一、背景

據(jù)央視2022年9月5日?qǐng)?bào)道，我國(guó)西北工業(yè)大學(xué)（以下簡(jiǎn)稱西工大）遭到美國(guó)國(guó)家情報(bào)局特定入侵辦公室（代號(hào)TAO）非法入侵，目前已查明涉案人員13人，攻擊次數(shù)一千余次，大量關(guān)鍵核心數(shù)據(jù)被竊取[1] [2]。

隨后，有關(guān)部門進(jìn)一步分析發(fā)現(xiàn)，TAO組織對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施核心設(shè)備進(jìn)行長(zhǎng)期滲透控制，以非法身份侵入我國(guó)運(yùn)營(yíng)商網(wǎng)絡(luò)，構(gòu)建非法遠(yuǎn)程訪問(wèn)通道。實(shí)施內(nèi)網(wǎng)滲透并侵入關(guān)鍵數(shù)據(jù)服務(wù)器，非法訪問(wèn)一批中國(guó)境內(nèi)敏感身份人員信息，竊取用戶隱私數(shù)據(jù)傳至美國(guó)國(guó)家情報(bào)局總部。TAO組織相關(guān)行為嚴(yán)重侵犯中國(guó)有關(guān)機(jī)構(gòu)的技術(shù)秘密，嚴(yán)重危害中國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全, 嚴(yán)重侵犯?jìng)€(gè)人信息安全[3] [4] [5]。

二、TAO組織攻擊滲透流程剖析

圖一、繪圖出自《紅蓮安全實(shí)驗(yàn)室》研究人員Michael

TAO組織此次對(duì)我國(guó)發(fā)起的網(wǎng)絡(luò)攻擊，采取了集中火力尋找突破口、順藤摸瓜感染更大范圍和更深層次設(shè)施、逐步滲透、分步實(shí)施、步步為營(yíng)、長(zhǎng)期靜默潛伏竊密的戰(zhàn)略，展示了其強(qiáng)大的網(wǎng)絡(luò)攻擊能力。其具體的攻擊步驟，按照攻擊的時(shí)間順序、因果關(guān)聯(lián)，我們分四步分析。

1、集中火力尋找突破口，控制西工大網(wǎng)絡(luò)

經(jīng)過(guò)長(zhǎng)期的精心準(zhǔn)備，TAO組織使用“酸狐貍”平臺(tái)對(duì)西工大內(nèi)部主機(jī)和服務(wù)器實(shí)施中間人劫持攻擊，部署“怒火噴射”遠(yuǎn)程控制武器，劫持多臺(tái)關(guān)鍵服務(wù)器、核心網(wǎng)絡(luò)設(shè)備、服務(wù)器及終端，竊取身份驗(yàn)證數(shù)據(jù)，最終達(dá)成了對(duì)西工大內(nèi)部網(wǎng)絡(luò)的隱蔽控制[6]。

2、搜集身份驗(yàn)證數(shù)據(jù)構(gòu)建非法訪問(wèn)通道，滲透基礎(chǔ)設(shè)施，竊取核心運(yùn)維數(shù)據(jù)

TAO組織通過(guò)竊取的西工大技術(shù)人員遠(yuǎn)程業(yè)務(wù)管理的賬號(hào)口令、操作記錄以及系統(tǒng)日志等關(guān)鍵敏感數(shù)據(jù)，順藤摸瓜，非法攻擊上游的中國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施，構(gòu)建了對(duì)運(yùn)營(yíng)商核心數(shù)據(jù)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)的非法通道，實(shí)現(xiàn)了對(duì)中國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的滲透和控制。

3、控制關(guān)鍵信息基礎(chǔ)設(shè)施的重要業(yè)務(wù)系統(tǒng)，竊取用戶數(shù)據(jù)

TAO組織通過(guò)掌握的中國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)商的某廠商網(wǎng)絡(luò)安全設(shè)備的賬號(hào)口令，非法進(jìn)入運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)，控制業(yè)務(wù)服務(wù)器，利用“魔法學(xué)校”等專門針對(duì)運(yùn)營(yíng)商設(shè)備的武器工具，查詢了一批中國(guó)境內(nèi)敏感身份人員信息，并加密后經(jīng)多級(jí)跳板回傳至美國(guó)國(guó)家情報(bào)局總部。

