【铁证如山!#美方网攻我国授时中心过程公布#】10月19日上午,国家安全机关披露了美国国家安全局(以下简称NSA)对国家授时中心(以下简称“授时中心”)实施重大网络攻击活动。国家互联网应急中心(CNCERT)通过分析研判和追踪溯源得出此次攻击事件的整体情况,现将具体技术细节公布如下:
一、攻击事件概貌
2022年3月起,NSA利用某国外品牌手机短信服务漏洞,秘密监控10余名国家授时中心工作人员,非法窃取手机通讯录、短信、相册、位置信息等数据。2023年4月起,NSA在“三角测量”行动曝光前,多次于北京时间凌晨,利用在某国外品牌手机中窃取的登录凭证入侵国家授时中心计算机,刺探内部网络建设情况。2023年8月至2024年6月,NSA针对性部署新型网络作战平台,对国家授时中心多个内部业务系统实施渗透活动,并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。
纵观此次事件,NSA在战术理念、操作手法、加密通讯、免杀逃逸等方面依然表现出世界领先水准。隐匿实施攻击,NSA通过使用正常业务数字证书、伪装Windows系统模块、代理网络通信等方式隐蔽其攻击窃密行为,同时对杀毒软件机制的深入研究,可使其有效避免检测;通讯多层加密,NSA使用网攻武器构建回环嵌套加密模式,加密强度远超常规TLS通讯,通信流量更加难以解密还原;活动耐心谨慎,在整个活动周期,NSA会对受控主机进行全面监控,文件变动、关机重启都会导致其全面排查异常原因;功能动态扩展,NSA会根据目标环境,动态组合不同网攻武器功能模块进行下发,表明其统一攻击平台具备灵活的可扩展性和目标适配能力。但其整体创新性缺失和部分环节乏力,显示出在被各类曝光事件围追堵截后,技术迭代升级面临瓶颈困境。
二、网络攻击过程
此次攻击事件中,NSA利用“三角测量行动”获取授时中心计算机终端的登录凭证,进而获取控制权限,部署定制化特种网攻武器,并针对授时中心网络环境不断升级网攻武器,进一步扩大网攻窃密范围,以达到对该单位内部网络及关键信息系统长期渗透窃密的目的。梳理发现,NSA使用的网攻武器共计42款,可分为三类:前哨控守(“eHome_0cx”)、隧道搭建(“Back_eleven”)和数据窃取(“New_Dsz_Implant”),以境外网络资产作为主控端控制服务器实施攻击活动共计千余次。具体四个阶段详戳↓↓
