该网络武器包含“验证模块”“解密模块”“解码模块”“配置模块”“间谍模块”等多个组成部分。验证模块的主要功能是在“饮茶”被调用前验证其调用者(父进程)的身份,随后进行解密、解码以加载其他恶意软件模块。解密模块是通用模块,可被其他模块调用对指定文件进行解密,采用了与NOPEN远控木马类似的RSA+RC6加密算法。
与解密模块类似,解码模块也是通用模块,可以被其他模块调用对指定文件进行解码,但采用了自编码算法。配置模块的主要功能是读取攻击者远程投送的xml格式配置文件中的指令和匹配规则,并生成二进制配置文件,从而由“监视模块”和“间谍模块”调用后在受害主机上查找相关内容。间谍模块的主要功能是按照攻击者下发的指令和规则从受害主机上提取相应的敏感信息并输出到指定位置。
在分析过程中,工作人员还发现另外两个模块,分别是配置文件生成模块和守护者模块。其中,配置文件生成模块的功能可能是生成ini临时配置文件,而守护者模块与间谍模块具有很高的代码相似性,可能是为不同版本系统生产的变种。
技术分析团队认为,“饮茶”编码复杂,高度模块化,支持多线程,适配操作系统环境广泛,包括Free BSD、Sun Solaris系统以及Debian、RedHat、Centos、Ubuntu等多种Linux发行版,反映出开发者先进的软件工程化能力。
同时,“饮茶”还具有较好的开放性,可以与其他网络武器有效进行集成和联动,其采用加密和校验等方式加强了自身安全性和隐蔽性,并且其通过灵活的配置功能,不仅可以提取登录用户名密码等信息,理论上也可以提取所有攻击者想获取的信息,是功能先进,隐蔽性强的强大网络武器工具。
此次, TAO窃取了SSH、TELNET、FTP、SCP等远程管理和远程文件传输服务的登录密码,从而获得内网中其他服务器的访问权限,实现内网横向移动,并向其他高价值服务器投送其他嗅探窃密类、持久化控制类和隐蔽消痕类网络武器,造成大规模、持续性敏感数据失窃。随着调查的逐步深入,技术团队还在西北工业大学之外的其他机构网络中发现了“饮茶”的攻击痕迹,很可能是TAO利用“饮茶”对中国发动了大规模的网络攻击活动。