一、背景
據央視2022年9月5日報道,我國西北工業大學(以下簡稱西工大)遭到美國國家情報局特定入侵辦公室(代號TAO)非法入侵,目前已查明涉案人員13人,攻擊次數一千余次,大量關鍵核心數據被竊取[1] [2]。
隨后,有關部門進一步分析發現,TAO組織對我國關鍵信息基礎設施核心設備進行長期滲透控制,以非法身份侵入我國運營商網絡,構建非法遠程訪問通道。實施內網滲透并侵入關鍵數據服務器,非法訪問一批中國境內敏感身份人員信息,竊取用戶隱私數據傳至美國國家情報局總部。TAO組織相關行為嚴重侵犯中國有關機構的技術秘密,嚴重危害中國關鍵信息基礎設施安全, 嚴重侵犯個人信息安全[3] [4] [5]。
二、TAO組織攻擊滲透流程剖析
圖一、繪圖出自《紅蓮安全實驗室》研究人員Michael
TAO組織此次對我國發起的網絡攻擊,采取了集中火力尋找突破口、順藤摸瓜感染更大范圍和更深層次設施、逐步滲透、分步實施、步步為營、長期靜默潛伏竊密的戰略,展示了其強大的網絡攻擊能力。其具體的攻擊步驟,按照攻擊的時間順序、因果關聯,我們分四步分析。
1、集中火力尋找突破口,控制西工大網絡
經過長期的精心準備,TAO組織使用“酸狐貍”平臺對西工大內部主機和服務器實施中間人劫持攻擊,部署“怒火噴射”遠程控制武器,劫持多臺關鍵服務器、核心網絡設備、服務器及終端,竊取身份驗證數據,最終達成了對西工大內部網絡的隱蔽控制[6]。
2、搜集身份驗證數據構建非法訪問通道,滲透基礎設施,竊取核心運維數據
TAO組織通過竊取的西工大技術人員遠程業務管理的賬號口令、操作記錄以及系統日志等關鍵敏感數據,順藤摸瓜,非法攻擊上游的中國關鍵信息基礎設施,構建了對運營商核心數據網絡遠程訪問的非法通道,實現了對中國關鍵信息基礎設施的滲透和控制。
3、控制關鍵信息基礎設施的重要業務系統,竊取用戶數據
TAO組織通過掌握的中國關鍵信息基礎設施運營商的某廠商網絡安全設備的賬號口令,非法進入運營商內部網絡,控制業務服務器,利用“魔法學校”等專門針對運營商設備的武器工具,查詢了一批中國境內敏感身份人員信息,并加密后經多級跳板回傳至美國國家情報局總部。
三、TAO組織攻擊事件定性分析
中國西工大是工信部直屬院校,是中國唯一以同時發展航空、航天、航海工程教育和科學研究為特色的全國重點大學,建有多個國家重點實驗室,承擔著我國航空、航天、海洋、國防等多項尖端科研任務。各大電信運營商負責建設我國通信關鍵信息基礎設施,在各行各業中發揮著舉足輕重的作用,其安全事關重大。很明顯,這是一起由美國國家情報局組織的情節惡劣的網絡攻擊事件,目的是竊取我國尖端科研成果和核心機密數據并嫁禍于人,其行為給我國關鍵信息基礎設施安全造成嚴重危害,威脅到我國網絡安全和國防安全,影響我國發展和繁榮穩定。
這次事件給我們敲響了警鐘,黑惡勢力就在身邊,網絡安全與我們息息相關,沒有網絡安全就沒有國家安全。同時提醒我們,網絡安全不能受制于人,應從頂層設計開始,立足于自主設計,要廣泛地普及網絡安全意識,通過國家立法和技術手段來保護我們的關鍵信息基礎設施安全,要對違反網絡安全的行為實施制裁。
這次攻擊使我們更加明白密碼法和網絡安全法的必要性,實行網絡安全等級保護制度的必要性,對涉密信息系統進行分級保護的必要性,以及對關鍵信息基礎設施進行保護的必要性。
四、密碼筑牢維護國家網絡空間信息安全的最后一道防線
我們應當坦然承認,當前境外敵對勢力攻擊能力十分強大,攻擊手段多樣,任何傳統網絡安全設備并非鐵板一塊、牢不可破。然而亡羊補牢猶未晚也,我們應該積極思考的是當傳統網絡安全遭到攻擊和破壞時,有沒有最后的一道防線來抵御?答案是確定的,這道防線就是現代密碼技術。密碼是網絡安全的核心技術,是網絡空間中網絡信任的基石,是保護我們黨、國家和人民根本利益的戰略性資源,更是國之重器。這一點在中國共產黨創建和發展的長期歷史經驗中已得到廣泛的驗證,經受了無數次考驗。因此,承擔防御任務,密碼技術是合適的。
海泰方圓作為一家擁有20年專業經驗的密碼企業,多年來在密碼應用實踐中受到廣泛信賴及認可,在新基建、重要領域國產密碼應用改造等全面發展的網信大時代,以密碼全能力匹配業務全場景,護航數字中國,建設網絡強國。多次承擔、參與國家級、省部級科研課題,在密碼標準編制、密碼學術論文方面都有顯著成果,參與國家各級課題43項,參編國家及行業標準48項。
讓我們復盤此次TAO組織攻擊的完整步驟,剖析涉及的每一個場景,從密碼的角度出發去“華山論劍”,從攻防角度討論如果采用合規的密碼技術,究竟海泰方圓的密碼全能力可以提供什么樣的防護,最終達到什么樣的防護效果。為行文方便,下文中把TAO組織實施的攻擊稱為“矛”,海泰方圓提供的密碼防護稱為“盾”。
第一回合:TAO組織入侵西工大階段(矛一),對應密碼防護盾一:海泰方圓身份認證系統。
