10月19日上午,国家安全机关披露了美国国家安全局(以下简称NSA)对国家授时中心(以下简称“授时中心”)实施重大网络攻击活动。国家互联网应急中心(CNCERT)通过分析研判和追踪溯源得出此次攻击事件的整体情况,现将具体技术细节公布如下!
10月19日上午,国家安全机关披露了美国国家安全局(以下简称NSA)对国家授时中心(以下简称“授时中心”)实施重大网络攻击活动。国家互联网应急中心(CNCERT)通过分析研判和追踪溯源得出此次攻击事件的整体情况,现将具体技术细节公布如下!
关于国家授时中心遭受美国国家安全局网络
攻击事件的技术分析报告
一、攻击事件概貌
2022年3月起,NSA利用某国外品牌手机短信服务漏洞,秘密监控10余名国家授时中心工作人员,非法窃取手机通讯录、短信、相册、位置信息等数据。2023年4月起,NSA在“三角测量”行动曝光前,多次于北京时间凌晨,利用在某国外品牌手机中窃取的登录凭证入侵国家授时中心计算机,刺探内部网络建设情况。2023年8月至2024年6月,NSA针对性部署新型网络作战平台,对国家授时中心多个内部业务系统实施渗透活动,并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。
纵观此次事件,NSA在战术理念、操作手法、加密通讯、免杀逃逸等方面依然表现出世界领先水准。隐匿实施攻击,NSA通过使用正常业务数字证书、伪装Windows系统模块、代理网络通信等方式隐蔽其攻击窃密行为,同时对杀毒软件机制的深入研究,可使其有效避免检测;通讯多层加密,NSA使用网攻武器构建回环嵌套加密模式,加密强度远超常规TLS通讯,通信流量更加难以解密还原;活动耐心谨慎,在整个活动周期,NSA会对受控主机进行全面监控,文件变动、关机重启都会导致其全面排查异常原因;功能动态扩展,NSA会根据目标环境,动态组合不同网攻武器功能模块进行下发,表明其统一攻击平台具备灵活的可扩展性和目标适配能力。但其整体创新性缺失和部分环节乏力,显示出在被各类曝光事件围追堵截后,技术迭代升级面临瓶颈困境。
二、网络攻击过程
此次攻击事件中,NSA利用“三角测量行动”获取授时中心计算机终端的登录凭证,进而获取控制权限,部署定制化特种网攻武器,并针对授时中心网络环境不断升级网攻武器,进一步扩大网攻窃密范围,以达到对该单位内部网络及关键信息系统长期渗透窃密的目的。梳理发现,NSA使用的网攻武器共计42款,可分为三类:前哨控守(“eHome_0cx”)、隧道搭建(“Back_eleven”)和数据窃取(“New_Dsz_Implant”),以境外网络资产作为主控端控制服务器实施攻击活动共计千余次。具体分为以下四个阶段:
(一)获取控制权限
2022年3月24日至2023年4月11日,NSA通过“三角测量”行动对授时中心10余部设备进行攻击窃密。2022年9月,攻击者通过授时中心网络管理员某国外品牌手机,获取了办公计算机的登录凭证,并利用该凭证获得了办公计算机的远程控制权限。
2023年4月11日至8月3日,攻击者利用匿名通信网络节点远程登录办公计算机共80余次,并以该计算机为据点探测授时中心网络环境。
表 2023年8月3日攻击过程
(二)植入特种网攻武器
2023年8月3日至2024年3月24日,攻击者向网管计算机植入了早期版本的“Back_eleven”,窃取网管计算机数据,并在每次攻击结束后清除网络攻击武器内存占用和操作痕迹。该阶段“Back_eleven”功能尚未成熟,攻击者每次启动前需远程控制关闭主机杀毒软件。
表 部分杀毒软件关闭记录
(三)升级特种网攻武器
2024年3月至4月,攻击者针对授时中心网络环境,定制化升级网络攻击武器,植入多款新型网络攻击武器,实现对计算机的长期驻留和隐蔽控制。攻击者加载“eHome_0cx”“Back_eleven”“New_Dsz_Implant”,配套使用的20余款功能模块,以及10余个网络攻击武器配置文件。
图 加载“eHome_0cx”数据包
图 内存加载“Back_eleven”过程
图 内存加载“New_Dsz_Implant”过程
攻击者利用多款网络攻击武器相互配合,搭建起4层加密隧道,形成隐蔽性极强且功能完善的网攻窃密平台。
图 网攻武器加密模式
(四)内网横向渗透过程
2024年5月至6月,攻击者利用“Back_eleven”以网管计算机为跳板,攻击上网认证服务器和防火墙。
6月13日9时,攻击者激活网管计算机上的“eHome_0cx”,植入“Back_eleven”“New_Dsz_Implant”,并以此为跳板窃取认证服务器数据。
7月13日9时,攻击者激活网管计算机上的“eHome_0cx”,下发“Back_eleven”和“New_Dsz_Implant”窃取数据。
