文章来源:techweb
【旭才科技】10 月 20 日消息,日前,国家安全机关披露了美国国家安全局 (National Security Agency,简称 NSA) 对国家授时中心 (以下简称 「授时中心」) 实施重大网络攻击活动。国家互联网应急中心 (CNCERT) 通过分析研判和追踪溯源得出此次攻击事件的整体情况,并将具体技术细节公布。
2022 年 3 月起,NSA 利用某国外品牌手机短信服务漏洞,秘密监控 10 余名国家授时中心工作人员,非法窃取手机通讯录、短信、相册、位置信息等数据。2023 年 4 月起,NSA 在 「三角测量」 行动曝光前,多次于北京时间凌晨,利用在某国外品牌手机中窃取的登录凭证入侵国家授时中心计算机,刺探内部网络建设情况。2023 年 8 月至 2024 年 6 月,NSA 针对性部署新型网络作战平台,对国家授时中心多个内部业务系统实施渗透活动,并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。
此次攻击事件中,NSA 利用 「三角测量行动」 获取授时中心计算机终端的登录凭证,进而获取控制权限,部署定制化特种网攻武器,并针对授时中心网络环境不断升级网攻武器,进一步扩大网攻窃密范围,以达到对该单位内部网络及关键信息系统长期渗透窃密的目的。具体四个阶段:获取控制权限、植入特种网攻武器、升级特种网攻武器、内网横向渗透过程。
攻击者在此次网络攻击事件中使用的网攻武器、功能模块、恶意文件等总计 42 个,主要网攻武器按照功能可分为前哨控守类武器、隧道搭建类武器、数据窃取类武器。另外,攻击者使用的 3 款网攻武器均采用 2 层加密方式,外层使用 TLS 协议加密,内层使用 RSA+AES 方式进行密钥协商和加密,在窃密数据传输、功能模块下发等关键阶段,各武器的相互配合实现了 4 层嵌套加密。
此种多层嵌套数据加密模式与相比于 「NOPEN」 使用的 RSA+RC6 加密模式有了明显升级。
据悉,授时中心位于陕西省西安市,承担 「北京时间」 的产生、保持和发播任务,为国家通信、金融、电力、交通、测绘、国防等行业领域提供高精度授时服务,还为测算国际标准时间提供重要数据支撑。