TAO組織首先使用網絡攻擊武器入侵西工大的Telnet服務器并部署NOPEN木馬黑客軟件,竊取運維人員賬號口令。在此階段,海泰方圓提供的“盾”為采用基于國密的身份認證系統。如圖二所示,此系統利用我國商用密碼技術,為運維人員提供賬號口令和硬件指紋UKey證書結合的雙因素強身份認證手段,提供全面的證書簽發機構(CA)管理、證書管理、日志管理。用新系統改造用戶原有運維管理系統,最終全面提升系統入口訪問的安全性。
TAO組織遇到的第一個“攔路虎”將是海泰方圓身份認證系統對運維賬號的全面防護。因無法在海泰的硬件指紋UKey上留下指紋,身份認證系統的雙因素認證流程將無法通過,獲取運維賬號操作失敗,TAO組織只得悻悻而歸。
圖二、海泰方圓基于國密的身份認證系統(盾一)
第二回合:TAO組織竊取西工大數據階段(矛二),對應密碼防護盾二:海泰數據加解密系統。
TAO組織大肆竊取西工大的數據,包括操作記錄,系統日志等關鍵敏感數據。此階段對抗中,海泰方圓提供的“盾”是數據加解密系統。它是一套提供標準及定制化密碼算法服務能力的密碼服務系統,用此系統對西工大關鍵敏感數據做加密保護,提供機密性、真實性、完整性保護。
圖三、海泰方圓數據加解密系統(盾二)
得益于此系統對用戶數據的全面保護,TAO組織在此回合將遇到無法訪問操作記錄、系統日志等關鍵敏感數據的難題,即使TAO費了九牛二虎之力訪問到加密后的數據,也會遇到無法解密的難題。此系統基于我國商用密碼算法和先進的PKI體系,要暴力破解此密碼,需要1.8x1056年[7],幾乎是宇宙的盡頭。TAO組織在第二回合完敗。
第三回合:TAO組織滲透中國關鍵信息基礎設施(矛三),對應密碼防護盾三和盾四。
根據從西工大非法獲取的運維賬號口令,TAO組織在此階段的攻擊是通過國內外某兩家公司生產的網絡防火墻,進入運營商機房,釋放“魔法學校”攻擊武器,進行內網滲透。得手后,進一步控制短信網關等服務器,拿到中國境內敏感身份人員信息和其他隱私數據,為避免竊取的數據被其實施攻擊使用的跳板機所在國家發現,TAO組織把這些數據加密后上傳給美國國家情報局總部。
針對組織如此嚴密、攻擊技術十分高超的攻擊者,海泰方圓提供的防護組合重拳是兩個超級盾:云密碼應用服務解決方案和海泰隱私保護統一服務平臺。
為什么海泰的組合重拳能夠防住此波攻擊呢?讓我們先來了解他們。
海泰方圓云密碼應用服務解決方案中靈活的密碼服務虛擬化技術和強大的密碼計算資源,滿足了云平臺及云上應用系統的機密性、完整性、真實性和不可抵賴性需求[8] [9]。
圖四、海泰方圓云密碼應用服務解決方案(盾三)
原始數據加密后變成了密文,誰也看不見。通常情況下,要使用數據,就得對密文解密獲得原始數據再使用。在解密利用數據進行過程中,長期攻擊者會嘗試一切可能的攻擊途徑和攻擊方法,這使得數據利用變得效率低下。針對此問題,海泰方圓組合重拳之二“數據隱私保護服務綜合解決方案”派上用場。
圖五、海泰方圓隱私保護統一服務平臺(盾四)[10]
它基于海泰隱私保護統一服務平臺,可為多種業務應用的不同場景和需求,提供高效、便捷、合規的數據隱私保護服務,使數據在隱私安全保護下傳遞信息價值,使合法用戶得到無感化保護,實現隱私數據的“可用不可見”[11] [12]。
應用海泰方圓以上兩個防護超級“盾”之后,客戶的數據可以做到在完全無感的加密環境下實現密文計算,安全地完成任務。實現諸如身份證號碼提取、電話號碼提取、短信身份驗證等等傳統的業務,無需對數據泄露等問題有任何擔心。
我們再來分析TAO組織此回合攻擊中將面臨的挑戰。TAO組織將會發現,沼澤密布,舉步維艱。TAO組織會驚訝于進入短信網關等服務器保存的原始數據竟然是密文!這些密文外表看起來似乎是身份證號碼,實際卻是一種密文的“偽身份證”。更為神奇的是,這些像“偽身份證”的數據,竟然還能被運營商內部的其他服務器正常使用, TAO組織偽造幾個這樣的身份證,嘗試混入正常的密文數據隊列,旋即這些偽造的臟數據被新系統精準識別并“吐”了出來。TAO組織一無所獲,只得望洋興嘆。
五、參考文獻
1. 《中國信息安全》期刊2018年第12期
2. 《人民網》2022-9-27期特別報道
3. 《環球時報》2022-9-22期
4. 《央視新聞》2022-9-27新聞直播間
5. 《北京日報》2022-09-13報道
6. 《圣小博》公眾號2022-9-30期
7. 《計算機安全》2009.12《高級加密標準AES的過程分析及其破解思考》
8. 《海泰方圓數據加解密系統白皮書》
9. 《海泰方圓基于國密的身份認證系統白皮書》
10. 《海泰方圓云密碼服務平臺白皮書》
11. 《海泰方圓云密碼應用服務解決方案白皮書》
12. 《海泰方圓數據隱私保護服務綜合解決方案白皮書》
