美国上演现实版“黑客帝国”，又一重磅网络战武器曝光

国家计算机病毒应急处理中心对名为“NOPEN”的木马工具进行了攻击场景复现和技术分析。该木马工具针对Unix/Linux平台，可实现对目标的远程控制。根据“影子经纪人”泄露的NSA内部文件，该木马工具为美国国家安全局开发的网络武器。“NOPEN”木马工具是一款功能强大的综合型木马工具，也是美国国家安全局接入技术行动处（TAO）对外攻击窃密所使用的主战网络武器之一。“NOPEN”木马工具编码技术复杂、功能全面、隐蔽性强、适配多种处理器架构和操作系统，并且采用了插件式结构，可以与其他网络武器或攻击工具进行交互和协作，是典型的用于网络间谍活动的武器工具。

病毒危害：

“NOPEN”远程木马主要用于文件窃取、系统提权、网络通信重定向以及查看目标设备信息等，一旦被植入受害者计算机，各种机密数据、敏感信息“一览无余”，根据环球网报道，该款木马已经控制全球各地海量的互联网设备，窃取了规模庞大的用户隐私数据。

“NOPEN”木马工具包含客户端“noclient”和服务端“noserver”两部分，客户端会采取发送激活包的方式与服务端建立连接，使用RSA算法进行秘钥协商，使用RC6算法加密通信流量。

该木马工具设计复杂，支持功能众多，主要包括以下功能：内网端口扫描、端口复用、建立隧道、文件处理（上传、下载、删除、重命名、计算校验值）、目录遍历、邮件获取、环境变量设置、进程获取、自毁消痕等。

经技术分析与研判，该木马工具针对Unix/Linux平台，可在主控端和受控端之间建立隐蔽加密信道，攻击者可通过向目标发送远程指令，实现远程获取目标主机环境信息、上传/下载/创建/修改/删除文件、远程执行命令、网络流量代理转发、内网扫描、窃取电子邮件信息、自毁等恶意功能。该木马工具包含主控端（Client）和受控端（Server）两个部分，具体分析结果详见国家计算机病毒应急处理中心分析报告：

https://www.cverc.org.cn/head/zhaiyao/news20220218-1.htm

“NOPEN”木马工具支持在Linux、FreeBSD、SunOS、Solaris、JUNOS和HP-UX等各类操作系统上运行，同时兼容i386、i486、i586、i686、i86pc、i86、SPARC、Alpha、x86_64、PPC、MIPS、ARM以及AMD64等多种体系架构，适用范围较广。根据监控情况，该木马工具主要用于在受害单位内网中执行各类攻击指令，结合其他取情、嗅探工具，级联窃取核心数据。

“NOPEN”木马工具支持多种植入运行方式，包括手动植入、工具植入、自动化植入等，其中最常见的植入方式是结合远程漏洞攻击自动化植入至目标系统中，以便规避各种安全防护机制。此外，TAO还研发了一款名为Packrat的工具，可用于辅助植入“NOPEN”木马工具，其主要功能为对“NOPEN”木马工具进行压缩、编码、上传和启动。

“NOPEN”木马工具主要包括8个功能模块，每个模块支持多个命令操作，TAO主要使用该武器对受害机构网络内部的核心业务服务器和关键网络设备实施持久化控制。其主要使用方式为：攻击者首先向安装有“NOPEN”木马工具的网内主机或设备发送特殊定制的激活包，“NOPEN”木马工具被激活后回连至控制端，加密连接建立后，控制端发送各类指令。

这段时间的俄乌冲突，刚让普罗大众见识到了舆论战、网络战的重要性，美国立马给全世界导演了一出现实版“黑客帝国”。2017年“永恒之蓝”波及全球100多个国家的攻击事件至今还让人记忆犹新，也让美国网络NSA网络武器库广为人知，而此次国家计算机病毒应急处理中心披露的“NOPEN”木马正是NSA武器库中的主力装备之一，值得警惕的是，在网络上很可能仍然存在大量没有被发现的受害者，这些网络武器的泄露和扩散正在严重危害国际互联网的整体安全。