沈逸:破坏“北京时间”引发中国大乱?“黑客帝国”的魔爪被我们斩断
我要评论【文/网专栏作者 沈逸】
近期,中国国家安全机关成功破获一起美国国家级网络攻击案,掌握了美国国家安全局(NSA)入侵中国国家授时中心的铁证,粉碎了美方阴谋渗透和破坏“北京时间”安全的图谋。此次攻击行动具有典型的高级持续性威胁(APT)特征,目标直指关系国家命脉的关键信息基础设施——承担“北京时间”产生与发播任务的国家授时中心。
国家级APT锁定关键基础设施:“北京时间”遭三阶段网攻
国家授时中心位于陕西西安,负责为通信、金融、电力、交通、国防等领域提供高精度标准时间,一旦其网络瘫痪,将引发通信故障、金融系统紊乱、电力中断、交通运输瘫痪、航天发射失败等严重后果,对中国国家安全与发展的危害难以估量。
根据相关部门已经公布的材料,美国对如此关键目标发动网络攻击,显然是有备而来、蓄谋已久,攻击过程分为以下三个阶段递进实施:
第一阶段,远程控制,植入后门。攻击者利用某境外品牌智能手机短信服务的漏洞,对国家授时中心多名工作人员实施定向攻击,秘密控制其手机终端,从而植入后门程序并窃取手机内存储的敏感资料。这一“鱼叉式”网络间谍活动自2022年3月25日开始,隐蔽性极强,显示出高度专业化的技术水平。
第二阶段,内网渗透,窃取凭证。攻击者利用在第一阶段获取的登录凭证,从2023年4月18日起多次远程入侵国家授时中心的内部计算机系统,刺探该中心网络架构和系统建设情况。通过已植入的后门,攻击者逐步扩大在目标网络内的存在,为更深层次的渗透做好准备。
第三阶段,潜伏植入,预置武器。2023年8月到2024年6月间,攻击者启动新型网络作战平台,动用了多达42款定制的特种网络攻击武器,对授时中心多个内部网络系统发动高强度攻击,并尝试通过内网移动进入核心部位,即高精度地基授时系统,在关键控制系统中预置瘫痪破坏能力。这一系列行动意在为未来潜在的冲突预先埋下可被远程引爆“网络炸弹”。
可以想见,其最终目标是在中国遇到重大安全危机时,引爆预置的网络武器令授时中心瘫痪,从而打乱中国金融、交通、军事等关键系统的同步运行,造成整体协同体系陷入混乱。这是国家级网络攻击的核心特征之一。
值得注意的是,为了逃避追踪和延长潜伏时间,美方精心采取了APT惯用的多重隐蔽手段:比如将网络攻击多选在北京时间深夜至凌晨发动,并利用分布于美国本土、欧洲、亚洲等地的众多虚拟专用服务器作为“跳板”中转,以遮掩真实源头;通过伪造数字证书绕过安全监测,使用高强度加密算法反复擦除攻击痕迹,企图做到“潜伏而不觉”。
网络攻击所采用的“嵌套加密”模式关于国家授时中心遭受美国国家安全局网络攻击事件的技术分析报告
可以说,攻击者极尽所能地隐藏自身行踪。然而,中国安全部门见招拆招,成功捕获并固定了美方网攻行为的证据链,及时指导授时中心全面清查处置,斩断攻击链路、升级防御措施,从而消除了潜在重大隐患。这一系列快速反制行动,充分体现出中国对APT高级威胁的感知、溯源与阻断能力已经达到新的高度。
美网络霸权贼喊捉贼,违背国际共识与规范
此次对授时中心的网络入侵,暴露出美国国家安全局及其网络司令部长期奉行的进攻性网络霸权战略。美国情报和网络部门此次实施的对中国关键基础设施的网络攻击行动,严重违反了中美两国元首在2015年达成的“不针对对方关键基础设施实施网络攻击”的重要共识,以及联合国所倡导的网络空间国家行为规范。
2015年中美元首会晤期间,两国同意共同推动制定网络空间行为准则,并明确支持当年联合国政府专家组报告提出的各项规范共识,其中就包括各国不应蓄意破坏他国关键基础设施。然而,美方如今公然背弃承诺,将别国关键信息基础设施列为网络攻击合法目标,其行为已对国际网络安全共识造成严重破坏。当初达成协议的是美国民主党总统,攻击事件发生的时间阶段,不仅同样是民主党总统,而且还是2015年时的副总统。在此背景下美方的攻击行为,不仅构成了对中国的客观威胁,同时也对中美在观念层面的战略互信构成了严重的冲击与挑战。