美国NSA长期渗透国家授时中心，42款网络战武器攻击分析

10月19日，国家安全机关联合 CNCERT 首次披露：美国国家安全局（NSA）自 2022 年 3 月起，对中国国家授时中心（NTSC）发动持续 2 年半的网络攻击，企图染指高精度地基授时导航系统——这一被誉为“国家第四维战略基础设施”的核心系统。

攻击者先后投入 42 款特种木马，构建 4 层嵌套加密通道，隐蔽程度之高、持续周期之久、瞄准目标之精准，均创近年来涉外攻击事件之最。

一、事件时间轴：从“三角测量”到“时间之门”

2022-03：利用某境外品牌手机短信漏洞，对 10 余名授时中心员工实施“三角测量”行动，窃取办公网登录凭证。

2023-04：凌晨时段 80 余次远程登录，踩点内网拓扑。

2023-08：首批特种木马“Back_eleven”落地，但因功能残缺，需人工关闭杀毒软件。

2024-03：武器升级：eHome_0cx（前哨控守）+ Back_eleven（隧道搭建）+ New_Dsz_Implant（数据窃取）“三件套”正式合体。

2024-05~06：以网管机为跳板，攻陷上网认证服务器与防火墙，把窃密探头伸向高精度时频系统。

二、技术拆解：42 款武器的三层火力

1、前哨控守｜eHome_0cx

DLL 劫持资源管理器实现自启动，内存抹头隐藏进程，以主机唯一 GUID 作为密钥解密资源，内置 RSA+TLS 双加密心跳。

2、隧道搭建｜Back_eleven

主动回连与被动嗅探双模式，上线包带数字“11”指纹；检测到调试器即自毁，可构造 4 层加密回环，流量特征极难识别。

3、数据窃取｜New_Dsz_Implant

模块化框架，与 NSA“DanderSpritz”同源码编译，25 个插件覆盖进程、注册表、路由、事件日志等全维度收集；AES+TLS1.2 再嵌套本地回环，实现“加密套加密”。

三、攻击亮点与防御盲点

• 证书白利用：木马数字签名均借用正常业务证书，绕过白名单。

• 内存无文件：载荷全程在内存中反射加载，重启即重新拉取，未落盘。

• 杀毒“人眼”关闭：早期版本需人工远程关闭杀软，暴露后迅速迭代为内核级免杀

• 时间窗口攻击：刻意选择凌晨 0:00-5:00 低峰期，降低被运维发现概率。

四、CNCERT 应对与行业警示

1、已封控境外 C2 节点 37 个，发布 3 期 IoC 黑名单。

2、向关键基础设施单位下发“时间系统专项排查”工具包，检查注册表键值异常HKLM\SOFTWARE\Classes\CLSID*\InprocServer32）与内存反射注入特征。

3、建议立即启用“零信任+微隔离”架构，对时频服务器、网关、认证系统三大区域实施最小权限访问；授时流量与办公流量物理隔离，关键节点引入国密算法双向认证。

五、结语

高精度时间不仅是北斗、5G、金融交易的基准，更是大国战略博弈的“心跳”。NSA 此次行动表明，境外情报机构已将“时间源”纳入重点打击清单。国内关基单位须摒弃“空气gap 就高枕无忧”的惯性思维，把授时系统纳入最高等级保护范畴，做到“芯片级可信、信号级鉴权、数据级加密、审计级溯源”，方能让境外攻击者“偷不到一秒、乱不了一分”。