如影随形

美国对我国授时中心进行网络攻击事件曝光 - 新

发布时间：2025-10-20 09:21编辑：365bet亚洲体育浏览（112）

据央视新闻报道，10月19日上午，国家安全局披露，国家安全局（以下简称NSA）对国家授时中心（以下简称“授时中心”）进行了重大网络攻击。国家互联网应急响应中心（CNCERT）通过分析判断和监测，掌握了本次攻击的总体情况。今天公布的具体技术细节如下： 1. 攻击概述。从2022年3月开始，美国国家安全局利用某国外品牌手机短信服务漏洞，秘密监控10余名国家授时中心工作人员，非法窃取手机通讯录、短信、相册、位置信息等数据。截至2023年4月，“三角”操作曝光前，美国国家安全局利用从国外移动品牌窃取的登录凭据多次攻击国家计时中心的计算机北京时间凌晨刺探网络内部建设情况。 2023年8月至2024年6月，美国国家安全局有针对性地部署新型网络作战平台，对国家授时中心多个内部业务系统进行渗透活动，企图对高精度授时、导航系统等关键科技基础设施发起攻击。在整个事件中，美国国家安全局在战术理念、操作技术、加密通信、不杀生逃生等方面仍然展现了世界领先水平。为了防误地进行攻击，NSA通过使用正常的数字商业证书、伪装Windows系统模块、代理网络通信等手段来保持页面攻击和窃取。通信采用多层加密，NSA利用网络攻击武器打造环回嵌套加密模式。加密强度远超传统TLS通信和通信流量。解密和恢复更加困难；活动要有耐心、细心。在整个活动周期中，NSA 可以全面监控受控主机。文件更改、关机重启将全面排查异常原因；功能动态扩展，NSA将根据目标环境动态组合各种攻击武器并下发，表明组合攻击平台具有灵活的扩展性和目标适应能力。但创新的普遍缺乏和部分环节的薄弱表明，在受到各种曝光事件的阻击后，技术的迭代升级正面临瓶颈。 2.网络攻击流程 在这次攻击中，NSA利用“三角测量行动”获取了授时中心计算机终端的登录凭证，进而获得控制权，部署定制化的特殊网络攻击k武器，根据授时中心网络环境不断升级网络攻击武器，进一步扩大网络攻击窃取范围，以达到对部队内部网络和关键信息系统进行长期渗透和窃取的目的。分类后发现，NSA总共使用了42种网络攻击武器，可分为三类：前哨控制（“ehome_0cx”）、隧道建设（“back_eleven”）和数据盗窃（“new_dsz_implant”）。利用国外网络资产作为主控服务器，实施了千余次攻击。具体分为以下四个阶段：（1）2022年3月24日至2023年4月11日期间，NSA夺取控制权，利用“三角”行动攻击计时中心10余台设备，窃取机密。 2022年9月，攻击者通过国外手机照片获取了办公电脑的登录凭据服务时间网络管理员，并使用凭据获取办公室计算机的远程控制权限。 2023年4月11日至8月3日期间，攻击者利用通信网络的匿名节点远程登录计算机计算机80余次，并以计算机为基础查看授时中心的网络环境。 2023年8月3日攻击过程（二）植入特殊网络攻击武器 2023年8月3日至2024年3月24日，攻击者在计算机管理计算机上植入“back_eleven”早期版本，窃取计算机管理上的数据，并在每次攻击后删除内存使用情况和网络攻击网络痕迹。现阶段“back_eleven”功能尚不成熟，攻击者需要在每次启动前远程控制并关闭主机防病毒软件。关闭部分杀毒软件的记录（三）升级专用网络攻击武器2024年3月至2024年4月，攻击者针对授时中心网络环境定制升级网络攻击武器，植入各种新型网络攻击武器，实现对计算机的长期驻留和隐蔽控制。攻击者加载“ehome_0cx”、“back_eleven”、“new_dsz_implant”等20多个支撑功能模块，以及10多个网络攻击武器攻击文件。 “EHOME_0CX”数据包内存加载过程“back_eleven”内存加载过程“new_dsz_implant”过程攻击利用多种网络攻击武器相互配合，形成4层加密隧道，形成高度隐蔽、完整的网络攻击盗窃吸引力。