一、背景

據(jù)央視2022年9月5日報道，我國西北工業(yè)大學(xué)（以下簡稱西工大）遭到美國國家情報局特定入侵辦公室（代號TAO）非法入侵，目前已查明涉案人員13人，攻擊次數(shù)一千余次，大量關(guān)鍵核心數(shù)據(jù)被竊取[1] [2]。

隨后，有關(guān)部門進一步分析發(fā)現(xiàn)，TAO組織對我國關(guān)鍵信息基礎(chǔ)設(shè)施核心設(shè)備進行長期滲透控制，以非法身份侵入我國運營商網(wǎng)絡(luò)，構(gòu)建非法遠程訪問通道。實施內(nèi)網(wǎng)滲透并侵入關(guān)鍵數(shù)據(jù)服務(wù)器，非法訪問一批中國境內(nèi)敏感身份人員信息，竊取用戶隱私數(shù)據(jù)傳至美國國家情報局總部。TAO組織相關(guān)行為嚴(yán)重侵犯中國有關(guān)機構(gòu)的技術(shù)秘密，嚴(yán)重危害中國關(guān)鍵信息基礎(chǔ)設(shè)施安全, 嚴(yán)重侵犯個人信息安全[3] [4] [5]。

二、TAO組織攻擊滲透流程剖析

圖一、繪圖出自《紅蓮安全實驗室》研究人員Michael

TAO組織此次對我國發(fā)起的網(wǎng)絡(luò)攻擊，采取了集中火力尋找突破口、順藤摸瓜感染更大范圍和更深層次設(shè)施、逐步滲透、分步實施、步步為營、長期靜默潛伏竊密的戰(zhàn)略，展示了其強大的網(wǎng)絡(luò)攻擊能力。其具體的攻擊步驟，按照攻擊的時間順序、因果關(guān)聯(lián)，我們分四步分析。

1、集中火力尋找突破口，控制西工大網(wǎng)絡(luò)

經(jīng)過長期的精心準(zhǔn)備，TAO組織使用“酸狐貍”平臺對西工大內(nèi)部主機和服務(wù)器實施中間人劫持攻擊，部署“怒火噴射”遠程控制武器，劫持多臺關(guān)鍵服務(wù)器、核心網(wǎng)絡(luò)設(shè)備、服務(wù)器及終端，竊取身份驗證數(shù)據(jù)，最終達成了對西工大內(nèi)部網(wǎng)絡(luò)的隱蔽控制[6]。

2、搜集身份驗證數(shù)據(jù)構(gòu)建非法訪問通道，滲透基礎(chǔ)設(shè)施，竊取核心運維數(shù)據(jù)

TAO組織通過竊取的西工大技術(shù)人員遠程業(yè)務(wù)管理的賬號口令、操作記錄以及系統(tǒng)日志等關(guān)鍵敏感數(shù)據(jù)，順藤摸瓜，非法攻擊上游的中國關(guān)鍵信息基礎(chǔ)設(shè)施，構(gòu)建了對運營商核心數(shù)據(jù)網(wǎng)絡(luò)遠程訪問的非法通道，實現(xiàn)了對中國關(guān)鍵信息基礎(chǔ)設(shè)施的滲透和控制。

3、控制關(guān)鍵信息基礎(chǔ)設(shè)施的重要業(yè)務(wù)系統(tǒng)，竊取用戶數(shù)據(jù)

TAO組織通過掌握的中國關(guān)鍵信息基礎(chǔ)設(shè)施運營商的某廠商網(wǎng)絡(luò)安全設(shè)備的賬號口令，非法進入運營商內(nèi)部網(wǎng)絡(luò)，控制業(yè)務(wù)服務(wù)器，利用“魔法學(xué)?！钡葘ｉT針對運營商設(shè)備的武器工具，查詢了一批中國境內(nèi)敏感身份人員信息，并加密后經(jīng)多級跳板回傳至美國國家情報局總部。