图 2024年6月13日网攻窃密数据包
三、网攻武器库分析
攻击者在此次网络攻击事件中使用的网攻武器、功能模块、恶意文件等总计42个,主要网攻武器按照功能可分为前哨控守类武器、隧道搭建类武器、数据窃取类武器。
(一)前哨控守类武器
攻击者利用该类型网络攻击武器的隐蔽驻留和心跳回连功能,实现了长期控守目标计算机终端和加载后续网络攻击武器的目的。根据该类型主武器的资源加载路径,将其命名为“eHome_0cx”。
“eHome_0cx”由4个网攻模块组成,通过DLL劫持系统正常服务(如资源管理器和事件日志服务)实现自启动,在启动后抹除内存中可执行文件头数据,以隐藏网攻武器运行痕迹。
表 “eHome_0cx”各网攻模块信息表
“eHome_0cx”以受控主机唯一标识guid作为解密武器资源的密钥,各网攻模块之间利用LPC端口进行通信,并以指令号的方式调用该武器的各项功能。
表“eHome_0cx”功能
“eHome_0cx”使用RSA算法和TLS协议完成通信加密。“eHome_0cx”内置有与主控端通信使用的RSA公钥(见下图)。每次通信均随机产生一个会话密钥,使用RSA算法与主控端完成密钥交换过程,之后利用TLS协议传输使用会话密钥加密的数据。
图 RSA公钥
(二)隧道搭建类武器
攻击者利用该类型网络攻击武器搭建网络通信和数据传输隧道,实现了对其他类型网络攻击武器的远程控制和窃密数据的加密传输,同时还具备信息获取和命令执行功能,在初始连接阶段向主控端发送带有数字“11”标识,命名为“Back_Eleven”。
“Back_Eleven”由“eHome_0cx”加载运行,具有严格运行环境检测机制,若发现运行环境系统版本异常、调试程序正在运行等情况,将启动自删除功能。并且该武器在设计时加入了反调试功能,以防止被逆向分析。
图 “Back_Eleven”检测运行环境
“Back_Eleven”具有主动回连和被动监听两种工作模式:在主动回连模式下,“Back_Eleven”解密内置的主控端控制服务器IP地址,并使用内置的RSA加密算法公钥完成密钥交换,然后使用AES算法将上线信息加密后,利用TLS协议加密传输到主控端;在被动监听模式下,“Back_Eleven”通过监听Windows系统网卡流量,筛选主控端发送的特定条件数据包,实现主控端命令执行。
图 “Back_Eleven”向主控端转发数据
图 “Back_Eleven”接收主控端指令并解密
“Back_Eleven”以指令号的方式调用该武器的各项功能。
表 “Back_Eleven”指令功能
(三)数据窃取类武器
攻击者利用此类网络攻击武器进行数据窃密。该武器运行时,通过启动模块化网攻武器框架,加载各种插件模块来实现具体的窃密功能。该武器与NSA网攻武器 “DanderSpritz”(怒火喷射)具有高度同源性,将其命名为“New-Dsz-Implant”。
“New-Dsz-Implant”由“eHome_0cx”加载运行,在攻击活动中配合“Back_Eleven”所搭建的数据传输链路使用。其自身无具体窃密功能,需通过接收主控端指令加载功能模块,实现各项窃密功能。本次网攻事件中,攻击者使用“New-Dsz-Implant”加载了25个功能模块,各模块功能情况如下表所示。
表 “New-Dsz-Implant”各模块功能
图 “New-Dsz-Implant”加载module0模块代码
图 module0加载其他模块代码
“New-Dsz-Implant”与主控端进行通信时,先使用AES和TLS1.2进行2层数据加密,再使用本地回环的方式利用“Back_Eleven”进行另外2层数据加密,最终实现4层嵌套加密。
图 嵌套加密模式
图 创建本地回环通信
图 本地回环通信数据包
图 解密回环通信数据为进程信息
四、背景研判分析
(一)技术功能细节
“New-Dsz-Implant”是一个网攻武器框架,通过加载不同的模块实现具体功能,此种功能实现方式与NSA武器库中“DanderSpritz”网攻平台一致,且在代码细节上具有高度同源性,并进行了部分功能升级:一是加密了部分函数名称和字符串;二是使用系统的常规模块名称伪装功能模块;三是功能模块编译时间从2012至2013年更新至2016至2018年,各功能模块增加了模拟用户操作函数,伪装用户点击、登录等正常行为以迷惑杀毒软件的检测。
表 “New-Dsz-Implant”和“DanderSpritz”所加载功能模块对比
图 module0(左)与Dsz_Implant_Pc.dll(右)代码同源性对比
图 module1(左)与Cd_Target.dll(右)代码同源性对比
图 module2(左)与Time_Target.dll(右)代码同源性对比
