一、事件概述
2025年10月19日,中国国家安全机关公开披露了美国国家安全局(NSA)对中国科学院国家授时中心实施的重大网络攻击案件。该攻击活动持续时间长、手段隐蔽、技术复杂,属于典型的国家级网络间谍行为。国家授时中心作为“北京时间”的发播与保持单位,其安全直接关系到国家关键基础设施的稳定运行。此次事件的曝光不仅揭示了网络空间安全面临的严峻挑战,也凸显了全球数字霸权斗争的现实。
二、攻击过程与技术分析
(一)攻击过程时间线:
NSA此次攻击历时3年、发动千余次尝试,其战术设计完全遵循MITREATT&CK框架,攻击路径清晰且极具隐蔽性,可分为四个核心阶段:
1 初始突破:以移动终端为“敲门砖”
2022年3月起,NSA利用某国外品牌手机短信服务零日漏洞,对10余名授时中心工作人员实施精准攻击。攻击者通过伪造“系统升级提醒”“会议通知”等钓鱼短信,诱导用户点击恶意链接,成功植入监听模块,窃取手机通讯录、位置信息、短信及相册数据。
关键突破点在于网络管理员的设备——2022年9月,攻击者通过管理员手机获取了办公计算机的登录凭证,这一操作直指“人机关联”的安全短板。结合APT攻击惯例可推理:选择管理员作为目标,是因为其账户具备网络拓扑查看、设备配置修改等权限,为后续横向移动铺平道路。
2 据点构建:深夜潜伏与武器调试
2023年4月至8月,攻击者利用匿名通信网络节点,在北京时间凌晨(多为凌晨2~4时)远程登录办公计算机80余次,以避开日常监控。此阶段攻击者植入早期版本的隧道搭建武器“Back_eleven”,但受限于功能不成熟,每次启动前需手动关闭主机杀毒软件,暴露了武器迭代的试探性特征。
推理分析:选择深夜攻击并非偶然——关键基础设施的运维监控多在工作日白天加强,凌晨时段的日志审计频率较低,攻击者利用这一时间差完成环境探测,体现其对目标运维规律的精准掌握。
3 武器升级:构建4层加密窃密平台
2024年3月至4月,攻击者针对授时中心网络环境完成武器定制化升级,形成“前哨控守+隧道搭建+数据窃取”的三位一体武器体系,总计42款武器含20余个功能模块及10余个配置文件:
前哨控守武器“eHome_0cx”:通过DLL劫持资源管理器、事件日志等正常服务实现自启动,启动后立即抹除内存中可执行文件头数据,并用RSA+TLS协议完成与主控端的密钥交换,实现长期驻留;
隧道搭建武器“Back_eleven”:具备主动回连与被动监听双模式,通过解密内置IP地址与主控端通信,采用AES+TLS加密传输,且自带环境检测机制——一旦发现调试程序或异常系统版本,立即启动自删除;
数据窃取武器“New_Dsz_Implant”:与NSA经典武器“怒火喷射”高度同源,通过加载25个功能模块实现精准窃密,传输时采用“本地回环+隧道嵌套”技术,构建4层加密链路,加密强度远超常规TLS通讯。
4 横向渗透:瞄准核心授时系统
2024年5月至6月,攻击者利用“Back_eleven”以网管计算机为跳板,攻击上网认证服务器和防火墙。
6月13日9时,攻击者激活网管计算机上的“eHome_0cx”,植入“Back_eleven”“New_Dsz_Implant”,并以此为跳板窃取认证服务器数据。
7月13日9时,攻击者激活网管计算机上的“eHome_0cx”,下发“Back_eleven”和“New_Dsz_Implant”窃取数据。
(二)攻击技术分析:
隐匿性与跳板技术:攻击多发生在北京时间的深夜至凌晨,使用美国本土、欧洲、亚洲等地的虚拟服务器作为跳板,隐藏真实来源。
高强度加密与痕迹擦除:采用高强度的加密算法清除攻击痕迹,增加溯源难度。
零日漏洞与横向渗透:利用未公开漏洞(零日漏洞)、横向提权和跨网渗透技术,突破入侵检测系统。
武器化平台:使用多款定制化网络武器,形成复合型攻击能力,具备持续潜伏与数据窃取功能。
此类攻击被归类为高级持续性威胁(APT),具有长期性、目标明确、技术先进等特点,属于国家级网络攻击。从渗透路径看,攻击者并未急于窃取数据,而是先突破认证与边界设备,这暗示其最终目标可能是:
窃取地基授时系统的频率校准算法与设备参数;
预留后门以在特定场景下篡改授时信号;
通过授时系统向关联的电力、航天等网络渗透。
三、国家授时中心为何成为攻击目标
你以为授时中心只是“报时的”?它其实是现代社会的“隐形骨架”,是国家关键基础设施的“神经中枢”:
电网调度差1毫秒,可能引发大面积停电;
股市交易差1微秒,千亿资金可能凭空波动;
北斗导航差1纳秒,定位精度直接偏差30厘米;
嫦娥探月差1皮秒,航天器可能偏离轨道数公里,无法返航!