三、TAO組織攻擊事件定性分析

中國西工大是工信部直屬院校，是中國唯一以同時發(fā)展航空、航天、航海工程教育和科學(xué)研究為特色的全國重點大學(xué)，建有多個國家重點實驗室，承擔(dān)著我國航空、航天、海洋、國防等多項尖端科研任務(wù)。各大電信運營商負責(zé)建設(shè)我國通信關(guān)鍵信息基礎(chǔ)設(shè)施，在各行各業(yè)中發(fā)揮著舉足輕重的作用，其安全事關(guān)重大。很明顯，這是一起由美國國家情報局組織的情節(jié)惡劣的網(wǎng)絡(luò)攻擊事件，目的是竊取我國尖端科研成果和核心機密數(shù)據(jù)并嫁禍于人，其行為給我國關(guān)鍵信息基礎(chǔ)設(shè)施安全造成嚴(yán)重危害，威脅到我國網(wǎng)絡(luò)安全和國防安全，影響我國發(fā)展和繁榮穩(wěn)定。

這次事件給我們敲響了警鐘，黑惡勢力就在身邊，網(wǎng)絡(luò)安全與我們息息相關(guān)，沒有網(wǎng)絡(luò)安全就沒有國家安全。同時提醒我們，網(wǎng)絡(luò)安全不能受制于人，應(yīng)從頂層設(shè)計開始，立足于自主設(shè)計，要廣泛地普及網(wǎng)絡(luò)安全意識，通過國家立法和技術(shù)手段來保護我們的關(guān)鍵信息基礎(chǔ)設(shè)施安全，要對違反網(wǎng)絡(luò)安全的行為實施制裁。

這次攻擊使我們更加明白密碼法和網(wǎng)絡(luò)安全法的必要性，實行網(wǎng)絡(luò)安全等級保護制度的必要性，對涉密信息系統(tǒng)進行分級保護的必要性，以及對關(guān)鍵信息基礎(chǔ)設(shè)施進行保護的必要性。

三、密碼筑牢維護國家網(wǎng)絡(luò)空間信息安全的最后一道防線

我們應(yīng)當(dāng)坦然承認(rèn)，當(dāng)前境外敵對勢力攻擊能力十分強大，攻擊手段多樣，任何傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備并非鐵板一塊、牢不可破。然而亡羊補牢猶未晚也，我們應(yīng)該積極思考的是當(dāng)傳統(tǒng)網(wǎng)絡(luò)安全遭到攻擊和破壞時，有沒有最后的一道防線來抵御？答案是確定的，這道防線就是現(xiàn)代密碼技術(shù)。密碼是網(wǎng)絡(luò)安全的核心技術(shù)，是網(wǎng)絡(luò)空間中網(wǎng)絡(luò)信任的基石，是保護我們黨、國家和人民根本利益的戰(zhàn)略性資源，更是國之重器。這一點在中國共產(chǎn)黨創(chuàng)建和發(fā)展的長期歷史經(jīng)驗中已得到廣泛的驗證，經(jīng)受了無數(shù)次考驗。因此，承擔(dān)防御任務(wù)，密碼技術(shù)是合適的。

海泰方圓作為一家擁有20年專業(yè)經(jīng)驗的密碼企業(yè)，多年來在密碼應(yīng)用實踐中受到廣泛信賴及認(rèn)可，在新基建、重要領(lǐng)域國產(chǎn)密碼應(yīng)用改造等全面發(fā)展的網(wǎng)信大時代，以密碼全能力匹配業(yè)務(wù)全場景，護航數(shù)字中國，建設(shè)網(wǎng)絡(luò)強國。多次承擔(dān)、參與國家級、省部級科研課題，在密碼標(biāo)準(zhǔn)編制、密碼學(xué)術(shù)論文方面都有顯著成果，參與國家各級課題43項，參編國家及行業(yè)標(biāo)準(zhǔn)48項。