图 module3(左)与NameServerLookup_Target.dll(右)代码同源性对比
图 module4(左)与RunAsChild_Target.dll(右)代码同源性对比
图 module5(左)与Mcl_NtNativeApi_Win32.dll(右)代码同源性对比
图 module6(左)与RegistryQuery_Target.dll(右)代码同源性对比
图 module7(左)与SidLookup_Target.dll(右)代码同源性对比
图 module8(左)与Mcl_NtMemory_Std.dll(右)代码同源性对比
图 module9(左)与Papercut_Target.dll(右)代码同源性对比
图 module10(左)与UpTime_Target.dll(右)代码同源性对比
图 module11(左)与Activity_Target.dll(右)代码同源性对比
图 module12(左)与SystemVersion_Target.dll(右)代码同源性对比
图 module13(左)与Memory_Target.dll(右)代码同源性对比
图 module14(左)与Drives_Target.dll(右)代码同源性对比
图 module15(左)与DiskSpace_Target.dll(右)代码同源性对比
图 module16(左)与Processes_Target.dll(右)代码同源性对比
图 module17(左)与Services_Target.dll(右)代码同源性对比
图 module18(左)与Audit_Target_Vista.dll(右)代码同源性对比
图 module19(左)与EventLogQuery_Target.dll(右)代码同源性对比
图 module20(左)与Route_Target.dll(右)代码同源性对比
图 module21(左)与Drivers_Target.dll(右)代码同源性对比
图 module22(左)与Environment_Target.dll(右)代码同源性对比
图 module23(左)与Packages_Target.dll(右)代码同源性对比
图 module24(左)与Scheduler_Target.dll(右)代码同源性对比
(二)样本驻留方式
“eHome_0cx”的部分驻留文件通过修改注册表InprocServer32键值的方式,劫持了系统正常服务,在系统正常程序启动前加载实现自启动。注册表修改位置与NSA“方程式组织”所使用网攻武器相同,均位于HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID下随机ID项的InProcServer32子项。
(三)数据加密模式
攻击者使用的3款网攻武器均采用2层加密方式,外层使用TLS协议加密,内层使用RSA+AES方式进行密钥协商和加密,在窃密数据传输、功能模块下发等关键阶段,各武器的相互配合实现了4层嵌套加密。此种多层嵌套数据加密模式与相比于“NOPEN”使用的RSA+RC6加密模式有了明显升级。
五、码址披露
2023年8月至2024年5月,美方用于命令控制的部分服务器IP,如下表。
铁证!
美国国家安全局多次网络攻击我国家授时中心
【环球时报特约记者 文简】“中国指责美国对国家授时中心发动网络攻击。”香港《南华早报》19日报道称,中国国家安全部当天在社交媒体上发布消息,披露美国国家安全局是多起针对国家授时中心网络攻击事件的幕后黑手。
消息显示,近期,国家安全机关破获一起美国重大网络攻击案,掌握美国国家安全局网络攻击入侵中国国家授时中心的铁证,粉碎美方网攻窃密和渗透破坏的图谋,全力守护“北京时间”安全。
国家授时中心位于陕西省西安市,承担“北京时间”的产生、保持和发播任务,为国家通信、金融、电力、交通、测绘、国防等行业领域提供高精度授时服务,还为测算国际标准时间提供重要数据支撑。国家授时中心自主研发了世界领先的时间自主测量系统,还建设有国家重大科技基础设施——高精度地基授时系统,相关设施一旦遭受网攻破坏,将影响“北京时间”的安全稳定运行,引发网络通信故障、金融系统紊乱、电力供应中断、交通运输瘫痪、空天发射失败等严重后果,甚至可能导致国际时间陷入混乱,危害损失难以估量。
经国家安全机关缜密调查发现,美国安局针对国家授时中心的网攻活动蓄谋已久,呈现递进式、体系化特点。2022年3月25日起,美国安局利用某境外品牌手机短信服务漏洞,秘密网攻控制国家授时中心多名工作人员的手机终端,窃取手机内存储的敏感资料。
