就在10月19日上午,國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)聯(lián)合國家安全機關(guān)正式披露:自2022年起,美國國家安全局(NSA)對我國國家授時中心實施了長達兩年多的系統(tǒng)性網(wǎng)絡(luò)攻擊。這場攻擊不僅技術(shù)手段先進、組織嚴(yán)密,更暴露出美國在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域長期奉行“雙重標(biāo)準(zhǔn)”的霸權(quán)邏輯——自己是全球最大的網(wǎng)絡(luò)攻擊者,卻屢屢污蔑他國“網(wǎng)絡(luò)威脅”。
這起事件,將一個我們?nèi)粘I钪辛?xí)以為常,卻關(guān)乎國家命脈的領(lǐng)域——授時,推到了風(fēng)口浪尖。
什么是授時?
授時,簡單說就是發(fā)布標(biāo)準(zhǔn)時間。我們每天看手機、手表校準(zhǔn)時間,背后都依賴于這個全國統(tǒng)一、高度精準(zhǔn)的時間源。
但授時的意義遠不止于此。它是中國現(xiàn)代科技與社會運行的“隱形基石”。國家授時中心(NTSC)位于陜西西安臨潼,是中國唯一法定的國家時間頻率基準(zhǔn)發(fā)布機構(gòu)。它產(chǎn)生的“北京時間”不僅用于日常鐘表校準(zhǔn),更是金融交易、電力調(diào)度、通信同步、衛(wèi)星導(dǎo)航、國防指揮等關(guān)鍵系統(tǒng)的基礎(chǔ)。
例如,一筆跨境匯款、一次股票買賣,時間戳差之毫秒,就可能導(dǎo)致巨額損失或法律糾紛。5G/6G基站的協(xié)同、數(shù)據(jù)包的交換,都需要精確同步,否則網(wǎng)絡(luò)效率將急劇下降。
可以說,掌控了授時,就等于掌控了現(xiàn)代社會的“心跳”。一旦授時系統(tǒng)被干擾或劫持,其后果不堪設(shè)想——金融市場可能瞬間崩潰,電網(wǎng)可能陷入癱瘓,高鐵可能停運,國防安全將面臨嚴(yán)峻挑戰(zhàn)。
正因如此,國家授時中心不僅是科研機構(gòu),更是國家關(guān)鍵信息基礎(chǔ)設(shè)施的核心節(jié)點,是網(wǎng)絡(luò)空間中必須死守的“戰(zhàn)略要地”。而這次,美國NSA的黑手,恰恰伸向了這里。
NSA的“時間竊密”
根據(jù)CNCERT發(fā)布的《技術(shù)分析報告》,NSA此次攻擊代號雖未明示,但卻是一場典型的“APT(高級持續(xù)性威脅)”行動,具備長期潛伏、多層加密、動態(tài)適配、高度隱蔽等特征。整個攻擊可分為四個階段:
階段一:從手機入手 獲取權(quán)限(2022.3–2023.4)
NSA并未直接攻擊授時中心內(nèi)網(wǎng),而是始于對個人設(shè)備的精準(zhǔn)打擊。他們利用某國外品牌智能手機的短信服務(wù)漏洞,對10余名授時中心工作人員實施監(jiān)控,竊取通訊錄、短信、相冊、位置等敏感數(shù)據(jù)。2022年9月,一名網(wǎng)絡(luò)管理員的手機被攻陷,其辦公電腦的登錄憑證隨之泄露。獲得權(quán)限后,NSA通過匿名網(wǎng)絡(luò)節(jié)點遠程登錄辦公計算機80余次。
階段二:植入特種網(wǎng)攻武器(2023.4–2023.8)
2023年8月3日至2024年3月24日,攻擊者向網(wǎng)管計算機植入了早期版本的“Back_eleven”,竊取網(wǎng)管計算機數(shù)據(jù),并在每次攻擊結(jié)束后清除網(wǎng)絡(luò)攻擊武器內(nèi)存占用和操作痕跡。該階段“Back_eleven”功能尚未成熟,攻擊者每次啟動前需遠程控制關(guān)閉主機殺毒軟件。
第三階段:武裝升級(2023.8 - 2024.3)
NSA針對授時中心的特定環(huán)境,定制化升級網(wǎng)絡(luò)攻擊武器,植入多款新型網(wǎng)絡(luò)攻擊武器,實現(xiàn)對計算機的長期駐留和隱蔽控制。攻擊者加載“eHome_0cx”“Back_eleven”“New_Dsz_Implant”,配套使用的20余款功能模塊,以及10余個網(wǎng)絡(luò)攻擊武器配置文件。
