一
引言:看不见的关键信息基础设施
INTRODUCTION
a'a'a'a'a'
10月19日,国家互联网应急响应中心发布报告,揭露了美国国家安全局(NSA)对我国国家授时中心发起的网络渗透行为。报告详细列出了NSA所使用的攻击IP地址以及相关攻击手法。那么,究竟什么是授时?此类攻击的实际影响有多大?为何NSA会将授时设施作为目标?其攻击手段又有哪些特点,是否存在过往类似案例?
国家授时中心通过卫星信号、互联网协议等渠道,向全国各类设备提供高精度的时间同步服务,其精度可达纳秒级别。尽管这一系统在日常中并不引人注目,却承担着支撑电力、通信、金融、工业控制等关键信息基础设施运行的“时间神经中枢”角色。正因其在国家运行中具备不可或缺的基础性作用,授时系统也成为网络空间战中极具战略意义的高价值目标。
事实上,NSA早已将授时基础设施纳入其网络攻击体系,并多次借助NTP协议漏洞、DNS劫持、中间人攻击等手段,对多个国家的时间同步网络实施隐蔽渗透。本文将系统剖析授时中心所面临的安全威胁,深入解读NSA的攻击路径与历史案例,并进一步阐释时间同步偏差可能对我国关键领域造成的安全影响,以及当前防护体系的建设思路。
二、 国家授时中心:无声的时间心脏
2.1 中国科学院国家授时中心
尽管中国科学院国家授时中心在公众视野中鲜少被提及,但“北京时间”这一概念几乎无人不晓——我们日常使用的各类电子设备中所显示的标准时间,其源头正是国家授时中心。
该中心前身为成立于1966年的中国科学院陕西天文台,是我国唯一专门从事时间频率基础与应用研究的国家级科研机构,负责产生、保持并发播中国的国家标准时间。其所建设和运行的长短波授时系统,属于首批国家重大科技基础设施之一。此外,中心还建成了国内唯一的天地一体化星地综合卫星导航授时试验平台,在我国时间频率体系与卫星导航系统的建设与发展中发挥了关键作用。
目前,国家授时中心为我国通信、电力、交通、测绘、航空航天、国防等众多关键行业与部门,持续提供高精度、高可靠性的授时服务,成为支撑社会运转与技术系统协同的“看不见的心脏”。
2.2 终端设备的授时获取方式
从授时中心的时间信号到达每一个终端设备,需要经过多级传递链路。不同类型的设备采用不同的授时方式,每个环节都是潜在的攻击面。
三、授时系统在各领域的关键作用:
时间同步为何如此重要?
在现代社会,各行业系统高度依赖智能化与互联互通,时间同步已不仅是技术需求,更是保障系统协同、防止连锁性故障的基础。此次NSA针对“北京时间”发起的攻击,并非无差别扰乱,而是有目的地针对我国关键信息基础设施进行的定向渗透。一旦授时系统出现异常,将引发跨行业、跨区域的系统性风险。以下从多个关键领域展开具体分析:
3.1 电力行业
电力系统对时间同步的精度要求极高,尤其是在智能电网中,毫秒级的时间误差就可能导致保护误动、区域失稳等严重后果。
故障检测与定位:在电力传输网络中,授时系统提供的高精度时间同步有助于快速检测和定位故障点,减少停电时间;
相量测量单元(PMU)同步:PMU依赖统一时标实现跨区域电压与电流相角的同步测量,为电网动态监控与调度提供数据基础;
电力调度与自动化:时间同步确保发电、输电、配电各环节协同运作,提升电网自动化水平与运行效率。
3.2 能源行业
在石油、天然气等能源勘探与输送过程中,授时系统为分布式作业提供统一的时间基准。
资源勘测:在地震勘测等作业中,授时系统保障采集数据的时空一致性,提升勘探精度;
油气输送:通过精确同步管道监测设备,系统能够实时识别压力异常与泄漏风险,保障能源输送安全。
3.3 智能制造
随着智能制造的快速发展,各行业对生产过程的精确控制需求越来越高,精准授时作为智能制造中至关重要的技术,能够确保生产设备之间的同步性,为复杂的生产流程提供高精度时间参考。
产线设备协同:机器人、传送带、机械臂等需在毫秒至微秒级精度下协同作业,时间偏差易引发碰撞或生产中断;
工业数据时间戳:海量传感器数据需具备统一时标,才能实现有效关联分析,支撑故障预测与工艺优化;
数字孪生同步:构建高保真虚拟模型,必须确保数字系统与物理系统在时间上严格同步,否则将失去实时映射价值。
3.4 交通运输
从轨道到航空,从航海到城市路网,授时系统是保障交通安全与效率的“隐形轨道”。
铁路调度:在高铁等铁路运输系统中,时间同步系统保障列车运行控制与信号协作,防止追尾与冲突;
航空与航海导航:飞行器与船只依赖统一时间实现精准定位与航路协调;
