美国攻击西工大的网络武器“饮茶”是什么？它是如何窃密的？

美国攻击西工大的网络武器“饮茶”是嗅探窃密类网络武器，它是这样窃密的。

一、网络武器“饮茶”

中国有关方面向外界公布了在美国NSA的特别入侵事件，西北工业大学对外宣称遭到了国外的网络袭击。此后，国家电脑病毒紧急处置中心和北京奇安盘古实验室对美国的黑客行为进行了更深层次的研究。

其中包括了41种网络武器“饮茶”，这是造成大量敏感信息被盗的“罪魁祸首”。

二、网络武器“饮茶”是这样窃密的

经过技术分析和研究，网络武器“饮茶”以 Unix/Linux为目标，与其它网络武器相结合，可以利用推送的方式来控制恶意软件进行特定的窃取。

这种网络武器的主要目的是获得使用者所输入的不同使用者名称、使用者的密码，包括 SSH、 TELNET、 FTP及其它远端服务的登录口令，或依设定盗取储存于别处的使用者名称及密码。

“饮茶”被植入目标服务器和网络设备后，会将自身伪装成正常的后台服务进程，并且采用模块化方式，分阶段投送恶意负载，具有很强的隐蔽性，发现难度很大。

值得一提的是，美国 IT行业的巨人屡次在美国针对其他国家发动的网络袭击。

比如“棱镜”项目，美国情报机构拥有高级管理人员的权限，可以在任何时候，都可以在微软，雅虎，谷歌，苹果等公司的服务器上，进行长期的数据挖掘。

除此以外，美国的“方程式”组织所使用的黑客工具中，也多次出现了微软、思科甚至中国部分互联网服务商旗下产品的“零日漏洞”（0Day）或者后门，美国的网络攻击无处不在。

经技术分析，在此次针对西北工业大学攻击的41种网络武器中， 名为“饮茶”的嗅探窃密类网络武器是导致大量敏感数据遭窃的最直接“罪魁祸首”之一。该网络武器主要针对Unix/Linux平台，其主要功能是对目标主机上的远程访问账号密码进行窃取。

NSA下属特定入侵行动办公室（TAO）使用“饮茶”作为嗅探窃密工具， 将其植入西北工业大学内部网络服务器，窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码，从而获得内网中其他服务器的访问权限，实现内网横向移动，并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器，造成大规模、持续性敏感数据失窃。

除西工大外其他机构也有被网络攻击痕迹。随着调查的逐步深入， 技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹，很可能是TAO利用“饮茶”对中国发动了大规模的网络攻击活动。

设置步骤如下：

1、点击开始，点击控制面板，点击windows防火墙；

2、点击高级设置；

3、点击入站规则，点击新建规则；

4、点击端口，点击下一步；

5、点击特定本地端口，输入8200，点击下一步；

6、点击允许连接；

7、点击下一步；

8、输入名称，点击完成即可。

9、重复步骤1-8，添加516和517端口即可。

---