攻擊者利用多款網(wǎng)絡(luò)攻擊武器相互配合,搭建起4層加密隧道,形成隱蔽性極強且功能完善的網(wǎng)攻竊密平臺。
第四階段:橫向滲透——直指核心系統(tǒng)(2024.5 - 2024.6)
以網(wǎng)管計算機為跳板,NSA利用“Back_eleven”先后攻陷了上網(wǎng)認(rèn)證服務(wù)器和防火墻。2024年6月13日和7月13日,攻擊者兩次激活主控程序“eHome_0cx”,下發(fā)指令,通過“New_Dsz_Implant”等工具大規(guī)模竊取敏感數(shù)據(jù)。
據(jù)悉,CNCERT共識別出NSA使用的網(wǎng)攻武器、功能模塊、惡意文件等總計42個,構(gòu)成一個分工明確、協(xié)同作戰(zhàn)的體系:一是前哨控守類:實現(xiàn)長期駐留、隱蔽控制、加載后續(xù)武器;二是隧道搭建類: 建立與境外主控服務(wù)器的加密通信隧道,傳輸指令和數(shù)據(jù);三是數(shù)據(jù)竊取類:此類武器可動態(tài)加載各種插件模塊來實現(xiàn)具體的竊密功能。
這一整套攻擊流程,展現(xiàn)了NSA在隱匿性、加密強度、持久性和靈活性上的“世界領(lǐng)先水準(zhǔn)”。若非我國安全機構(gòu)及時發(fā)現(xiàn)并阻斷,后果不堪設(shè)想。
全球頭號網(wǎng)絡(luò)攻擊慣犯
此次授時中心事件并非孤例。過去十余年,美國NSA及其關(guān)聯(lián)機構(gòu)(如CIA、TAO)已被多次曝光對中國關(guān)鍵基礎(chǔ)設(shè)施發(fā)動攻擊:
2013年,斯諾登披露的“棱鏡計劃”顯示,NSA長期對包括中國在內(nèi)的政府機構(gòu)、企業(yè)及普通網(wǎng)民進行大規(guī)模監(jiān)聽。華為、百度、騰訊等企業(yè)均在監(jiān)聽名單上。
2020年:360捕獲了美國中央情報局CIA攻擊組織(APT-C-39)對我國進行的長達十年的網(wǎng)絡(luò)攻擊滲透。在此期間,我國航空航天、科研機構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機構(gòu)等多個單位均遭到不同程度的攻擊。
2022年:北京奇安盤古實驗室披露NSA黑客組織“方程式”利用頂級后門,對中國、俄羅斯等全球45個國家地區(qū)開展長達十幾年的“電幕行動”(Bvp47)網(wǎng)絡(luò)攻擊。
2022年:CNCERT披露,NSA下屬的“特定入侵行動辦公室”(TAO)對我國西北工業(yè)大學(xué)進行網(wǎng)絡(luò)攻擊,竊取大量敏感科研數(shù)據(jù)。
2024年12月18日,CNCERT揭露兩起美國針對我國大型科技企業(yè)機構(gòu)網(wǎng)絡(luò)攻擊事件。2023年5月起,我國某智慧能源和數(shù)字信息大型高科技企業(yè)遭疑似美國情報機構(gòu)網(wǎng)絡(luò)攻擊,2024年8月,我國某先進材料設(shè)計研究單位遭疑似美國情報機構(gòu)網(wǎng)絡(luò)攻擊,攻擊者竊取兩家公司大量商業(yè)秘密信息和知識產(chǎn)權(quán)。
諷刺的是,就在對中國發(fā)動網(wǎng)絡(luò)攻擊的同時,美國政客和媒體卻不斷炒作“中國威脅論”,無端指責(zé)華為、中興、大疆等企業(yè)“危害國家安全”,甚至推動“清潔網(wǎng)絡(luò)”計劃,將中國排除在全球數(shù)字生態(tài)之外。
美國商務(wù)部工業(yè)與安全局(BIS)更是屢次將中國高科技企業(yè)列入“實體清單”,理由往往是莫須有的“國家安全風(fēng)險”和“竊取知識產(chǎn)權(quán)”。
美國這種“自己縱火,反誣他人放火”的行徑,才是國際網(wǎng)絡(luò)空間秩序最大的破壞者。