2023年4月18日起,美国安局多次利用窃取的登录凭证,入侵国家授时中心计算机,刺探该中心网络系统建设情况。2023年8月至2024年6月,美国安局专门部署新型网络作战平台,启用42款特种网攻武器,对国家授时中心多个内部网络系统实施高烈度网攻,并企图横向渗透至高精度地基授时系统,预置瘫痪破坏能力。
国家安全机关发现,美国安局网攻活动多选在北京时间深夜至凌晨发起,利用美国本土、欧洲、亚洲等地的虚拟专用服务器作为“跳板”隐匿攻击源头,采取伪造数字证书绕过杀毒软件等方式隐藏攻击行为,还使用了高强度的加密算法深度擦除攻击痕迹。
美国等西方国家近来频繁炒作中国黑客对其计算机系统发动网络攻击,中国外交部对此多次表示坚决反对,并强调中方一贯反对并依法打击黑客活动。
彭博社称,中国国家安全部门最新的声明显示,北京已经采取措施防范黑客攻击。
中国划红线:美国为头号威胁,一年600起攻击触底线
中国网络空间安全协会的报告显示,2025年2月哈尔滨亚洲冬季运动会期间
赛事信息系统遭受了27万次来自境外的恶意网络攻击
其中17万次攻击的源头指向美国
这个数字占攻击总量的63.24%
中国外交部发言人郭嘉昆在2025年8月1日的记者会上公开表态
美国政府被直接定义为“中国面临的头号网络威胁”
这是中国首次使用如此严厉的外交措辞
发言人称其揭露了美国“贼喊捉贼”的网络安全伪善面目
2024年的数据记录显示
来自境外的国家级黑客团队针对中国发起了超过600起攻击行动
这些攻击聚焦于关键信息基础设施和重要系统
攻击者的目标明确包括电力、通信、交通等涉及国计民生的领域
网络安全技术人员追踪发现
美国使用了复杂的掩护手段实施攻击
其中荷兰的IP地址曾在单次攻击中发起超过3252万次请求
德国、新加坡、韩国等国的服务器被频繁利用
这些国家事实上成为美国对华网络攻击的跳板
亚冬会期间的安全人员指出
攻击者特意选择赛事筹备的关键节点发动攻势
攻击时段高度集中于北美的工作时间
攻击指令中发现大量美式英语专业术语
这为攻击源的判断提供了直接证据
被重点攻击的亚冬会信息系统包括票务和注册平台
信息发布和抵离管理也遭到持续冲击
这些系统储存着所有参赛人员的详细数据
包括各国政要和运动员的个人敏感信息
中国安全团队实时拦截了这些攻击行动
赛事期间累计封禁1.2万个高危IP地址
保障了整个赛事期间网络安全“零事故”
未发生任何实质性的数据泄露事件
美国国家安全局在历史上就有前科
2013年斯诺登曝光的“棱镜门”引发全球哗然
那次事件显示美国长期监听着盟友领导人
包括时任德国总理默克尔的私人手机
2024年的统计数据显示
使用美国网络设备的国家中
有超过75%的国家存在通信后门风险
荷兰国家网络安全中心在2024年发布报告
证实其IP资源被多次利用攻击第三方
外交部发言人特别强调了证据链的完整性
技术溯源清晰显示攻击源与美国的关联
攻击行为与美国既往的黑客活动模式高度吻合
跳板的使用也是美国黑客组织惯用的手法
发言人当场点明美国选择跳板国的策略
主要利用其在欧洲及中国周边的盟国资源
荷兰、德国、韩国、新加坡等国成为首选
这些国家与中国保持重要经济联系
中国已经开始采取实质性防御措施
2024年对关键矿物镓、锗的出口管制
就是针对美国高科技产业的重要反制
这两种材料是制造先进半导体的必需品
安全专家在分析攻击目标时注意到
2024年的600多起攻击中
有超过40%指向能源行业控制系统
有30%集中于金融交易核心平台
美国长期在国际上渲染“中国网络威胁论”
这次中方公开点名美国的攻击行为
等同于撕下了美方的伪装面具
用实际证据打破了不实指控
中国网络空间安全协会发布的技术报告显示
黑客攻击活动存在明显的时序特征
所有攻击都精准避开了中国的传统节日
却在西方传统假期前后加倍活跃
网络安全工程师在追溯攻击路径时发现
黑客使用了高度匹配的商业服务商
荷兰的Digital Ocean云主机被高频利用
这些虚拟服务器成为攻击的主要中转点
中国团队将相关数据提交国际组织
包含完整的日志记录和流量分析
这些技术证据链已经具备法律效力
任何专业机构都可以进行复现核查
外交部发言中专门提及“共同威胁”概念
呼吁各国构建合作应对机制
明确点出跳板国需要做出选择
不要让自己的国土成为攻击第三方的前哨站
欧盟在2024年的联合声明中将中国定位为“挑战性伙伴”
却在同年与中国签署新能源汽车合作备忘录
贸易统计显示中欧电动车交易在2024年增长60%
这些事实反映欧洲国家正做出自主选择
2024年下半年以来
中国技术团队开始部署自动化溯源系统
这套系统能够实现攻击路径的分钟级定位
为防御决策提供了有力技术支撑
技术报告记录了一个显著特征
黑客在所有攻击中从未使用俄语指令
也未发现任何东欧地区的攻击路径
这种刻意的特征回避值得深究
美国黑客一年攻击中国超4500万次