网络攻击武器加密方式（四）内网横向渗透过程2024年5月至6月，攻击者利用“back_eleven”以计算机管理计算机为跳板，攻击互联网认证服务器和防火墙。 6月13日9点，攻击激活了电脑上的“ehome_0cx”ter管理计算机，植入“back_eleven”和“new_dsz_implant”，并以此为跳板窃取认证服务器数据。 7月13日9点，攻击在计算机管理电脑上激活“ehome_0cx”，并释放“back_eleven”和“new_dsz_implant”窃取数据。 2024年6月13日窃取数据包的网络攻击3.网络攻击武器评估及攻击者在本次网络攻击事件中总共使用了42个网络攻击武器、功能模块、恶意文件等。网络攻击的主要武器按功能可分为前哨控制和防御武器、隧道建设武器和数据窃取武器。 .武器的目的。根据该类型主武器的资源加载路径，命名为“ehome_0cx”。 “Ehome_0cx”由四个网络攻击模块组成。它通过DLL劫持正常的系统服务（如资源管理器和事件日志服务）来实现自启动。初始化后，它删除内存中的可执行文件头数据，以隐藏网络攻击武器的操作痕迹。 “EHOME_0CX”网络模块攻击表（2）构建武器攻击利用该类网络攻击武器构建网络通信和数据传输隧道，实现对其他类型网络攻击武器的远程控制和窃取数据的加密传输。它还具有有关命令的获取和执行功能的信息。在初始连接阶段，它向主控端发送一个数字为“11”的标识号，命名为“back_eleven”。 “Back_eleven”检测运行环境（三）盗窃数据盗窃利用此类网络攻击武器窃取数据。武器运行时，以网络武器攻击模块启动，加载各种插件模块，实现特定的隐身功能。该武器与 NSA 网络攻击武器“Danderspritz”（狂暴喷雾）高度同源，因此得名“New-Dsz-Imp”“New-DSZ-Implant”由“EHOME_0CX”加载运行，与“Back_eleven”开发的数据传输链路配合使用，在p活动攻击中不具备特定的隐身功能，需要通过接收主控端指令加载功能模块，实现各种秘密窃取功能。在本次网络攻击中，攻击者利用“New-DSZ-Implant”加载了25个功能模块 模块。各模块的功能如下表所示。 “New-DSZ-Implant”各模块的功能 四、背景研究与分析 （一）技术功能细节 “New-DSZ-Implant”是一个通过加载各种模块来实现特定功能的网络攻击武器框架。该功能的实现与NSA兵工厂的“Danderspritz”网络攻击平台一致，代码量较高 规格。同源程度，进行一些功能升级：首先，对一些函数名和字符串进行加密；山高nd，使用常规系统模块名称来标识功能模块；第三，功能模块的编译时间从2012年到2013年到2016年到2018年进行了更新，每个功能模块都增加了模拟用户操作，以伪装点击、登录等正常用户行为，迷惑杀毒软件的检测。 “New-DSZ-Implant”与“Danderspritz”加载的功能模块对比（2）样本驻留模式“ehome_0cx”的部分常驻文件通过改变注册表中的inProcServer32键值来劫持正常系统服务，并在正常系统程序开始实现自躲避之前加载它们。变更寄存器的位置与美国国家安全局“方程式组织”使用的pag-cyber攻击武器相同，均位于al_machine\software\classes\clsid下的HKEY_LOCInProcServer32随机ID键的子键中。 。外层使用TLS协议加密，内层使用RSA+AES用于密钥通信和加密。在窃取数据的传输、功能模块的发布等关键阶段，各武器的配合是通过4层嵌套加密来实现的。这种多层嵌套的数据加密模式相比“nopen”使用的RSA+RC6加密模式有显着升级。 5、代码地址泄露2023年8月至2024年5月美国用于指挥控制的部分服务器IP如下：编辑刘佳妮