IT之家 10 月 19 日消息,今日上午,国家安全机关披露了美国国家安全局(National Security Agency,简称 NSA)对国家授时中心(以下简称“授时中心”)实施重大网络攻击活动。国家互联网应急中心(CNCERT)通过分析研判和追踪溯源得出此次攻击事件的整体情况,并将具体技术细节公布。
据介绍,2022 年 3 月起,NSA 利用某国外品牌手机短信服务漏洞,秘密监控 10 余名国家授时中心工作人员,非法窃取手机通讯录、短信、相册、位置信息等数据。2023 年 4 月起,NSA 在“三角测量”行动曝光前,多次于北京时间凌晨,利用在某国外品牌手机中窃取的登录凭证入侵国家授时中心计算机,刺探内部网络建设情况。此次攻击事件中,NSA 利用“三角测量行动”获取授时中心计算机终端的登录凭证,进而获取控制权限,部署定制化特种网攻武器,并针对授时中心网络环境不断升级网攻武器,进一步扩大网攻窃密范围,以达到对该单位内部网络及关键信息系统长期渗透窃密的目的。具体四个阶段:获取控制权限、植入特种网攻武器、升级特种网攻武器、内网横向渗透过程。攻击者在此次网络攻击事件中使用的网攻武器、功能模块、恶意文件等总计 42 个,主要网攻武器按照功能可分为前哨控守类武器、隧道搭建类武器、数据窃取类武器。另外,攻击者使用的 3 款网攻武器均采用 2 层加密方式,外层使用 TLS 协议加密,内层使用 RSA+AES 方式进行密钥协商和加密,在窃密数据传输、功能模块下发等关键阶段,各武器的相互配合实现了 4 层嵌套加密。此种多层嵌套数据加密模式与相比于“NOPEN”使用的 RSA+RC6 加密模式有了明显升级。国家互联网应急中心评价称,纵观此次事件,NSA 在战术理念、操作手法、加密通讯、免杀逃逸等方面依然表现出世界领先水准:隐匿实施攻击、通讯多层加密、活动耐心谨慎、功能动态扩展,但其整体创新性缺失和部分环节乏力,显示出在被各类曝光事件围追堵截后,技术迭代升级面临瓶颈困境。
IT之家附国家互联网应急中心技术分析报告原文如下:相关阅读:
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,蓝鸢梦想所有文章均包含本声明。