2023年以来,美国政府机构通过编造所谓具有中国政府支持背景的“伏特台风”黑客组织对美国关键基础设施发动网络攻击的虚假叙事,大肆鼓吹“中国威胁论”,抹黑中国的国际形象。对此,中国外交部多次予以回应并表示坚决反对。
2024年4月15日,中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团联合发布了题为《伏特台风——美国情报机构针对美国国会和纳税人的合谋欺诈行动》的调查报告,对美方2023年以来集中炒作所谓“伏特台风”组织的真实来源进行了溯源分析,揭示了该组织勒索病毒犯罪团伙的真实面目和美方借此对华炒作的幕后真相。报告公开发布后,多家知名媒体向美国驻华大使馆和微软公司驻华分支机构多次进行询问,均未获得正面回应。
2024年4月18日,美国联邦调查局局长克里斯托弗·雷在美国田纳西州范德比尔特大学公开发表讲话,继续诬称由中国政府支持的“伏特台风”组织成功入侵了包括23个管道运输行业运营商在内的众多美国公司,由美国媒体大量报道转发。
总台央视记者7月7日从中国国家计算机病毒应急处理中心获得了关于“伏特台风”虚假信息行动计划的最新研究成果。中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室和360数字安全集团的共同调查结果表明,“伏特台风”虚假信息行动的起始时间不晚于2023年初,是由美国国家安全局(NSA)、联邦调查局(FBI)等美国情报机构幕后策划,美国国会反华议员,美国白宫、司法部、国防部、能源部、国土安全部等多个联邦政府行政单位以及“五眼联盟”国家网络安全主管部门共同参与的一场虚假信息和舆论操控行动,符合美式网络营销的典型特征,属于彻头彻尾的、基于精准广告投送的“认知域”作战。在此次行动中,美国情报机构滥用自身行政权力,操纵网络安全企业和其他行政机构,通过制作传播虚假信息,制造和渲染“中国网络威胁论”,欺骗美国纳税人、国会议员,侵害中国企业合法权益,力推被称为“无证监视法案”的美国《外国情报监视法案》(FISA)702条款获批延续,并争取国会批准更大规模的预算投入,进一步巩固和强化美国情报机构的网络渗透能力,特别是加强对外攻击和威慑竞争对手,以及对内监视和控制民众的能力。
美政府急火攻心并掩盖证据
中国网络安全机构在研究报告中进一步列举和分析了美方机构发布的报告、美政府行政部门采取的行动和美国重要政治人物的言论中存在的重大疑点,揭露了美方所谓证据和相关言论的自相矛盾。特别是在上一篇调查报告发布后,美国政府机构不仅没有对“威胁盟公司”隐藏相关IP地址的行为做出解释,反而采取了一系列掩盖措施,一方面通过美国“环球媒体署”(USAGM)授意那些受美国资本控制的国际主流媒体携手对报告进行“封杀”;另一方面,指使“威胁盟公司”公然更改报告内容,妄图毁灭证据。报告还给出了“威胁盟公司”原始报告和最新报告之间的比较证据。
中国网络安全机构在研究报告中对比了“威胁盟公司”的原始报告和最新报告。
全面复盘美政府“伏特台风”虚假信息行动计划
中国网络安全机构在研究报告中全面复盘了美国政府机构策划实施的“伏特台风”虚假叙事行动计划,明确指出,整个计划至少起始于2023年初,主要分为三个阶段并持续至今。
美国政府机构策划该行动计划的背景主要是美国情报机构在全球和美国国内实施互联网监控的重要法律依据《涉外情报监视法案》(Foreign Intelligence Surveillance Act, FISA)第702条款(以下简称“702条款”)即将于2023年底到期作废,以及美国情报机构无法全面控制中国互联网企业。
在计划的准备阶段(2023年1月至2023年5月),美国政府官员一方面不断呼吁国会延续“702条款”,另一方面在关岛美军基地虚构网络攻击事件,并指使微软公司炮制技术分析报告,并拉上其他五眼联盟国家相关机构,为延续“702条款”全力造势。
在攻坚阶段(2023年6月至2024年1月),美国政府机构一方面不断利用虚构的“伏特台风”组织恐吓国会议员,并不惜利用各种“小动作”,使702条款得以暂时延续,同时还与部分反华议员勾结并密谋打压中国互联网企业的计划。
在成果巩固阶段(2024年2月至2024年4月),美国政府机构成功通过这一虚假信息行动,推动国会参众两院正式通过法案,并达到702条款长期延续和对打压中国互联网企业的最终目的。
美方持续对中方实施网络混合战
中国网络安全机构的报告还指出,美国政府机构在实施包括“伏特台风”虚假信息行动在内的“网络认知战”的同时,还继续对中国政府、高校、科研机构、大型企业和关键基础设施实施“网络攻击战”。
在从2023年5月至今的1年时间里,美国政府机构背景的黑客组织对中国政府、高校、科研机构、大型企业和关键基础设施的网络攻击活动总数超过4500万次,已被明确攻击受害单位超过140家,从这些受害单位系统中发现的攻击武器样本指向了美国中央情报局(CIA)、国家安全局(NSA)和联邦调查局(FBI)等部门,这些攻击行动的背后都是“702条款”的授权。