三、TAO組織攻擊事件定性分析

中國(guó)西工大是工信部直屬院校，是中國(guó)唯一以同時(shí)發(fā)展航空、航天、航海工程教育和科學(xué)研究為特色的全國(guó)重點(diǎn)大學(xué)，建有多個(gè)國(guó)家重點(diǎn)實(shí)驗(yàn)室，承擔(dān)著我國(guó)航空、航天、海洋、國(guó)防等多項(xiàng)尖端科研任務(wù)。各大電信運(yùn)營(yíng)商負(fù)責(zé)建設(shè)我國(guó)通信關(guān)鍵信息基礎(chǔ)設(shè)施，在各行各業(yè)中發(fā)揮著舉足輕重的作用，其安全事關(guān)重大。很明顯，這是一起由美國(guó)國(guó)家情報(bào)局組織的情節(jié)惡劣的網(wǎng)絡(luò)攻擊事件，目的是竊取我國(guó)尖端科研成果和核心機(jī)密數(shù)據(jù)并嫁禍于人，其行為給我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全造成嚴(yán)重危害，威脅到我國(guó)網(wǎng)絡(luò)安全和國(guó)防安全，影響我國(guó)發(fā)展和繁榮穩(wěn)定。

這次事件給我們敲響了警鐘，黑惡勢(shì)力就在身邊，網(wǎng)絡(luò)安全與我們息息相關(guān)，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。同時(shí)提醒我們，網(wǎng)絡(luò)安全不能受制于人，應(yīng)從頂層設(shè)計(jì)開始，立足于自主設(shè)計(jì)，要廣泛地普及網(wǎng)絡(luò)安全意識(shí)，通過(guò)國(guó)家立法和技術(shù)手段來(lái)保護(hù)我們的關(guān)鍵信息基礎(chǔ)設(shè)施安全，要對(duì)違反網(wǎng)絡(luò)安全的行為實(shí)施制裁。

這次攻擊使我們更加明白密碼法和網(wǎng)絡(luò)安全法的必要性，實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的必要性，對(duì)涉密信息系統(tǒng)進(jìn)行分級(jí)保護(hù)的必要性，以及對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行保護(hù)的必要性。

三、密碼筑牢維護(hù)國(guó)家網(wǎng)絡(luò)空間信息安全的最后一道防線

我們應(yīng)當(dāng)坦然承認(rèn)，當(dāng)前境外敵對(duì)勢(shì)力攻擊能力十分強(qiáng)大，攻擊手段多樣，任何傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備并非鐵板一塊、牢不可破。然而亡羊補(bǔ)牢猶未晚也，我們應(yīng)該積極思考的是當(dāng)傳統(tǒng)網(wǎng)絡(luò)安全遭到攻擊和破壞時(shí)，有沒(méi)有最后的一道防線來(lái)抵御？答案是確定的，這道防線就是現(xiàn)代密碼技術(shù)。密碼是網(wǎng)絡(luò)安全的核心技術(shù)，是網(wǎng)絡(luò)空間中網(wǎng)絡(luò)信任的基石，是保護(hù)我們黨、國(guó)家和人民根本利益的戰(zhàn)略性資源，更是國(guó)之重器。這一點(diǎn)在中國(guó)共產(chǎn)黨創(chuàng)建和發(fā)展的長(zhǎng)期歷史經(jīng)驗(yàn)中已得到廣泛的驗(yàn)證，經(jīng)受了無(wú)數(shù)次考驗(yàn)。因此，承擔(dān)防御任務(wù)，密碼技術(shù)是合適的。

海泰方圓作為一家擁有20年專業(yè)經(jīng)驗(yàn)的密碼企業(yè)，多年來(lái)在密碼應(yīng)用實(shí)踐中受到廣泛信賴及認(rèn)可，在新基建、重要領(lǐng)域國(guó)產(chǎn)密碼應(yīng)用改造等全面發(fā)展的網(wǎng)信大時(shí)代，以密碼全能力匹配業(yè)務(wù)全場(chǎng)景，護(hù)航數(shù)字中國(guó)，建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)。多次承擔(dān)、參與國(guó)家級(jí)、省部級(jí)科研課題，在密碼標(biāo)準(zhǔn)編制、密碼學(xué)術(shù)論文方面都有顯著成果，參與國(guó)家各級(jí)課題43項(xiàng)，參編國(guó)家及行業(yè)標(biāo)準(zhǔn)48項(xiàng)。

讓我們復(fù)盤此次TAO組織攻擊的完整步驟，剖析涉及的每一個(gè)場(chǎng)景，從密碼的角度出發(fā)去“華山論劍”，從攻防角度討論如果采用合規(guī)的密碼技術(shù)，究竟海泰方圓的密碼全能力可以提供什么樣的防護(hù)，最終達(dá)到什么樣的防護(hù)效果。為行文方便，下文中把TAO組織實(shí)施的攻擊稱為“矛”，海泰方圓提供的密碼防護(hù)稱為“盾”。