讓我們復(fù)盤此次TAO組織攻擊的完整步驟，剖析涉及的每一個場景，從密碼的角度出發(fā)去“華山論劍”，從攻防角度討論如果采用合規(guī)的密碼技術(shù)，究竟海泰方圓的密碼全能力可以提供什么樣的防護，最終達到什么樣的防護效果。為行文方便，下文中把TAO組織實施的攻擊稱為“矛”，海泰方圓提供的密碼防護稱為“盾”。

第一回合：TAO組織入侵西工大階段（矛一），對應(yīng)密碼防護盾一：海泰方圓身份認(rèn)證系統(tǒng)。

TAO組織首先使用網(wǎng)絡(luò)攻擊武器入侵西工大的Telnet服務(wù)器并部署NOPEN木馬黑客軟件，竊取運維人員賬號口令。在此階段，海泰方圓提供的“盾”為采用基于國密的身份認(rèn)證系統(tǒng)。如圖二所示，此系統(tǒng)利用我國商用密碼技術(shù)，為運維人員提供賬號口令和硬件指紋UKey證書結(jié)合的雙因素強身份認(rèn)證手段，提供全面的證書簽發(fā)機構(gòu)（CA）管理、證書管理、日志管理。用新系統(tǒng)改造用戶原有運維管理系統(tǒng)，最終全面提升系統(tǒng)入口訪問的安全性。

TAO組織遇到的第一個“攔路虎”將是海泰方圓身份認(rèn)證系統(tǒng)對運維賬號的全面防護。因無法在海泰的硬件指紋UKey上留下指紋，身份認(rèn)證系統(tǒng)的雙因素認(rèn)證流程將無法通過，獲取運維賬號操作失敗，TAO組織只得悻悻而歸。

圖二、海泰方圓基于國密的身份認(rèn)證系統(tǒng)（盾一）

第二回合：TAO組織竊取西工大數(shù)據(jù)階段（矛二），對應(yīng)密碼防護盾二：海泰數(shù)據(jù)加解密系統(tǒng)。

TAO組織大肆竊取西工大的數(shù)據(jù)，包括操作記錄，系統(tǒng)日志等關(guān)鍵敏感數(shù)據(jù)。此階段對抗中，海泰方圓提供的“盾”是數(shù)據(jù)加解密系統(tǒng)。它是一套提供標(biāo)準(zhǔn)及定制化密碼算法服務(wù)能力的密碼服務(wù)系統(tǒng)，用此系統(tǒng)對西工大關(guān)鍵敏感數(shù)據(jù)做加密保護，提供機密性、真實性、完整性保護。

圖三、海泰方圓數(shù)據(jù)加解密系統(tǒng)（盾二）

得益于此系統(tǒng)對用戶數(shù)據(jù)的全面保護，TAO組織在此回合將遇到無法訪問操作記錄、系統(tǒng)日志等關(guān)鍵敏感數(shù)據(jù)的難題，即使TAO費了九牛二虎之力訪問到加密后的數(shù)據(jù)，也會遇到無法解密的難題。此系統(tǒng)基于我國商用密碼算法和先進的PKI體系，要暴力破解此密碼，需要1.8x1056年[7]，幾乎是宇宙的盡頭。TAO組織在第二回合完敗。

第三回合：TAO組織滲透中國關(guān)鍵信息基礎(chǔ)設(shè)施（矛三），對應(yīng)密碼防護盾三和盾四。

根據(jù)從西工大非法獲取的運維賬號口令，TAO組織在此階段的攻擊是通過國內(nèi)外某兩家公司生產(chǎn)的網(wǎng)絡(luò)防火墻，進入運營商機房，釋放“魔法學(xué)?！惫粑淦?，進行內(nèi)網(wǎng)滲透。得手后，進一步控制短信網(wǎng)關(guān)等服務(wù)器，拿到中國境內(nèi)敏感身份人員信息和其他隱私數(shù)據(jù)，為避免竊取的數(shù)據(jù)被其實施攻擊使用的跳板機所在國家發(fā)現(xiàn)，TAO組織把這些數(shù)據(jù)加密后上傳給美國國家情報局總部。