坚决反对美方的国际霸权主义
中国网络安全机构的研究报告进一步指出,未来,很可能美国网络安全企业将在美国情报机构的操控下炮制更多虚假“外国政府支持的网络攻击活动”的叙事,不断欺骗美国国会批复更多预算并增加美国纳税人的债务负担。事实上,美国情报机构和军事机构经常以国家安全为由,通过与有关供应商勾结,明目张胆地编制虚假预算,使用来自美国纳税人的政府资金大量购买质次价高的产品实现利益输送。既然美国自诩为国际“法治标杆”“人权灯塔”,就应该追究这些参与合谋欺诈的政客、官员和私营企业的法律责任。
报告也鲜明指出,美国政客在处理美国国内政治问题时应该管好自己的事,不要总拿中国当“挡箭牌”,也不要妄想孤立中国和遏制中国的发展。
最后,报告向全世界发出警示,美国的“702条款”是美国构建“黑客帝国”的重要法律基础,不仅对美国人民,也是对包括中国在内的全世界所有国家主权安全和公民个人隐私权的严重威胁。报告呼吁各国政府和人民坚决反对和抵制美国利用网络技术优势侵犯他国主权和人民合法利益的恶劣行径。
美国国安局网络攻击中国上万次
窃取超140GB数据
2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马样本,西安警方已对此正式立案调查。
国家计算机病毒应急处理中心和360公司联合组成技术团队(以下简称“技术团队”),全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,综合使用国内现有数据资源和分析手段,并得到了欧洲、南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,后文简称TAO)。
一、攻击事件概貌
本次调查发现,在近年里,美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备(网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等),窃取了超过140GB的高价值数据。TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。经技术分析与溯源,技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。
二、攻击事件分析
在针对西北工业大学的网络攻击中,TAO使用了40余种不同的NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。通过取证分析,技术团队累计发现攻击者在西北工业大学内部渗透的攻击链路多达1100余条、操作的指令序列90余个,并从被入侵的网络设备中定位了多份遭窃取的网络设备配置文件、遭嗅探的网络通信数据及口令、其它类型的日志和密钥文件以及其他与攻击活动相关的主要细节。具体分析情况如下:
(一)相关网络攻击基础设施
为掩护其攻击行动,TAO在开始行动前会进行较长时间的准备工作,主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具,选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标;攻击成功后,安装NOPEN木马程序(详见有关研究报告),控制了大批跳板机。
TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
这些跳板机的功能仅限于指令中转,即:将上一级的跳板指令转发到目标系统,从而掩盖美国国家安全局发起网络攻击的真实IP。目前已经至少掌握TAO从其接入环境(美国国内电信运营商)控制跳板机的四个IP地址,分别为209.59.36.*、69.165.54.*、207.195.240.*和209.118.143.*。同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。
技术团队通过威胁情报数据关联分析,发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器,NSA通过秘密成立的两家掩护公司向美国泰瑞马克(Terremark)公司购买了埃及、荷兰和哥伦比亚等地的IP地址,并租用一批服务器。这两家公司分别为杰克•史密斯咨询公司(Jackson Smith Consultants)、穆勒多元系统公司(Mueller Diversified Systems)。同时,技术团队还发现,TAO基础设施技术处(MIT)工作人员使用“阿曼达•拉米雷斯(Amanda Ramirez)”的名字匿名购买域名和一份通用的SSL证书(ID:e42d3bea0a16111e67ef79f9cc2*****)。随后,上述域名和证书被部署在位于美国本土的中间人攻击平台“酸狐狸”(Foxacid)上,对中国的大量网络目标开展攻击。特别是,TAO对西北工业大学等中国信息网络目标展开了多轮持续性的攻击、窃密行动。