智能交通系统:授时系统支持智能交通系统中的信号控制、车辆调度和交通管理,提升城市交通的效率和安全性。
3.5 科研领域
在高精度依赖型领域,时间不仅是测量基准,更是任务成败的关键变量。
精密科学实验:在天文观测、粒子物理等领域,纳秒级时间同步是保障数据有效性的前提;
国防系统协同:导弹制导、雷达组网、跨域作战等场景中,统一时间是实现系统间精确协作的基础。
四、NSA攻击剖析
4.1 攻击时间线(2022-2025)
NSA攻击时间线可视化
此次针对国家授时中心的网络攻击活动时间跨度长达两年以上,显示出攻击者具备高度的持续作战与隐蔽渗透能力。在攻击初期,NSA利用境外品牌手机的系统短信漏洞,成功入侵授时中心工作人员的移动终端,非法获取登录凭证,并借此多次匿名远程登录办公计算机,逐步掌握目标网络的环境信息。
随着渗透深入,攻击者在授时中心网管计算机中植入早期版本的“Back_eleven”后门,持续窃取系统数据并清除操作痕迹,以规避安全检测。自2024年起,其攻击工具进入定制化升级阶段,先后加载包括“eHome_0cx”“Back_eleven”“New_Dsz_Implant”在内的多个功能模块,具备长期潜伏、隐蔽控制与数据外传等综合能力,反映出攻击方在恶意代码开发与运维支持方面的强大技术实力。
根据相关CVE编号及已公开的安全公告推测,攻击者在渗透过程中利用了多个零日漏洞(0day),成功突破防火墙与身份认证服务器等关键防护节点。整体来看,此次攻击是一次典型的高级持续性威胁行动,具备明确的战略指向、完整的攻击链路与显著的资源投入特征,充分体现出NSA在关键信息基础设施目标面前所展现的长期布局与深度渗透能力。
4.2 攻击技术手法详解
4.2.1 零日漏洞利用(三角测量行动)
iOS 16.2之前的所有iOS版本,主要涉及的四个零日漏洞分别是:
CVE-2023-41990:ADJUST TrueType字体指令中存在漏洞,允许通过恶意iMessage附件远程执行代码;
CVE-2023-32434:XNU内存映射系统调用中存在整数溢出问题,允许攻击者对设备的物理内存进行广泛的读/写访问;
CVE-2023-32435:在Safari漏洞利用中用于执行shellcode作为多阶段攻击的一部分;
CVE-2023-38606:使用硬件MMIO寄存器绕过页面保护层(PPL)的漏洞,从而覆盖基于硬件的安全保护。
除了影响iPhone之外,这些秘密硬件功能及其高危零日漏洞还存在于Mac、iPod、iPad、苹果公司 TV和苹果公司 Watch中。
4.2.2 DLL劫持与持久化
"eHome_0cx"通过DLL劫持系统正常服务(如资源管理器和事件日志服务)实现自启动,在启动后抹除内存中可执行文件头数据,以隐藏网攻武器运行痕迹。
以受控主机唯一标识guid作为解密武器资源的密钥,各网攻模块之间利用LPC端口进行通信。
4.2.3 反调试与反溯源
"Back_Eleven"由"eHome_0cx"加载运行,具有严格运行环境检测机制,若发现运行环境系统版本异常、调试程序正在运行等情况,将启动自删除功能。并且该武器在设计时加入了反调试功能,以防止被逆向分析。
4.2.4 模块化攻击工具链
"New-Dsz-Implant"由"eHome_0cx"加载运行,在攻击活动中配合"Back_Eleven"所搭建的数据传输链路使用。其自身无具体窃密功能,需通过接收主控端指令加载功能模块,实现各项窃密功能。
五、美国对中国网络攻击的宏观图景
国家授时中心遭遇的攻击并非孤立事件,而是美国对华系统性、持续性网络渗透中的一个关键环节。要全面理解授时系统所面临的安全威胁,必须将其置于美国长期针对中国关键信息基础设施与科技领域实施网络攻击的宏观背景之下。以下所列典型事件,揭示了美国NSA、CIA等机构如何通过高度隐蔽、组织化的攻击行动,对中国航空航天、科研院所、能源、通信等战略领域实施多层次渗透与战略性窃密。
5.1 典型攻击事件回顾
5.1.1 美国中央情报局(CIA)APT-C-39组织攻击行动
2020年,中国安全企业捕获并披露了CIA下属攻击组织APT-C-39对中国境内目标实施的长期网络攻击。该攻击行动自2008年9月持续至2019年6月,时间跨度长达十一年,目标涵盖我国航空航天、科研机构、石油行业、大型互联网企业及政府部门等多个核心领域,攻击活动主要集中在北京、广东、浙江等科技与经济发达地区。