更值得骄傲的是,我国国家标准时间准确度已稳居世界第一,在国际标准时间计算中的权重跃居全球第二(从5.66%飙升至19.51%)。这样的“中国精度”,却成了美方眼中的“眼中钉”——他们妄图通过网络攻击,窃取核心技术、预留破坏后门,甚至遏制中国在航天、金融、时间科学等领域的领先发展。
美方将国家授时中心视为关键信息基础设施中的“神经中枢”,其攻击目的可能包括:
窃取核心技术:获取高精度授时技术与系统架构信息。
潜在破坏能力:为未来可能实施的网络战做准备,具备干扰甚至瘫痪中国关键系统的能力。
战略遏制意图:通过技术压制延缓中国在时间科学、航天、金融等领域的领先发展,延缓中国的和平崛起,为中国的经济建设和社会发展制造更大的障碍,维持其在国际上的霸权。
四、历史关联事件
2022年6月,西北工业大学发布公开声明,称该校遭受境外网络攻击,攻击者通过发送钓鱼邮件等手段,试图获取教职工电子邮箱的登录权限,导致相关邮件数据出现被窃取风险。经过调查,发现该事件与美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)有关,TAO使用了40余种不同的网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
2023年7月,武汉市地震监测中心发现前端台站设备被植入后门程序。经国家计算机病毒应急处理中心和360公司技术分析,该后门程序可非法控制设备并窃取地震烈度数据,经过调查,发现此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起,攻击源来自美国。
五、“时间保卫战”人人有责
网络安全没有旁观者,从你手机里的一条敏感信息,到企业的一套核心系统,再到国家的“时间命脉”,每一环都是“网络主权”的重要组成部分。作为长期服务各政企单位的网络安全服务商,我们在此次事件研究分析中深刻认识到:APT防御的核心在于“打破攻击链闭环”,而非单纯阻断单点攻击。结合实战经验,我们构建了覆盖网络安全规划、建设、运营的全周期防护体系:
1.移动终端安全加固
部署MDM/MAM平台,对BYOD(自带设备)终端强制开启“工作空间隔离”,敏感数据仅在加密工作区存储,离职或设备丢失时可远程擦除;
实施应用白名单制度,仅允许安装经安全审计的应用,对国外品牌终端重点监控短信接收与链接点击行为,建议关键岗位配备国产安全终端;
对管理员终端启用多因素认证(MFA),结合“硬件Key+生物识别”,杜绝单一凭证泄露风险。
2.内网横向移动防护
基于业务依赖关系绘制网络拓扑图,按“核心-重要-一般”划分安全域,部署微分段防火墙,阻断跨域的SMB、RDP等协议滥用;
启用Windows本地安全策略,禁用Pass-the-Hash、DCOM远程代码执行等横向移动技术,对管理员账户的凭证进行哈希值保护;
每周开展一次内网扫描,重点检测弱口令、未打补丁的漏洞主机,参考MITREATT&CKT1041(渗透测试)框架验证隔离有效性。
3.加密流量与武器检测