(二)相关网络攻击武器
TAO在对西北工业大学的网络攻击行动中,先后使用了41种NSA的专用网络攻击武器装备。并且在攻击过程中,TAO会根据目标环境对同一款网络武器进行灵活配置。例如,对西北工业大学实施网络攻击中使用的网络武器中,仅后门工具“狡诈异端犯”(NSA命名)就有14个不同版本。技术团队将此次攻击活动中TAO所使用工具类别分为四大类,具体包括:
1、漏洞攻击突破类武器
TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破,同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。此类武器共有3种:
①“剃须刀”
此武器可针对开放了指定RPC服务的X86和SPARC架构的Solarise系统实施远程漏洞攻击,攻击时可自动探知目标系统服务开放情况并智能化选择合适版本的漏洞利用代码,直接获取对目标主机的完整控制权。此武器用于对日本、韩国等国家跳板机的攻击,所控制跳板机被用于对西北工业大学的网络攻击。
②“孤岛”
此武器同样可针对开放了指定RPC服务的Solaris系统实施远程溢出攻击,直接获取对目标主机的完整控制权。与“剃须刀”的不同之处在于此工具不具备自主探测目标服务开放情况的能力,需由使用者手动配置目标及相关参数。NSA使用此武器攻击控制了西北工业大学的边界服务器。
③“酸狐狸”武器平台
此武器平台部署在哥伦比亚,可结合“二次约会”中间人攻击武器使用,可智能化配置漏洞载荷针对IE、FireFox、Safari、Android Webkit等多平台上的主流浏览器开展远程溢出攻击,获取目标系统的控制权(详见:国家计算机病毒应急处理中心《美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告》)。TAO主要使用该武器平台对西北工业大学办公内网主机进行入侵。
2、持久化控制类武器
TAO依托此类武器对西北工业大学网络进行隐蔽持久控制,TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。此类武器共有6种:
①“二次约会”
此武器长期驻留在网关服务器、边界路由器等网络边界设备及服务器上,可针对海量数据流量进行精准过滤与自动化劫持,实现中间人攻击功能。TAO在西北工业大学边界设备上安置该武器,劫持流经该设备的流量引导至“酸狐狸”平台实施漏洞攻击。
②“NOPEN”
此武器是一种支持多种操作系统和不同体系架构的远控木马,可通过加密隧道接收指令执行文件管理、进程管理、系统命令执行等多种操作,并且本身具备权限提升和持久化能力(详见:国家计算机病毒应急处理中心《“NOPEN”远控木马分析报告》)。TAO主要使用该武器对西北工业大学网络内部的核心业务服务器和关键网络设备实施持久化控制。
③“怒火喷射”
此武器是一款基于Windows系统的支持多种操作系统和不同体系架构的远控木马,可根据目标系统环境定制化生成不同类型的木马服务端,服务端本身具备极强的抗分析、反调试能力。TAO主要使用该武器配合“酸狐狸”平台对西北工业大学办公网内部的个人主机实施持久化控制。
④“狡诈异端犯”
此武器是一款轻量级的后门植入工具,运行后即自删除,具备权限提升能力,持久驻留于目标设备上并可随系统启动。TAO主要使用该武器实现持久驻留,以便在合适时机建立加密管道上传NOPEN木马,保障对西北工业大学信息网络的长期控制。
⑤“坚忍外科医生”
此武器是一款针对Linux、Solaris、JunOS、FreeBSD等4种类型操作系统的后门,该武器可持久化运行于目标设备上,根据指令对目标设备上的指定文件、目录、进程等进行隐藏。TAO主要使用该武器隐藏NOPEN木马的文件和进程,避免其被监控发现。技术分析发现,TAO在对西北工业大学的网络攻击中,累计使用了该武器的12个不同版本。
3、嗅探窃密类武器
TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录,窃取西北工业大学网络内部的敏感信息和运维数据等。此类武器共有两种:
①“饮茶”