在技术层面,该组织使用了CIA"Vault7(穹窿7)"项目中的专属网络武器(如Fluxwire、Grasshopper),这些工具能隐蔽控制Windows、Linux、MacOS等操作系统及物联网设备,窃取数据并长期潜伏。
5.1.2 美国 NSA 对西北工业大学的渗透窃密
2022年6月22日,西北工业大学公开声明遭受境外网络攻击。后续调查证实,攻击源自美国国家安全局(NSA)下属的“特定入侵行动办公室”(TAO)。TAO在攻击中动用了超过40种专属网络武器,持续窃取该校关键网络设备配置、运维数据等核心技术信息。
西北工业大学作为中国航空、航天、航海、网络安全及人工智能等领域的重要研究和人才培养基地,承担多项国家级科研任务,其技术数据与美方国家安全战略存在直接利益冲突。攻击过程分为三个阶段,持续十一年:
早期渗透阶段(2010–2015年):通过钓鱼邮件与恶意软件(如“二次约会”后门)获取初始访问权限;
长期潜伏阶段(2016–2020年):部署“蜂巢”(Hive)系统构建隐蔽信道,结合“量子”(Quantum)攻击技术实施流量劫持与数据外传;
深度窃密阶段(2021–2022年):针对科研服务器与实验室系统,重点窃取航空发动机设计、无人机控制、卫星通信及密码算法等关键技术资料。
5.1.3 "电幕行动"(Bvp47):NSA的全球攻击平台
2022年,中国研究机构披露了NSA下属“方程式”组织使用顶级后门Bvp47实施的“电幕行动”。该行动波及全球45个国家和地区,持续时间超过十年,中国是其中重点攻击目标之一,受害者包括国家级科研机构、高科技企业以及能源、通信等关键信息基础设施运营单位。
Bvp47后门在设计上体现了NSA对“隐蔽性、持久性与跨平台能力”的极致追求:
跨平台控制:支持Windows、Linux、macOS等主流系统,并可渗透路由器、工控设备等物联网节点;
隐蔽植入:利用零日漏洞(如Windows“永恒之蓝”变种、Linux内核漏洞)及供应链污染、钓鱼邮件等方式实施初始入侵;
持久化与反溯源:采用模块化架构,插件动态加载,通信内容加密伪装为HTTPS流量,C2服务器频繁切换,有效规避检测与追踪。
5.2 对关键信息基础领域的潜在威胁
5.2.1 能源与电力系统
NSA通过“电幕行动”等渠道渗透电力调度系统,具备篡控指令能力,可能引发区域性电网过载甚至停电事故,类似2015年乌克兰电网攻击事件可能在中国重演。
5.2.2 交通与通信基础设施
高铁列控系统(CTCS)与航空管制系统一旦遭渗透,可能引发列车运行冲突或航班导航错误;核心通信设备如基站控制器若被攻击,将导致区域通信中断,影响应急响应与公共安全秩序。
5.2.3 国防工业与关键制造
军工企业如航天科技集团等所持有的武器设计图纸、生产工艺若被窃取,将严重削弱我国装备技术优势。此前NSA对某通信卫星企业的攻击,目标直指卫星抗干扰等核心能力。
5.2.4 工业控制系统(ICS)安全
电力、水利等关键行业中广泛使用的PLC等工业控制设备如被非法操控,将直接导致生产停滞或设备损毁,对国家经济安全与社会稳定构成严重威胁。
六、总结
纵观此次授时中心攻击事件及历次网络行动,可将美国的对华网络攻击行为大致归为两类:一类是围绕经济与战略利益、针对高价值目标的定向渗透;另一类则是瞄准关键信息基础设施,旨在干扰甚至瘫痪国家核心运行体系的系统性攻击。关键信息基础设施安全已成为国家安全的根本保障,也是当前国产化、自主化安全体系建设的重要方向。
以本次授时中心遭受的攻击为例,攻击者初期利用零日漏洞结合特定境外品牌手机发起定向渗透,随后逐步升级攻击载荷、植入定制化木马,展现出高度的组织化与技术适应性。这一案例也揭示出,在面对具备强大资源与持续攻击能力的国家级APT组织时,目标单位虽难以完全阻止入侵,但可通过构建自主可控的防御体系、提升威胁发现与响应能力,有效延缓攻击进程、压缩敌方行动空间。
在这一过程中,安全团队依靠专业能力与持久耐力,在复杂的网络环境中持续监控、耐心等待,一旦攻击者露出破绽,便能迅速定位、精准反制。唯有坚持技术自主、体系防御与持续猎杀相结合,方能在不对称的网络对抗中构建起真正的“防御纵深”。
END
往期推荐
2. 数据安全进入体系化推进阶段:《数据安全国家标准体系(2025 版)》(征求意见稿)解读
3. 世界标准日|长扬科技:以标准为引领,筑牢工业互联网安全防线
4. 长扬车载防火墙荣获多重权威认定—— 超500列车实战验证,厚积薄发价值突显