采购支持深度解析的IDS/IPS设备,配置“异常加密套件”“重复密钥交换”等检测规则,对可疑流量进行沙箱还原;
与专业威胁情报机构合作,获取最新APT武器特征,每周更新入侵防御规则库,重点关注NSA相关攻击组织的TTPs(战术、技术与流程);
每月开展一次“红队演练”,模拟“短信钓鱼→凭证窃取→横向移动”攻击链,检验防御体系有效性。
4.应急响应机制优化
修订应急预案,新增“APT攻击专项响应流程”,明确加密流量下的证据固定方法(如内存镜像、流量快照),联合法务部门规范取证流程;
组建跨部门应急团队,包含IT、业务、安全、法务等角色,每季度开展一次实战演练,重点训练“加密攻击溯源”“核心系统隔离”等场景;
建立与国家安全机关、行业主管部门的情报共享通道,第一时间获取针对性威胁预警。
5.供应链与漏洞管理
梳理核心系统的软硬件供应链,重点核查国外设备的固件版本、软件组件,建立SBOM(软件物料清单),每月扫描第三方组件漏洞;
建立零日漏洞应急响应流程,对CVE数据库中CVSS评分≥9.0的漏洞,48小时内完成影响评估,72小时内通过虚拟补丁或临时配置阻断利用;
优先采购具备“自主可控”资质的安全设备,核心系统的加密算法、操作系统建议采用国产标准,降低供应链后门风险。
当“北京时间”在网络空间遭遇暗战,我们看到的是全球数字领域话语权的博弈,更是中国网安人守护国家利益的坚定决心。网络安全没有“一劳永逸”,只有“久久为功”。
中检天帷将以此次事件为鉴,继续以自主创新为刃,以责任担当为盾,构建“可知、可防、可管、可控”的防御体系,在网络安全的战场上,为国家、为企业、为每一位公民,守好每一寸“数字领土”!
一、事件概述
2025年10月19日,中国国家安全机关公开披露了美国国家安全局(NSA)对中国科学院国家授时中心实施的重大网络攻击案件。该攻击活动持续时间长、手段隐蔽、技术复杂,属于典型的国家级网络间谍行为。国家授时中心作为“北京时间”的发播与保持单位,其安全直接关系到国家关键基础设施的稳定运行。此次事件的曝光不仅揭示了网络空间安全面临的严峻挑战,也凸显了全球数字霸权斗争的现实。
二、攻击过程与技术分析
(一)攻击过程时间线:
NSA此次攻击历时3年、发动千余次尝试,其战术设计完全遵循MITREATT&CK框架,攻击路径清晰且极具隐蔽性,可分为四个核心阶段:
1 初始突破:以移动终端为“敲门砖”
2022年3月起,NSA利用某国外品牌手机短信服务零日漏洞,对10余名授时中心工作人员实施精准攻击。攻击者通过伪造“系统升级提醒”“会议通知”等钓鱼短信,诱导用户点击恶意链接,成功植入监听模块,窃取手机通讯录、位置信息、短信及相册数据。
关键突破点在于网络管理员的设备——2022年9月,攻击者通过管理员手机获取了办公计算机的登录凭证,这一操作直指“人机关联”的安全短板。结合APT攻击惯例可推理:选择管理员作为目标,是因为其账户具备网络拓扑查看、设备配置修改等权限,为后续横向移动铺平道路。
2 据点构建:深夜潜伏与武器调试