第一回合：TAO組織入侵西工大階段（矛一），對(duì)應(yīng)密碼防護(hù)盾一：海泰方圓身份認(rèn)證系統(tǒng)。

TAO組織首先使用網(wǎng)絡(luò)攻擊武器入侵西工大的Telnet服務(wù)器并部署NOPEN木馬黑客軟件，竊取運(yùn)維人員賬號(hào)口令。在此階段，海泰方圓提供的“盾”為采用基于國(guó)密的身份認(rèn)證系統(tǒng)。如圖二所示，此系統(tǒng)利用我國(guó)商用密碼技術(shù)，為運(yùn)維人員提供賬號(hào)口令和硬件指紋UKey證書結(jié)合的雙因素強(qiáng)身份認(rèn)證手段，提供全面的證書簽發(fā)機(jī)構(gòu)（CA）管理、證書管理、日志管理。用新系統(tǒng)改造用戶原有運(yùn)維管理系統(tǒng)，最終全面提升系統(tǒng)入口訪問(wèn)的安全性。

TAO組織遇到的第一個(gè)“攔路虎”將是海泰方圓身份認(rèn)證系統(tǒng)對(duì)運(yùn)維賬號(hào)的全面防護(hù)。因無(wú)法在海泰的硬件指紋UKey上留下指紋，身份認(rèn)證系統(tǒng)的雙因素認(rèn)證流程將無(wú)法通過(guò)，獲取運(yùn)維賬號(hào)操作失敗，TAO組織只得悻悻而歸。

圖二、海泰方圓基于國(guó)密的身份認(rèn)證系統(tǒng)（盾一）

第二回合：TAO組織竊取西工大數(shù)據(jù)階段（矛二），對(duì)應(yīng)密碼防護(hù)盾二：海泰數(shù)據(jù)加解密系統(tǒng)。

TAO組織大肆竊取西工大的數(shù)據(jù)，包括操作記錄，系統(tǒng)日志等關(guān)鍵敏感數(shù)據(jù)。此階段對(duì)抗中，海泰方圓提供的“盾”是數(shù)據(jù)加解密系統(tǒng)。它是一套提供標(biāo)準(zhǔn)及定制化密碼算法服務(wù)能力的密碼服務(wù)系統(tǒng)，用此系統(tǒng)對(duì)西工大關(guān)鍵敏感數(shù)據(jù)做加密保護(hù)，提供機(jī)密性、真實(shí)性、完整性保護(hù)。

圖三、海泰方圓數(shù)據(jù)加解密系統(tǒng)（盾二）

得益于此系統(tǒng)對(duì)用戶數(shù)據(jù)的全面保護(hù)，TAO組織在此回合將遇到無(wú)法訪問(wèn)操作記錄、系統(tǒng)日志等關(guān)鍵敏感數(shù)據(jù)的難題，即使TAO費(fèi)了九牛二虎之力訪問(wèn)到加密后的數(shù)據(jù)，也會(huì)遇到無(wú)法解密的難題。此系統(tǒng)基于我國(guó)商用密碼算法和先進(jìn)的PKI體系，要暴力破解此密碼，需要1.8x1056年[7]，幾乎是宇宙的盡頭。TAO組織在第二回合完敗。

第三回合：TAO組織滲透中國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施（矛三），對(duì)應(yīng)密碼防護(hù)盾三和盾四。

根據(jù)從西工大非法獲取的運(yùn)維賬號(hào)口令，TAO組織在此階段的攻擊是通過(guò)國(guó)內(nèi)外某兩家公司生產(chǎn)的網(wǎng)絡(luò)防火墻，進(jìn)入運(yùn)營(yíng)商機(jī)房，釋放“魔法學(xué)校”攻擊武器，進(jìn)行內(nèi)網(wǎng)滲透。得手后，進(jìn)一步控制短信網(wǎng)關(guān)等服務(wù)器，拿到中國(guó)境內(nèi)敏感身份人員信息和其他隱私數(shù)據(jù)，為避免竊取的數(shù)據(jù)被其實(shí)施攻擊使用的跳板機(jī)所在國(guó)家發(fā)現(xiàn)，TAO組織把這些數(shù)據(jù)加密后上傳給美國(guó)國(guó)家情報(bào)局總部。

針對(duì)組織如此嚴(yán)密、攻擊技術(shù)十分高超的攻擊者，海泰方圓提供的防護(hù)組合重拳是兩個(gè)超級(jí)盾：云密碼應(yīng)用服務(wù)解決方案和海泰隱私保護(hù)統(tǒng)一服務(wù)平臺(tái)。

