引起外交部关注的“饮茶”是什么？嗅探窃密关乎网络空间安全

9月13日，国家计算机病毒应急处理中心发布《美国NSA网络武器“饮茶”分析报告》引发关注。对此，外交部发言人毛宁在例行新闻发布会上回应：“中方有关机构发布了美国国家安全局攻击西北工业大学所使用网络武器的技术分析报告，报告中披露了更多细节和证据。中方已经通过多个渠道要求美方对恶意网络攻击作出解释并立即停止不法行为，但是迄今我们还没有得到美方实质性回应。”

根据最新的分析报告，NSA专用的网络武器“饮茶”（“suctionchar”）主要针对Unix/Linux平台，其主要功能是对目标主机上的远程访问账号密码进行窃取。理论上，“饮茶”也可以提取所有攻击者想获取的信息，是功能先进，隐蔽性强的强大网络武器工具。

6月22日，西北工业大学发布的一份公开声明称，该校遭受境外网络攻击。根据相关的《警情通报》，证实在西北工业大学的信息网络中发现了多款源于境外的木马样本，西安警方已对此正式立案调查。

国家计算机病毒应急处理中心等随后成立联合组成技术团队，初步判明相关攻击活动源自NSA“特定入侵行动办公室”（TAO）。调查发现，TAO使用“饮茶”等40余种不同的NSA专属网络攻击武器，并根据目标环境对同一款网络武器进行灵活配置，持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。

最新的报告还显示，在网络攻击行动中，“饮茶”作为一款嗅探窃密工具，被植入西北工业大学内部网络服务器。该网络武器针对Unix/Linux平台，与其他网络武器配合，攻击者可通过推送配置文件的方式控制该恶意软件执行特定窃密任务，该网络武器的主要目标是获取用户输入的各种用户名密码，也可根据配置窃取保存在其他位置的用户名密码信息。

对此，一位网络安全专家向第一财经记者解释称：“嗅探窃密的意思就是获取同一网络其他主机之间的通信，比如获取密码。从此次窃密的场景来看，不是针对个人，而是针对网络维护人员。在获取一定权限后的横向渗透。”

上述专家还表示，“饮茶”还具有较好的开放性，可以与其他网络武器有效进行集成和联动，比如结合远程控制，加密通信，从而实现“模块化”的效果。

他还提醒称，该窃密工具采用加密和校验等方式加强了自身安全性和隐蔽性，是功能先进，隐蔽性强的强大网络武器工具。“隐蔽性强意味着攻击的时候受攻击者无法分辨其工具调用的方式，从而也就无法分析网络攻击程序是用于什么目的。”这位专家表示。

为此，有专家称，在信息化建设的过程中，建议选用国产化产品和“零信任”安全解决方案。不过，也有专家告诉第一财经记者：“网络安全是一个系统工程，不可能依靠一两款解决方案就能抵御攻击。”

“网络空间的控制权争夺日趋激烈。而这一新的空间又是大多数人缺少深度认知的，其攻击的方法、结果往往不为人所知，而危害可能更大。所以网络空间安全需要国家、企业、个人多方面的高度重视。”某网络安全公司负责人对第一财经记者表示。