2023年4月至8月,攻击者利用匿名通信网络节点,在北京时间凌晨(多为凌晨2~4时)远程登录办公计算机80余次,以避开日常监控。此阶段攻击者植入早期版本的隧道搭建武器“Back_eleven”,但受限于功能不成熟,每次启动前需手动关闭主机杀毒软件,暴露了武器迭代的试探性特征。
推理分析:选择深夜攻击并非偶然——关键基础设施的运维监控多在工作日白天加强,凌晨时段的日志审计频率较低,攻击者利用这一时间差完成环境探测,体现其对目标运维规律的精准掌握。
3 武器升级:构建4层加密窃密平台
2024年3月至4月,攻击者针对授时中心网络环境完成武器定制化升级,形成“前哨控守+隧道搭建+数据窃取”的三位一体武器体系,总计42款武器含20余个功能模块及10余个配置文件:
前哨控守武器“eHome_0cx”:通过DLL劫持资源管理器、事件日志等正常服务实现自启动,启动后立即抹除内存中可执行文件头数据,并用RSA+TLS协议完成与主控端的密钥交换,实现长期驻留;
隧道搭建武器“Back_eleven”:具备主动回连与被动监听双模式,通过解密内置IP地址与主控端通信,采用AES+TLS加密传输,且自带环境检测机制——一旦发现调试程序或异常系统版本,立即启动自删除;
数据窃取武器“New_Dsz_Implant”:与NSA经典武器“怒火喷射”高度同源,通过加载25个功能模块实现精准窃密,传输时采用“本地回环+隧道嵌套”技术,构建4层加密链路,加密强度远超常规TLS通讯。
4 横向渗透:瞄准核心授时系统
2024年5月至6月,攻击者利用“Back_eleven”以网管计算机为跳板,攻击上网认证服务器和防火墙。
6月13日9时,攻击者激活网管计算机上的“eHome_0cx”,植入“Back_eleven”“New_Dsz_Implant”,并以此为跳板窃取认证服务器数据。
7月13日9时,攻击者激活网管计算机上的“eHome_0cx”,下发“Back_eleven”和“New_Dsz_Implant”窃取数据。
(二)攻击技术分析:
隐匿性与跳板技术:攻击多发生在北京时间的深夜至凌晨,使用美国本土、欧洲、亚洲等地的虚拟服务器作为跳板,隐藏真实来源。
高强度加密与痕迹擦除:采用高强度的加密算法清除攻击痕迹,增加溯源难度。
零日漏洞与横向渗透:利用未公开漏洞(零日漏洞)、横向提权和跨网渗透技术,突破入侵检测系统。
武器化平台:使用多款定制化网络武器,形成复合型攻击能力,具备持续潜伏与数据窃取功能。
此类攻击被归类为高级持续性威胁(APT),具有长期性、目标明确、技术先进等特点,属于国家级网络攻击。从渗透路径看,攻击者并未急于窃取数据,而是先突破认证与边界设备,这暗示其最终目标可能是:
窃取地基授时系统的频率校准算法与设备参数;
预留后门以在特定场景下篡改授时信号;
通过授时系统向关联的电力、航天等网络渗透。
三、国家授时中心为何成为攻击目标
你以为授时中心只是“报时的”?它其实是现代社会的“隐形骨架”,是国家关键基础设施的“神经中枢”:
电网调度差1毫秒,可能引发大面积停电;
股市交易差1微秒,千亿资金可能凭空波动;
北斗导航差1纳秒,定位精度直接偏差30厘米;
嫦娥探月差1皮秒,航天器可能偏离轨道数公里,无法返航!
