某国军队训练中心是全军规模比较大的综合性培训基地。中心内有一套功能齐全的语音记录系统,用于录制所有训练教室和模拟训练场内的教学和考核对话。这些录音可以用来评估教官的教学质量、分析学员的学习效果,以及在出现训练事故时作为追溯依据。系统运行了几年,积累的录音数据非常庞大,其中有大量涉及实战训练方案、战术教学要点、武器装备操作流程等敏感内容。然而有一天,训练中心的网络管理员早上来到机房的时候,发现所有电脑屏幕上同时出现了一个勒索信息弹窗。勒索软件攻破了训练中心的网络防线,把所有联网服务器上的数据都加密了,包括语音记录系统的全部录音文件。更糟糕的是,黑客在加密数据的同时,还利用系统漏洞将一部分数据提前复制并下载到了自己的服务器上。训练中心不仅面临数据被勒索的窘境,还面临着核心训练数据已经被窃取的严重安全风险。
这条泄密链的技术路径在网络安全领域已经相当常见,但发生在军事系统上后果完全不同。第一步是黑客通过互联网扫描发现了训练中心对外服务的某个端口存在漏洞,可能是某个远程运维接口没有关闭,或者是某个系统组件没有及时更新补丁。第二步是利用这个漏洞在训练中心的内部网络中建立一个据点和访问通道。第三步是在内部网络中进行横向移动,寻找语音记录系统的服务器位置,同时收集管理员账号的认证信息。第四步是获得语音记录系统服务器的访问权限后,首先将系统内存储的全部录音数据复制和压缩,然后通过已经建立的加密通道慢慢传输到外部的服务器上。第五步是在数据传输完毕后,在所有连接的终端上部署勒索软件,执行加密操作并显示勒索信息。第六步是训练中心在发现入侵后,不仅要面对数据丢失的问题,还要评估已经被窃取的录音数据中包含哪些敏感信息。完整链条就是一次标准的勒索软件攻击,但因为攻击目标是军事训练中心,后果远不止是经济损失那么简单。
这个案例带来的警示非常迫切。第一,军事训练中心的网络系统必须与互联网进行物理隔离,特别是存储有涉密数据的服务器绝对不能以任何形式直接或间接连接外部网络。物理隔离和网络隔离是军事网络安全最根本的防线。第二,如果必须提供远程访问功能,必须使用经过审批的安全接入方案,并且要建立完善的访问审计和异常行为监控机制。第三,语音记录系统这类会积累大量敏感数据的系统,数据要定期进行备份并且加密存储在离线介质上,防止单一系统被攻破后数据全部丢失。第四,训练中心要建立和完善网络安全的应急预案,一旦发现入侵行为能够快速响应,切断数据外泄的通道。第五,勒索软件攻击的威胁对所有联网系统都是真实存在的,但在军事领域,勒索的金钱损失可能还是次要的,更严重的是那些被窃取的数据内容。你的训练方案、战术教案和操作流程,可能在对方支付几枚比特币后就被卖给了你们的对手。网络安全的第一道防线不是防火墙,而是每一个涉密单位对数字资产安全的高度重视。
