击执行。

　　据了解，本次攻击事件的黑客主要选择“科研评审、答辩邀请和出国通知”等为主题的钓鱼邮件，内含木马程序，引诱部分师生点击链接，非法获取师生电子邮箱登录权限，致使相关邮件数据被窃取。同时，部分学生和教职工人员点击邮件中的附件，也因此而被黑客远程控制。

　　使用了41种不同专属网络攻击武器 仅后门工具就有14款

　　经过专业公司和相关单位长时间、多方位的溯源追踪，发现本次攻击事件主要是由美国国家安全局（NSA）特定入侵行动办公室（TAO）发起针对我国国防高校的特定高持续性威胁攻击（简称APT）。此类攻击一般持续时间较久，隐秘性较强，是一类有组织、有计划、有预谋的定向攻击。

　　本次事件，攻击者使用了41种不同的专属网络攻击武器，仅后门工具“狡诈异端犯”就有14款不同版本。攻击后期开始持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。其中，名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。

　　所谓嗅探窃密，是指黑客利用技术手段在正常应用程序中或者网络中植入恶意程序，专门劫持正常用户输入的账号密码，像网络通信流量的劫持，用户键盘输入等均是常见的嗅探劫持场景。其中嗅探的目标集中各种需要身份认证的账户密码，例如Linux系统远程管理服务SSH、网络设备的管理的Telnet服务、文件服务器的FTP账号密码等等。

　　“饮茶”在服务器上隐蔽运行 如同站在用户背后偷窥

　　据了解，该网络武器主要针对Unix/Linux平台，其主要功能是对目标主机上的远程访问账号密码进行窃取。本次所使用的网络嗅探窃密武器“饮茶”被植入西北工业大学内部网络服务器，窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的实际控制权限，从而实现从互联网端直接进入内部网络，并向其他高价值服务器继续投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。

　　经技术专家分析，“饮茶”具有很强的隐蔽性和环境适应性。“饮茶”被植入目标服务器和网络设备后，会将自身伪装成正常的后台运行的服务进程，并且采用模块化方式，分阶段投送恶意程序，具有很强的隐蔽性，很难被发现。“饮茶”可以在服务器上隐蔽运行，实时监视用户在操作系统控制台终端程序上的输入，并从中截取各类用户名密码。其中一个场景就是将我们常用的键盘输入进行劫持，我们输入的任何数据都会被泄露，如同站在用户背后的“偷窥者”。

　　整体攻击过程如下：

　　黑客常用的其他三种入侵手段

　　除此之外，黑客还经常运用以下三种入侵手段。

　　鱼叉邮件攻击。黑客在进行鱼叉邮件攻击前，会通过情报搜集，分析出攻击目标的业务领域，然后伪装成其业务往来对象并发送邮件，诱导目标下载、打开附件（可能是伪装成文档的可执行文件或是经压缩的可执行文件），从而入侵对方电脑。

　　水坑攻击。顾名思义，是在受害者必经之路设置一个“水坑（陷阱）”。最常见的做法是，黑客通过分析攻击目标的上网规律，将其经常使用的网站“攻破”并植入攻击代码，一旦目标访问该网站就会“中招”。

　　供应链攻击。黑客在软件供应链的几大环节（开发、交付、使用）中设下“埋伏”，如修改源代码并植入木马程序、影响编译环境间接攻击软件产品等，以便在攻击目标使用软件时达到远程控制终端的目的。

　　黑客手段层出不穷，但并非防不胜防。事前做好防御，做好人员安全意识培训和信息化系统的安全建设尤为重要。

　　防止网络攻击 要注意这三点

　　对此，四叶草安全技术专家提示，针对此类攻击事件需要到如下几点：

　　加强网络安全意识教育，强化安全意识和风险意识，提高人员防范针对人员意识不足而成为突破口的攻击。利用在线信息安全教育平台、实操实训靶场平台、仿真验证等手段对人员进行技能提升，让大家能在攻击发生的第一时间意识到攻击的发生。并协调相关技术人员能及时阻断，将损失降至最低。

　　对已有信息化系统，需从攻击者视角提前做好安全检测、安全加固、风险排查，尽可能发现已有信息系统潜在的风险和漏洞，通过建立体系化、智能化的全方位的安全防御体系，感知网络风险，在事件发酵的关键环节能识别攻击、联动阻断攻击。

　　攻击事件来临时，需要加强攻击识别、攻击阻断和攻击溯源等能力，在有效的时间内发现、识别并阻断攻击，能降低绝大部分攻击导致的损失。

　　华商报记者 马虎振