跳至主要內容

美国人攻击“北京时间”

loaf2025/10/20技术安全大约 6 分钟

上周末,央视新闻报道了一则新闻《美方利用境外品牌手机漏洞对中国国家授时中心实施网络攻击》。 微博截图

攻击授时中心干嘛?

国家授时中心在陕西省西安市,核心设备是连续运行6000千万年误差不足1秒的铯原子钟,说到授时,一般人能想到的是“整点报时”,但是往往意识不到这个“整点”有多么重要。 这么说吧,

  • 时间差1毫秒,变电站可能会因为时序混乱而大停电。
  • 时间差1微秒(0.001毫秒),股市交易可能会有几千亿损失。
  • 时间差1纳秒(0.001微秒),北斗卫星的定位精度会差30厘米。
  • 时间差1纳秒(0.001微秒),无线电载波无法同步,手机通话和上网就无法实现。
  • 时间差1皮秒(0.001纳秒),“嫦娥”飞船定位就会差几公里。

美国人的攻击细节

网上找到了国家互联网应用中心CNCERT的公众号文章[1] ,披露了一些技术细节。

“Operation Triangulation”用来撬门

其实刚看到“NSA利用某国外品牌手机短信服务漏洞,秘密监控10余名国家授时中心工作人员,非法窃取手机通讯录、短信、相册、位置信息等数据”这段话来时,我们首先能想到的是以色列公司(NSO Group)开发的零点击植入工具飞马(Pegasus)。

攻击者给目标手机发出一条看似普通但特制的消息或附件,用户在打开消息就会在设备上悄悄安装间谍程序(Pegasus),从而窃取联系人、短信、文件、录音、定位以及登录凭证等。

但是它利用的iphone的漏洞(CVE-2021-30860、CVE-2021-30858)已经被补上了呀,新闻说2023年开始的攻击,理论上不会是Pegasus。

再仔细看新闻,文中提到了“三角测量行动”(Operation Triangulation),它使用了4个0-day漏洞(CVE-2023-41990,CVE-2023-32434,CVE-2023-38606,CVE-2023-32435),在iOS版本小于16.5[2]的手机上都能进行。

三角测量行动的攻击链接如下: 三角测量行动攻击链

为什么这个漏洞有这么奇怪的名字呢?这是因为这种攻击的代码中有一段是在粉色背景上绘一个黄色三角形[3]三角测量行动代码

具体的攻击细节从上面提到的链接能看到。但令人关注的是漏洞CVE-2023-38606。这个漏洞是苹果把它GPU的一些接口映射到了一段内存。这样,他可以利用这段硬件 MMIO 寄存器,绕过页面保护层 (PPL) 的漏洞,覆盖基于硬件的安全保护。

这个漏洞的发现是非常偶然的,当时卡巴斯基几个员工的手机被攻击了,于是他们通过逆向工程,发现了这个漏洞[4]

这个漏洞之所以值得关注,是因为它不可能是一个Bug,而是一个后门,只有可能是苹果的工程师主动创建的。因为这段代码是写在硬件里,而且是不必要的,好比你在金库围墙上安装了一个密码门,总不能说是不小心安错位置了吧?[5]

这个漏洞更详细的发现过程,可以在B站看这个视频[6]。视频很不错,有中文字幕,而且你还能听到俄罗斯口音的英语,挺有趣的。

后续就是,2023年9月份后,国内禁止部分公务员和国企员工在工作场所使用iphone

回到这次事件,NSA在得到国家授时中心员工手机的控制权后,得到了中心办公计算机的控制权。可以说是撬门成功。

“New-Dsz-Implant”用来偷盗

根据国家互联网应用中心CNCERT的文章,NSA在得到授时中心办公电脑的控制权后,先用“eHome_0cx”抢滩登陆,然后用“Back_eleven”搭建一个隐蔽的数据隧道,然后激活“New_Dsz_Implant”,后者调用多种工具来窃取数据。

  • ehome_0cx (前哨控制武器): 这个模块负责在目标网络内建立立足点,并确保对受感染机器的持久控制。 它利用对合法系统服务(如事件日志服务)进行DLL劫持,实现自动启动。 一旦运行,它会擦除内存中的可执行文件头部,以隐藏其踪迹。 它使用TLS和RSA加密的组合,在主控服务器和其它被控服务器之间建立安全的加密通信。

  • back_eleven (隧道武器): 这个工具创建加密通信隧道,以促进数据传输和对其他攻击组件的远程控制。

    • 它可以在两种模式下运行:
      • 主动回调模式: 它主动连接回C&C服务器。
      • 被动监听模式: 它监控网络流量中的特定数据包以接收命令。
    • back_eleven 具有内置的反分析功能,如环境检测和自删除,以避免被逆向工程。

  • New-dsz-implant (数据窃取武器): 这是一个用于数据盗窃的模块化框架,类似于NSA的“DanderSpritz”工具。

    • 它由ehome_0cx加载并运行,并与back_eleven协同工作,形成数据传输链路。
    • 该植入程序本身没有特定的数据窃取功能。相反,它接收来自主控服务器的命令来加载不同的功能模块。在针对NTSC的攻击中,共部署了25个此类模块。

网攻武器加密模式

总结

从上面的过程我们能看到,攻击方入侵电脑后的各种破坏活动,尽管非常先进和隐蔽,但是还在我们可以理解的技术范畴,也有相应的技术手段进行抑制。毕竟它们的操作是“反常”的。但类似那种植入硬件的后门,可真没有办法防范,因为不看动机的话,操作对于系统来说是“正常”的。 也难怪国家大力发展国产替代,大搞“信创”工程。类似的重要基础设施,可能真是从硬件到软件都得全国产。

  1. 关于国家授时中心遭受NSA攻击事件的技术分析报告 ↩︎

  2. ios安全提示 ↩︎

  3. The outstanding stealth of Operation Triangulation ↩︎

  4. 卡巴斯基官网关于CVE-2023-38606 ↩︎

  5. Operation Triangulation: The last (hardware) mystery ↩︎

  6. B站卡巴斯基的讲座 ↩︎

最近更新