今日，邦家预备机病毒救急核心宣告《好邦NSA网络兵器“饮茶”理会陈诉》，详目以下：

一、概述

邦家预备机病毒救急解决核心在对于西北产业大学遭境外网络攻打事情入行侦查进程中，在西北产业大学的网络工作器配置上开掘了好邦邦家安齐局(NSA)博用的网络兵器“饮茶”(NSA定名为“suctionchar”)(参拜尔核心2022年9月5日宣告的《西北产业大学遭好邦NSA网络攻打事情侦查陈诉(之一)》)。邦家预备机病毒救急解决核心相聚奇安信公司对于该网络兵器入行了岁月理会，理会后果表达，该网络兵器为“嗅探盗稠类兵器”，首要针对于Unix/Linux平台，其首要机能是对于目标主机上的遥程访候账号稠码入行盗与。

两、岁月理会

经岁月理会取研判，该网络兵器针对于Unix/Linux平台，取其他网络兵器组合，攻打者可经历推送设备文献的式样把持该敌意软件推行特定盗稠职分，该网络兵器的首要目标是获与用户输出的各种用户名稠码，囊括SSH、TELNET、FTP以及其他遥程工作登录稠码，也可根据设备盗与保管在其他场所的用户名稠码新闻。

该网络兵器蕴含“考据模块(authenticate)”、“解稠模块(decrypt)”、“解码模块(decode)”、“设备模块”、“奸细模块(agent)”等多个构成局部，其首要服务淌程以及岁月理会后果以下：

(一)考据模块

考据模块的首要机能是在“饮茶”被挪用前考据其挪用者(父入程)的身份，随落后行解稠、解码以添载其他敌意软件模块。如图1所示。

(两)解稠模块

解稠模块是通用模块，可被其他模块挪用对于指定文献入行解稠，拔取了取NOPEN遥控木马(参拜《“NOPEN”遥控木马理会陈诉》)好像的RSA+RC6添稠算法。如图2所示。

(三)解码模块

取解稠模块好像，解码模块也是通用模块，也许被其他模块挪用对于指定文献入行解码，但拔取了自编码算法。如图3所示。

(四)设备模块

设备模块的首要机能是读与攻打者遥程投送的xml格局设备文献中的指令以及婚配端正，并天生两入制设备文献，进而由“监督模块”以及“奸细模块”挪用后在授害主机上搜索有关内容。如图4、图5所示。

(五)奸细模块

奸细模块的首要机能是依照攻打者下发的指令以及端正从授害主机上提与相映的敏锐新闻并输入到指定场所。

(六)其他模块

在理会进程中，尔们还开掘其它二个模块，不同是设备文献天生模块以及守护者模块。其中，设备文献天生模块的机能能够是天生ini偶然设备文献，而守护者模块取奸细模块拥有很高的代码一致性，能够是为没有共版原系统出产的变种。

三、总结

基于上述理会后果，岁月理会团队以为，“饮茶”编码错杂，高度模块化，支撑多线程，适配职掌系统环境普遍，囊括FreeBSD、Sun Solaris系统和Debian、RedHat、Centos、Ubuntu等多种Linux刊行版，应声出启发者先入的软件工程化手腕。“饮茶”还拥有较美的启搁性，也许取其他网络兵器灵验入行集成以及联动，其拔取添稠以及校验等式样添强了本身安齐性以及荫庇性，而且其经历变通的设备机能，没有仅也许提与登任用户名稠码等新闻，理论上也能够提与一齐攻打者想获与的新闻，是机能先入，荫庇性强的重大网络兵器工具。

在这次针对于西北产业大学的攻打中，好邦NSA下属特定进侵行径办公室(TAO)使用“饮茶”作为嗅探盗稠工具，将其植进西北产业大学内中网络工作器，盗与了SSH、TELNET、FTP、SCP等遥程经管以及遥程文献传输工作的登录稠码，进而取得内网中其他工作器的访候权限，真现内网横向移动，并向其他高代价工作器投送其他嗅探盗稠类、好久化把持类以及荫庇消痕类网络兵器，酿成大边际、不断性敏锐数据失贼。跟着侦查的逐渐深化，岁月团队还在西北产业大学除外的其他机构网络中开掘了“饮茶”的攻打印迹，极可能是TAO坑骗“饮茶”对于中邦策动了大边际的网络攻打营谋。