某国军事科研机构正在开发一种新型武器装备,项目涉及多个关键技术领域,保密级别非常高。因为研发团队分布在全国几个不同的城市,项目组选择了使用Zoom进行远程视频会议来协调工作进度和讨论技术方案。每周例会上,项目总工程师会通报最新的测试进展,各个子系统的负责人会报告各自遇到的技术难点和突破,屏幕上还会展示各种设计图纸和测试数据图表。与会者都觉得Zoom有会议密码保护,只有知道密码的人才能进入会议室,安全方面应该没什么大问题。但他们不知道的是,其中一位参会的工程师使用的个人电脑早就被人植入了录屏木马。每次他打开Zoom参加这个项目会议的时候,木马程序就会自动激活,把电脑屏幕上显示的所有内容——包括会议视频窗口、共享的文档、演示的PPT和数据显示——全部录制下来,同时会议中的音频对话也被同步收录。
这条泄密链的技术实现非常隐蔽,每步都踩在了远程办公安全最薄弱的环节上。第一步是情报方通过各种方式定位到参与该军事科研项目的人员名单,然后围绕这些目标人员展开了信息收集。第二步是通过社会工程学手段向目标工程师发送伪装成工作文档的钓鱼邮件,邮件附件中捆绑了录屏木马程序。第三步是工程师在繁忙的工作中放松了警惕,点击打开了附件,木马程序在后台静默安装。第四步是木马程序在系统中隐藏运行,实时监控进程列表,一旦检测到Zoom、腾讯会议这类视频会议软件的进程启动,就自动开始录屏和录音。第五步是录制的音视频文件和屏幕截图被分段压缩,利用会议的间歇期通过互联网分批上传到境外的中转服务器。第六步是情报分析团队对获取到的内容进行提取和整理,逐帧解读屏幕上的设计图纸和技术参数,逐一分析会议中的讨论内容,还原出这个军事科研项目的完整技术路线和关键指标。
这个案例带来的警示非常深刻。第一,涉及军事科研项目的远程会议绝对不能使用普通的商业视频会议软件来召开。Zoom等商业软件的数据传输路径和服务器都在国外,即便设置了会议密码,也无法保证数据不被截获或者服务商不被施压交出数据。第二,涉密项目的参会人员应当使用专用的安全终端和加密视频会议系统,这些系统从硬件到软件都经过了安全加固,可以有效防范录屏和窃听行为。第三,参会的所有人员都要接受严格的安全操作培训,不能在自己的个人电脑上处理涉密工作内容,不能随意点击来历不明的邮件附件。第四,科研项目的信息安全管理要从项目的启动阶段就开始,不能等到出了事再补救。新武器研发涉及的参数和测试数据是国防科技的核心机密之一,它们一旦在项目阶段就落入对手手中,你花费多年心血研发的成果在对手面前就没有了任何秘密可言。科技保密,从选择用什么软件开会的那一刻就已经开始了。