針對組織如此嚴(yán)密、攻擊技術(shù)十分高超的攻擊者，海泰方圓提供的防護組合重拳是兩個超級盾：云密碼應(yīng)用服務(wù)解決方案和海泰隱私保護統(tǒng)一服務(wù)平臺。

為什么海泰的組合重拳能夠防住此波攻擊呢？讓我們先來了解他們。

海泰方圓云密碼應(yīng)用服務(wù)解決方案中靈活的密碼服務(wù)虛擬化技術(shù)和強大的密碼計算資源，滿足了云平臺及云上應(yīng)用系統(tǒng)的機密性、完整性、真實性和不可抵賴性需求[8] [9]。

圖四、海泰方圓云密碼應(yīng)用服務(wù)解決方案（盾三）

原始數(shù)據(jù)加密后變成了密文，誰也看不見。通常情況下，要使用數(shù)據(jù)，就得對密文解密獲得原始數(shù)據(jù)再使用。在解密利用數(shù)據(jù)進行過程中，長期攻擊者會嘗試一切可能的攻擊途徑和攻擊方法，這使得數(shù)據(jù)利用變得效率低下。針對此問題，海泰方圓組合重拳之二“數(shù)據(jù)隱私保護服務(wù)綜合解決方案”派上用場。

圖五、海泰方圓隱私保護統(tǒng)一服務(wù)平臺（盾四）[10]

它基于海泰隱私保護統(tǒng)一服務(wù)平臺，可為多種業(yè)務(wù)應(yīng)用的不同場景和需求，提供高效、便捷、合規(guī)的數(shù)據(jù)隱私保護服務(wù)，使數(shù)據(jù)在隱私安全保護下傳遞信息價值，使合法用戶得到無感化保護，實現(xiàn)隱私數(shù)據(jù)的“可用不可見”[11] [12]。

應(yīng)用海泰方圓以上兩個防護超級“盾”之后，客戶的數(shù)據(jù)可以做到在完全無感的加密環(huán)境下實現(xiàn)密文計算，安全地完成任務(wù)。實現(xiàn)諸如身份證號碼提取、電話號碼提取、短信身份驗證等等傳統(tǒng)的業(yè)務(wù)，無需對數(shù)據(jù)泄露等問題有任何擔(dān)心。

我們再來分析TAO組織此回合攻擊中將面臨的挑戰(zhàn)。TAO組織將會發(fā)現(xiàn)，沼澤密布，舉步維艱。TAO組織會驚訝于進入短信網(wǎng)關(guān)等服務(wù)器保存的原始數(shù)據(jù)竟然是密文！這些密文外表看起來似乎是身份證號碼，實際卻是一種密文的“偽身份證”。更為神奇的是，這些像“偽身份證”的數(shù)據(jù)，竟然還能被運營商內(nèi)部的其他服務(wù)器正常使用， TAO組織偽造幾個這樣的身份證，嘗試混入正常的密文數(shù)據(jù)隊列，旋即這些偽造的臟數(shù)據(jù)被新系統(tǒng)精準(zhǔn)識別并“吐”了出來。TAO組織一無所獲，只得望洋興嘆。

五、參考文獻

1. 《中國信息安全》期刊2018年第12期

2. 《人民網(wǎng)》2022-9-27期特別報道

3. 《環(huán)球時報》2022-9-22期

4. 《央視新聞》2022-9-27新聞直播間

5. 《北京日報》2022-09-13報道

6. 《圣小博》公眾號2022-9-30期

7. 《計算機安全》2009.12《高級加密標(biāo)準(zhǔn)AES的過程分析及其破解思考》

8. 《海泰方圓數(shù)據(jù)加解密系統(tǒng)白皮書》

9. 《海泰方圓基于國密的身份認(rèn)證系統(tǒng)白皮書》

10. 《海泰方圓云密碼服務(wù)平臺白皮書》

11. 《海泰方圓云密碼應(yīng)用服務(wù)解決方案白皮書》

12. 《海泰方圓數(shù)據(jù)隱私保護服務(wù)綜合解決方案白皮書》


審核編輯黃昊宇