此武器可长期驻留在32位或64位的Solaris系统中,通过嗅探进程间通信的方式获取ssh、telnet、rlogin等多种远程登录方式下暴露的账号口令。TAO主要使用该武器嗅探西北工业大学业务人员实施运维工作时产生的账号口令、命令行操作记录、日志文件等,压缩加密存储后供NOPEN木马下载。
②“敌后行动”系列武器
此系列武器是专门针对电信运营商特定业务系统使用的工具,根据被控业务设备的不同类型,“敌后行动”会与不同的解析工具配合使用。TAO在对西北工业大学的网络攻击中使用了“魔法学校”、“小丑食物”和“诅咒之火”等3类针对电信运营商的攻击窃密工具。
4、隐蔽消痕类武器
TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹,隐藏、掩饰其恶意操作和窃密行为,同时为上述三类武器提供保护。现已发现1种此类武器:
“吐司面包” ,此武器可用于查看、修改utmp、wtmp、lastlog等日志文件以清除操作痕迹。TAO主要使用该武器清除、替换被控西北工业大学上网设备上的各类日志文件,隐藏其恶意行为。TAO对西北工业大学的网络攻击中共使用了3款不同版本的“吐司面包”。
三、攻击溯源
技术团队结合上述技术分析结果和溯源调查情况,初步判断对西北工业大学实施网络攻击行动的是美国国家安全局(NSA)信息情报部(代号S)数据侦察局(代号S3)下属TAO(代号S32)部门。该部门成立于1998年,其力量部署主要依托美国国家安全局(NSA)在美国和欧洲的各密码中心。目前已被公布的六个密码中心分别是:
1、美国马里兰州米德堡的NSA总部;
2、美国夏威夷瓦胡岛的NSA夏威夷密码中心(NSAH);
3、美国佐治亚州戈登堡的NSA佐治亚密码中心(NSAG);
4、美国德克萨斯州圣安东尼奥的NSA德克萨斯密码中心(NSAT);
5、美国科罗拉罗州丹佛马克利空军基地的NSA科罗拉罗密码中心(NSAC);
6、德国达姆施塔特美军基地的NSA欧洲密码中心(NSAE)。
TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位,由2000多名军人和文职人员组成,其内设机构包括:
第一处:远程操作中心(ROC,代号S321),主要负责操作武器平台和工具进入并控制目标系统或网络。
第二处:先进/接入网络技术处(ANT,代号S322),负责研究相关硬件技术,为TAO网络攻击行动提供硬件相关技术和武器装备支持。
第三处:数据网络技术处(DNT,代号S323),负责研发复杂的计算机软件工具,为TAO操作人员执行网络攻击任务提供支撑。
第四处:电信网络技术处(TNT,代号S324),负责研究电信相关技术,为TAO操作人员隐蔽渗透电信网络提供支撑。
第五处:任务基础设施技术处(MIT,代号S325),负责开发与建立网络基础设施和安全监控平台,用于构建攻击行动网络环境与匿名网络。
第六处:接入行动处(ATO,代号S326),负责通过供应链,对拟送达目标的产品进行后门安装。
第七处:需求与定位处(R&T,代号S327),接收各相关单位的任务,确定侦察目标,分析评估情报价值。
S32P:项目计划整合处(PPI,代号S32P),负责总体规划与项目管理。
NWT:网络战小组(NWT),负责与网络作战小队联络。
美国国家安全局(NSA)针对西北工业大学的攻击行动代号为“阻击XXXX”(shotXXXX)。该行动由TAO负责人直接指挥,由MIT(S325)负责构建侦察环境、租用攻击资源;由R&T(S327)负责确定攻击行动战略和情报评估;由ANT(S322)、DNT(S323)、TNT(S324)负责提供技术支撑;由ROC(S321)负责组织开展攻击侦察行动。由此可见,直接参与指挥与行动的主要包括TAO负责人,S321和S325单位。
NSA对西北工业大学攻击窃密期间的TAO负责人是罗伯特•乔伊斯(Robert Edward Joyce)。此人于1967年9月13日出生,曾就读于汉尼拔高中,1989年毕业于克拉克森大学,获学士学位,1993年毕业于约翰斯•霍普金斯大学,获硕士学位。1989年进入美国国家安全局工作。曾经担任过TAO副主任,2013年至2017年担任TAO主任。2017年10月开始担任代理美国国土安全顾问。2018年4月至5月,担任美国白宫国务安全顾问,后回到NSA担任美国国家安全局局长网络安全战略高级顾问,现担任NSA网络安全主管。
四、总结
本次报告基于国家计算机病毒应急处理中心与360公司联合技术团队的分析成果,揭露了美国NSA长期以来针对包括西北工业大学在内的中国信息网络用户和重要单位开展网络间谍活动的真相。后续技术团队还将陆续公布相关事件调查的更多技术细节。
来源:国家互联网应急中心、网络等,有企业帮整理发布。转载请注明以上信息。
●最高法发布《中国法院的互联网司法》白皮书(附全文)