為什么海泰的組合重拳能夠防住此波攻擊呢？讓我們先來(lái)了解他們。

海泰方圓云密碼應(yīng)用服務(wù)解決方案中靈活的密碼服務(wù)虛擬化技術(shù)和強(qiáng)大的密碼計(jì)算資源，滿足了云平臺(tái)及云上應(yīng)用系統(tǒng)的機(jī)密性、完整性、真實(shí)性和不可抵賴性需求[8] [9]。

圖四、海泰方圓云密碼應(yīng)用服務(wù)解決方案（盾三）

原始數(shù)據(jù)加密后變成了密文，誰(shuí)也看不見。通常情況下，要使用數(shù)據(jù)，就得對(duì)密文解密獲得原始數(shù)據(jù)再使用。在解密利用數(shù)據(jù)進(jìn)行過(guò)程中，長(zhǎng)期攻擊者會(huì)嘗試一切可能的攻擊途徑和攻擊方法，這使得數(shù)據(jù)利用變得效率低下。針對(duì)此問(wèn)題，海泰方圓組合重拳之二“數(shù)據(jù)隱私保護(hù)服務(wù)綜合解決方案”派上用場(chǎng)。

圖五、海泰方圓隱私保護(hù)統(tǒng)一服務(wù)平臺(tái)（盾四）[10]

它基于海泰隱私保護(hù)統(tǒng)一服務(wù)平臺(tái)，可為多種業(yè)務(wù)應(yīng)用的不同場(chǎng)景和需求，提供高效、便捷、合規(guī)的數(shù)據(jù)隱私保護(hù)服務(wù)，使數(shù)據(jù)在隱私安全保護(hù)下傳遞信息價(jià)值，使合法用戶得到無(wú)感化保護(hù)，實(shí)現(xiàn)隱私數(shù)據(jù)的“可用不可見”[11] [12]。

應(yīng)用海泰方圓以上兩個(gè)防護(hù)超級(jí)“盾”之后，客戶的數(shù)據(jù)可以做到在完全無(wú)感的加密環(huán)境下實(shí)現(xiàn)密文計(jì)算，安全地完成任務(wù)。實(shí)現(xiàn)諸如身份證號(hào)碼提取、電話號(hào)碼提取、短信身份驗(yàn)證等等傳統(tǒng)的業(yè)務(wù)，無(wú)需對(duì)數(shù)據(jù)泄露等問(wèn)題有任何擔(dān)心。

我們?cè)賮?lái)分析TAO組織此回合攻擊中將面臨的挑戰(zhàn)。TAO組織將會(huì)發(fā)現(xiàn)，沼澤密布，舉步維艱。TAO組織會(huì)驚訝于進(jìn)入短信網(wǎng)關(guān)等服務(wù)器保存的原始數(shù)據(jù)竟然是密文！這些密文外表看起來(lái)似乎是身份證號(hào)碼，實(shí)際卻是一種密文的“偽身份證”。更為神奇的是，這些像“偽身份證”的數(shù)據(jù)，竟然還能被運(yùn)營(yíng)商內(nèi)部的其他服務(wù)器正常使用， TAO組織偽造幾個(gè)這樣的身份證，嘗試混入正常的密文數(shù)據(jù)隊(duì)列，旋即這些偽造的臟數(shù)據(jù)被新系統(tǒng)精準(zhǔn)識(shí)別并“吐”了出來(lái)。TAO組織一無(wú)所獲，只得望洋興嘆。

五、參考文獻(xiàn)

1. 《中國(guó)信息安全》期刊2018年第12期

2. 《人民網(wǎng)》2022-9-27期特別報(bào)道

3. 《環(huán)球時(shí)報(bào)》2022-9-22期

4. 《央視新聞》2022-9-27新聞直播間

5. 《北京日?qǐng)?bào)》2022-09-13報(bào)道

6. 《圣小博》公眾號(hào)2022-9-30期

7. 《計(jì)算機(jī)安全》2009.12《高級(jí)加密標(biāo)準(zhǔn)AES的過(guò)程分析及其破解思考》

8. 《海泰方圓數(shù)據(jù)加解密系統(tǒng)白皮書》

9. 《海泰方圓基于國(guó)密的身份認(rèn)證系統(tǒng)白皮書》

10. 《海泰方圓云密碼服務(wù)平臺(tái)白皮書》

11. 《海泰方圓云密碼應(yīng)用服務(wù)解決方案白皮書》

12. 《海泰方圓數(shù)據(jù)隱私保護(hù)服務(wù)綜合解決方案白皮書》


審核編輯黃昊宇