专家：美攻击中国密码产品会危害国家网络安全

环球时报

28日，中国网络空间安全协会发布的一份调查报告显示，国家互联网应急中心CNCERT发现并处置一起美情报机构对中国大型商用密码产品提供商进行网络攻击的事件。接受《环球时报》采访的专家表示，普通人日常使用的金融交易等场景都依赖商用密码的保护，美对我密码产品实施攻击会危害国家网络安全。

报告显示，2024年，美情报机构利用客户关系管理系统漏洞对中国大型商用密码产品提供商实施网络攻击。该公司使用了某客户关系管理系统，主要用于存储客户关系及合同信息等。攻击者利用该系统当时尚未曝光的漏洞进行入侵，实现任意文件上传。入侵成功后，攻击者为清除攻击痕迹，删除了部分日志记录。

报告详细披露了此次事件的网络攻击流程及相关特点。3月5日，攻击者在客户关系管理系统植入了特种木马程序；5月20日，攻击者通过横向移动，开始攻击该公司用于产品及项目代码管理的系统。分析发现，攻击时间主要集中在北京时间22时至次日8时，对应美国东部时间为10时至20时，主要分布在美国时间的星期一至星期五。

此次美情报机构实施的攻击行为包括窃取客户及合同信息、项目信息等大量商业秘密。报告披露，2024年3月至9月，攻击者用14个境外跳板IP连接特种木马程序并窃取客户关系管理系统中的数据，累计窃取数据量达950MB。客户关系管理系统中有用户600余个，存储客户档案列表8000余条，合同订单1万余条，合同客户包括我相关政府部门等多个重要单位。攻击者可以查看合同的名称、采购内容、金额等详细信息。

此外，2024年5月至7月，攻击者用3个境外跳板IP攻击该公司的代码管理系统，累计窃取数据量达6.2GB。代码管理系统中有用户44个，存储了3个密码研发项目的代码等重要信息。

据相关人士介绍，美情报机构窃取我国多个政府单位的采购信息和密码研发项目的代码信息，意图挖掘我国自主密码产品漏洞，甚至篡改相关产品代码并植入恶意程序，进而通过供应链对使用该公司相关产品服务的政府单位进行窃密攻击，危害我关键信息基础设施安全和国家网络安全。

安天技术委员会副主任李柏松28日在接受《环球时报》记者采访时表示，商用密码产品就是在社会运行和日常生活中使用的密码产品，这些产品服务于电信、电力、金融、交通等关键信息基础设施和公民日常生活中的安全需要。“密码产品有多种类型，从功能上包括针对通信链路和数据加密、针对本地数据加密的产品，以及作为身份凭证令牌等产品。从形态上看包括软件、中间件、硬件、设备、在线服务等多种类型。”

李柏松介绍称，“密码产品被掌控或攻破会产生严重后果，例如英阿马岛战争中，阿根廷军队使用的加密机的数据被美情报机构轻易破解，并分享给英国。商用密码产品虽然并不用于国家秘密保护场景，但本身服务于关键信息基础设施和公民日常生活，一旦被攻击者掌握，仍然会带来巨大风险。”

“美方长期对我重要信息系统、关键信息基础设施实施网络攻击活动，我国在提升信息产品自主水平的同时，也在不断提升国产软硬件产品的安全能力和企业机构自身的安全防护水平。面对对手持续的攻击活动，还需要更有效、持续的投入，不断强化相关行业的基础防护、安全运营、威胁分析和应急处置能力。”李柏松表示。