更值得骄傲的是,我国国家标准时间准确度已稳居世界第一,在国际标准时间计算中的权重跃居全球第二(从5.66%飙升至19.51%)。这样的“中国精度”,却成了美方眼中的“眼中钉”——他们妄图通过网络攻击,窃取核心技术、预留破坏后门,甚至遏制中国在航天、金融、时间科学等领域的领先发展。
美方将国家授时中心视为关键信息基础设施中的“神经中枢”,其攻击目的可能包括:
窃取核心技术:获取高精度授时技术与系统架构信息。
潜在破坏能力:为未来可能实施的网络战做准备,具备干扰甚至瘫痪中国关键系统的能力。
战略遏制意图:通过技术压制延缓中国在时间科学、航天、金融等领域的领先发展,延缓中国的和平崛起,为中国的经济建设和社会发展制造更大的障碍,维持其在国际上的霸权。
四、历史关联事件
2022年6月,西北工业大学发布公开声明,称该校遭受境外网络攻击,攻击者通过发送钓鱼邮件等手段,试图获取教职工电子邮箱的登录权限,导致相关邮件数据出现被窃取风险。经过调查,发现该事件与美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)有关,TAO使用了40余种不同的网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
2023年7月,武汉市地震监测中心发现前端台站设备被植入后门程序。经国家计算机病毒应急处理中心和360公司技术分析,该后门程序可非法控制设备并窃取地震烈度数据,经过调查,发现此次网络攻击行为由境外具有政府背景的黑客组织和不法分子发起,攻击源来自美国。
五、“时间保卫战”人人有责
网络安全没有旁观者,从你手机里的一条敏感信息,到企业的一套核心系统,再到国家的“时间命脉”,每一环都是“网络主权”的重要组成部分。作为长期服务各政企单位的网络安全服务商,我们在此次事件研究分析中深刻认识到:APT防御的核心在于“打破攻击链闭环”,而非单纯阻断单点攻击。结合实战经验,我们构建了覆盖网络安全规划、建设、运营的全周期防护体系:
1.移动终端安全加固
部署MDM/MAM平台,对BYOD(自带设备)终端强制开启“工作空间隔离”,敏感数据仅在加密工作区存储,离职或设备丢失时可远程擦除;
实施应用白名单制度,仅允许安装经安全审计的应用,对国外品牌终端重点监控短信接收与链接点击行为,建议关键岗位配备国产安全终端;
对管理员终端启用多因素认证(MFA),结合“硬件Key+生物识别”,杜绝单一凭证泄露风险。
2.内网横向移动防护
基于业务依赖关系绘制网络拓扑图,按“核心-重要-一般”划分安全域,部署微分段防火墙,阻断跨域的SMB、RDP等协议滥用;
启用Windows本地安全策略,禁用Pass-the-Hash、DCOM远程代码执行等横向移动技术,对管理员账户的凭证进行哈希值保护;
每周开展一次内网扫描,重点检测弱口令、未打补丁的漏洞主机,参考MITREATT&CKT1041(渗透测试)框架验证隔离有效性。
3.加密流量与武器检测
采购支持深度解析的IDS/IPS设备,配置“异常加密套件”“重复密钥交换”等检测规则,对可疑流量进行沙箱还原;
与专业威胁情报机构合作,获取最新APT武器特征,每周更新入侵防御规则库,重点关注NSA相关攻击组织的TTPs(战术、技术与流程);
每月开展一次“红队演练”,模拟“短信钓鱼→凭证窃取→横向移动”攻击链,检验防御体系有效性。
4.应急响应机制优化
修订应急预案,新增“APT攻击专项响应流程”,明确加密流量下的证据固定方法(如内存镜像、流量快照),联合法务部门规范取证流程;
组建跨部门应急团队,包含IT、业务、安全、法务等角色,每季度开展一次实战演练,重点训练“加密攻击溯源”“核心系统隔离”等场景;
建立与国家安全机关、行业主管部门的情报共享通道,第一时间获取针对性威胁预警。
5.供应链与漏洞管理
梳理核心系统的软硬件供应链,重点核查国外设备的固件版本、软件组件,建立SBOM(软件物料清单),每月扫描第三方组件漏洞;
建立零日漏洞应急响应流程,对CVE数据库中CVSS评分≥9.0的漏洞,48小时内完成影响评估,72小时内通过虚拟补丁或临时配置阻断利用;
优先采购具备“自主可控”资质的安全设备,核心系统的加密算法、操作系统建议采用国产标准,降低供应链后门风险。
当“北京时间”在网络空间遭遇暗战,我们看到的是全球数字领域话语权的博弈,更是中国网安人守护国家利益的坚定决心。网络安全没有“一劳永逸”,只有“久久为功”。
中检天帷将以此次事件为鉴,继续以自主创新为刃,以责任担当为盾,构建“可知、可防、可管、可控”的防御体系,在网络安全的战场上,为国家、为企业、为每一位公民,守好每一寸“数字领土”!
