10月19日上午，國家安全機(jī)關(guān)披露了美國國家安全局對(duì)國家授時(shí)中心實(shí)施的重大網(wǎng)絡(luò)攻擊活動(dòng)。國家互聯(lián)網(wǎng)應(yīng)急中心通過分析研判和追蹤溯源，公布了此次攻擊事件的具體技術(shù)細(xì)節(jié)。

2022年3月起，NSA利用某國外品牌手機(jī)短信服務(wù)漏洞，秘密監(jiān)控十余名國家授時(shí)中心工作人員，非法竊取手機(jī)通訊錄、短信、相冊(cè)、位置信息等數(shù)據(jù)。2023年4月起，NSA在“三角測(cè)量”行動(dòng)曝光前，多次于北京時(shí)間凌晨，利用在某國外品牌手機(jī)中竊取的登錄憑證入侵國家授時(shí)中心計(jì)算機(jī)，刺探內(nèi)部網(wǎng)絡(luò)建設(shè)情況。2023年8月至2024年6月，NSA針對(duì)性部署新型網(wǎng)絡(luò)作戰(zhàn)平臺(tái)，對(duì)國家授時(shí)中心多個(gè)內(nèi)部業(yè)務(wù)系統(tǒng)實(shí)施滲透活動(dòng)，并企圖向高精度地基授時(shí)導(dǎo)航系統(tǒng)等重大科技基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊。

此次事件中，NSA展示了世界領(lǐng)先水準(zhǔn)的戰(zhàn)術(shù)理念、操作手法、加密通訊和免殺逃逸能力。NSA通過使用正常業(yè)務(wù)數(shù)字證書、偽裝Windows系統(tǒng)模塊、代理網(wǎng)絡(luò)通信等方式隱蔽其攻擊竊密行為，并深入研究殺毒軟件機(jī)制以避免檢測(cè)。NSA使用網(wǎng)攻武器構(gòu)建回環(huán)嵌套加密模式，加密強(qiáng)度遠(yuǎn)超常規(guī)TLS通訊，通信流量更加難以解密還原。在整個(gè)活動(dòng)周期，NSA會(huì)對(duì)受控主機(jī)進(jìn)行全面監(jiān)控，文件變動(dòng)、關(guān)機(jī)重啟都會(huì)導(dǎo)致其全面排查異常原因。NSA會(huì)根據(jù)目標(biāo)環(huán)境動(dòng)態(tài)組合不同網(wǎng)攻武器功能模塊進(jìn)行下發(fā)，表明其統(tǒng)一攻擊平臺(tái)具備靈活的可擴(kuò)展性和目標(biāo)適配能力。但其整體創(chuàng)新性缺失和部分環(huán)節(jié)乏力，顯示出在被各類曝光事件圍追堵截后，技術(shù)迭代升級(jí)面臨瓶頸困境。

此次攻擊事件中，NSA利用“三角測(cè)量行動(dòng)”獲取授時(shí)中心計(jì)算機(jī)終端的登錄憑證，進(jìn)而獲取控制權(quán)限，部署定制化特種網(wǎng)攻武器，并針對(duì)授時(shí)中心網(wǎng)絡(luò)環(huán)境不斷升級(jí)網(wǎng)攻武器，進(jìn)一步擴(kuò)大網(wǎng)攻竊密范圍，以達(dá)到對(duì)該單位內(nèi)部網(wǎng)絡(luò)及關(guān)鍵信息系統(tǒng)長(zhǎng)期滲透竊密的目的。NSA使用的網(wǎng)攻武器共計(jì)42款，可分為三類：前哨控守（“eHome_0cx”）、隧道搭建（“Back_eleven”）和數(shù)據(jù)竊取（“New_Dsz_Implant”），以境外網(wǎng)絡(luò)資產(chǎn)作為主控端控制服務(wù)器實(shí)施攻擊活動(dòng)共計(jì)千余次。

2022年3月24日至2023年4月11日，NSA通過“三角測(cè)量”行動(dòng)對(duì)授時(shí)中心十余部設(shè)備進(jìn)行攻擊竊密。2022年9月，攻擊者通過授時(shí)中心網(wǎng)絡(luò)管理員某國外品牌手機(jī)，獲取了辦公計(jì)算機(jī)的登錄憑證，并利用該憑證獲得了辦公計(jì)算機(jī)的遠(yuǎn)程控制權(quán)限。2023年4月11日至8月3日，攻擊者利用匿名通信網(wǎng)絡(luò)節(jié)點(diǎn)遠(yuǎn)程登錄辦公計(jì)算機(jī)共80余次，并以該計(jì)算機(jī)為據(jù)點(diǎn)探測(cè)授時(shí)中心網(wǎng)絡(luò)環(huán)境。

2023年8月3日至2024年3月24日，攻擊者向網(wǎng)管計(jì)算機(jī)植入了早期版本的“Back_eleven”，竊取網(wǎng)管計(jì)算機(jī)數(shù)據(jù)，并在每次攻擊結(jié)束后清除網(wǎng)絡(luò)攻擊武器內(nèi)存占用和操作痕跡。該階段“Back_eleven”功能尚未成熟，攻擊者每次啟動(dòng)前需遠(yuǎn)程控制關(guān)閉主機(jī)殺毒軟件。

2024年3月至4月，攻擊者針對(duì)授時(shí)中心網(wǎng)絡(luò)環(huán)境，定制化升級(jí)網(wǎng)絡(luò)攻擊武器，植入多款新型網(wǎng)絡(luò)攻擊武器，實(shí)現(xiàn)對(duì)計(jì)算機(jī)的長(zhǎng)期駐留和隱蔽控制。攻擊者加載“eHome_0cx”“Back_eleven”“New_Dsz_Implant”，配套使用的20余款功能模塊，以及10余個(gè)網(wǎng)絡(luò)攻擊武器配置文件。攻擊者利用多款網(wǎng)絡(luò)攻擊武器相互配合，搭建起4層加密隧道，形成隱蔽性極強(qiáng)且功能完善的網(wǎng)攻竊密平臺(tái)。

2024年5月至6月，攻擊者利用“Back_eleven”以網(wǎng)管計(jì)算機(jī)為跳板，攻擊上網(wǎng)認(rèn)證服務(wù)器和防火墻。6月13日9時(shí)，攻擊者激活網(wǎng)管計(jì)算機(jī)上的“eHome_0cx”，植入“Back_eleven”“New_Dsz_Implant”，并以此為跳板竊取認(rèn)證服務(wù)器數(shù)據(jù)。7月13日9時(shí)，攻擊者再次激活網(wǎng)管計(jì)算機(jī)上的“eHome_0cx”，下發(fā)“Back_eleven”和“New_Dsz_Implant”竊取數(shù)據(jù)。

攻擊者在此次網(wǎng)絡(luò)攻擊事件中使用的網(wǎng)攻武器、功能模塊、惡意文件等總計(jì)42個(gè)，主要網(wǎng)攻武器按照功能可分為前哨控守類武器、隧道搭建類武器、數(shù)據(jù)竊取類武器。攻擊者利用這些武器實(shí)現(xiàn)了長(zhǎng)期控守目標(biāo)計(jì)算機(jī)終端、搭建網(wǎng)絡(luò)通信和數(shù)據(jù)傳輸隧道、竊取數(shù)據(jù)等功能。