国家授时中心到底是如何被NSA攻破的？

这几天比较火的新闻就是国安局指责美国入侵了我国的国家授时中心，小编看了几个新闻稿基本都是介绍这一事件的，但对于详细的流程没有提及，后面终于在 国家互联网应急中心CNCERT 的官方推文中找到的详细的路径，见这里《关于国家授时中心遭受美国国家安全局网络攻击事件的技术分析报告》里面的内容分析的很专业，透露的数据也很详细，专业的大佬可以参考下这个文章。

小编大约看了下虽然介绍很详细，但对于最初获取计算机终端的登录凭证这一步都是简单带过了，NSA又是如何拿到授时中心计算机的登录权限的呢？这安全防线的第一个缺口是如何打开的呢？

三角测量

根据国家互联网应急中心CNCERT的披露，最早的缺口是在2022年3月24日至2023年4月11日，NSA通过“三角测量”对授时中心10余部设备进行攻击窃密。2022年9月，攻击者通过授时中心网络管理员某国外品牌手机，获取了办公计算机的登录凭证，并利用该凭证获得了办公计算机的远程控制权限。

后面的信息就没了，小编于是去搜索了下这个三角测量，这不是咱测绘里的那个测量，最早是由俄罗斯著名安全厂商卡巴斯基所披露，原文见Operation Triangulation: The last (hardware) mystery ，其核心攻击链路如下图：

是不是还不明白？也没关系，通俗一点来说，这是苹果设备上的一个安全漏洞（不清楚为什么国家互联网应急中心的表述也遮遮掩掩），利用 iOS 系统内置的 iMessage 消息服务和 iOS 系统 4 个0day漏洞，实现对苹果设备的“零点击”攻击。

“零点击”攻击是指在整个攻击过程中无需手机用户进行任何交互操作，就可完成对目标移动设备的植入。

由于更多的信息官方并没有披露，我们可以大约猜测的攻击路径：

1. 国家授时中心的员工使用了苹果相关设备（2022年）
2. 攻击者首先通过 iMessage 服务器向目标 iOS 设备发送包含隐藏恶意附件的 iMessage 信息
3. 设备在收到消息后，自动触发iOS系统 4 个漏洞，完成后续恶意程序的植入
4. 被攻击的苹果设备上收到了国家授时中心办公电脑密码（这一步里目前没有官方信息披露，属于猜测）
5. 泄密的信息被提前植入的恶意程序获取并自动传输给了NSA

后续攻击过程

后续的过程在国家互联网应急中心CNCERT和众多大佬的分析文章中都有披露，我们这里引用《一场精心策划的攻击，美国国家安全局入侵中国国家授时中心》中的白话。

2023年8月，第一枚“种子”正式落地——一个名叫Back_Eleven的木马被植入系统中。

2024年植入三个高级木马，eHome_0cx：负责持久化驻留和心跳通信，相当于“前哨站”。Back_Eleven：这是升级后的版本了，负责搭建加密隧道，是整个攻击链的“运输机”。New_Dsz_Implant：模块化间谍框架，真正负责数据窃取和渗透。

2024年5月,利用Back_eleven以网管计算机为跳板，攻击上网认证服务器和防火墙。并分别在 6月、7月开始大规模的攻击行为。

可以发现整个过程极具潜伏，攻击过程持续几年，且攻击行为专业成体系。

诡异的奖金

这里面比较有趣的一个事情是，苹果有一套安全赏金计划，也就是说你挖出其系统漏洞，普通的支付200w美元，特殊漏洞会达到500万美元，按小编搜索到的像本文中介绍的三角测量这种，4个漏洞价值就上亿了。苹果虽然在第一时间进行了hot fix，但苹果没有按照惯例给他们奖金，更讽刺的是后来全美禁了卡巴斯基...

总结

本文介绍的三角测量获取登录电脑的凭证属于个人猜测，官方并没有披露，仅是根据三角测量漏洞的攻击方法得到的。另外通过恶意iMessage附件如何激活iOS中隐藏的0 day漏洞，里面的信息比较专业小编也看不懂，有兴趣的可以自行去查看官方原文。有一点值得玩味的是，卡巴斯基在发布三角测量攻击时，暗指苹果漏洞属于官方故意留下的后门，而非bug，事实到底如何我们也不得而知。不过也正是差不多这个时间点之后，国内稍微带点密级的单位员工手机都换了手机...