深度复盘美国NSA渗透攻击授时中心,360安全智能体蜂群引领政企防护升维

发布者:360政企安全集团
时间:2025-10-22
收藏
已收藏

深度复盘美国NSA渗透攻击授时中心,360安全智能体蜂群引领政企防护升维

图片


近日,国家安全机关披露了美国国家安全局(以下简称NSA)对国家授时中心(以下简称“授时中心”)实施重大网络攻击活动。国家互联网应急中心(CNCERT)通过分析研判和追踪溯源得出此次攻击事件的整体情况。


梳理结果显示,NSA在此次攻击中使用了多达42款网络攻击武器,攻击时间自2022年3月持续至2024年6月,历时超过两年。期间,攻击者利用境外网络资产作为主控端服务器持续实施了千余次攻击,严重破坏我国关键信息基础设施安全,对国家安全造成系统性、持续性危害。


图片


360数字安全集团基于20年一线APT狩猎积累的实战攻防经验,对美国NSA发起此次网络攻击事件以及其牵涉的“三角测量行动”进行了跟踪研究,结合此次攻击事件的全面复盘推演,为国内政企机构的数字安全能力建设独家提供了系统性思考。








国家授时中心遭渗透

NSA恶意攻击行径被曝光


国家授时中心负责“北京时间”的产生、保持与发播任务,其高精度时间信号支撑着金融、电力、通信、北斗等关键领域。时间同步一旦出现偏差,后果极其严重:微秒误差可能引发金融交易混乱,毫秒偏差会导致电网保护误动,纳秒差异更可能影响导弹精准定位。


数据显示,中国在国际标准时间计算中权重已达19.51%,位居全球第二。美国选择此处发动攻击,正是看中了时间同步的“牵一发而动全身”效应。


根据国家互联网应急中心(CNCERT)发布的《关于国家授时中心遭受美国国家安全局网络攻击事件的技术分析报告》,此次攻击事件中,NSA 利用“三角测量行动”获取授时中心计算机终端的登录凭证,进而获取控制权限,部署定制化特种网攻武器,并针对授时中心网络环境不断升级网攻武器,进一步扩大网攻窃密范围,以达到对该单位内部网络及关键信息系统长期渗透窃密的目的。


整个攻击链高度体系化,各环节紧密衔接,体现出极强的隐蔽性与适应性进化能力。这种“多阶段、跨多域、持续性”的攻击模式,不仅展现了NSA在网络攻击中的战术成熟度,更凸显了其通过体系化攻击链实现长期战略目标的意图,为理解境外网络攻击的演化趋势与防御策略提供了关键技术实证。


报告显示,2022年3月起,NSA 利用某国外品牌手机短信服务漏洞,秘密监控10余名国家授时中心工作人员,非法窃取手机通讯录、短信、相册、位置信息等数据。

2023年4月起,NSA 在“三角测量”行动曝光前,多次于北京时间凌晨,利用在某国外品牌手机中窃取的登录凭证入侵国家授时中心计算机,刺探内部网络建设情况。

2023年8月至2024年6月,NSA 针对性部署新型网络作战平台,对国家授时中心多个内部业务系统实施渗透活动,并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。


纵观此次事件,NSA 在战术理念、操作手法、加密通讯、免杀逃逸等方面依然表现出世界领先水准。


  • 隐匿实施攻击,NSA 通过使用正常业务数字证书、伪装Windows 系统模块、代理网络通信等方式隐蔽其攻击窃密行为,同时对杀毒软件机制的深入研究,可使其有效避免检测;

  • 通讯多层加密,NSA使用网攻武器构建回环嵌套加密模式,加密强度远超常规TLS 通讯,通信流量更加难以解密还原;

  • 活动耐心谨慎,在整个活动周期,NSA 会对受控主机进行全面监控,文件变动、关机重启都动作会导致其静默隐蔽而难以排查;

  • 功能动态扩展,NSA 会根据目标环境,动态组合不同网攻武器功能模块进行下发,表明其统一攻击平台具备灵活的可扩展性和目标适配能力。但其整体创新性缺失和部分环节乏力,显示出在被各类曝光事件围追堵截后,技术迭代升级面临瓶颈困境。


梳理发现,NSA使用的网攻武器共计42款,可分为三类:前哨控守(如“eHome_0cx”)、隧道搭建(如“Back_eleven”)和数据窃取(如“New_Dsz_Implant”),以境外网络资产作为主控端控制服务器实施攻击活动共计千余次。


追踪APT攻击演进

深度洞见关键技术脉络


事实上,360对美国NSA“三角测量”行动已进行多年跟踪,该行动最早可追溯至2019年,是针对iOS设备的高级持续性威胁活动。攻击者通过iMessage附件中的零日漏洞发起“零点击”入侵,实现恶意代码的初始植入,并进一步经由C&C服务器下载多阶段攻击载荷,最终完全控制目标设备。


作为响应,苹果公司于2023年6月21日在iOS 15.7.7安全更新中修复了多个被该行动利用的核心漏洞,这些漏洞构成“三角测量”攻击链:其利用四个iOS零日漏洞(CVE-2023-41990、CVE-2023-32434、CVE-2023-38606 和 CVE-2023-32435),通过WebKit字体解析、JavaScriptCore内存操控、内核整数溢出和隐藏的MMIO硬件指令漏洞,最终绕过代码签名和硬件保护,实现了全物理内存访问和root提权,最终部署TriangleDB间谍软件。


在本次NSA入侵事件中,攻击者在手机端成功获取办公计算机的登录凭证后,进一步通过手机端作为跳板取得了计算机端点的远程控制权限,并依次完成特种网攻武器的植入与升级。


图片


随后,攻击者通过多款网络攻击武器协同作业,在目标内网构建起一个包含四层加密隧道的窃密攻击平台,具备高度隐蔽性与完整攻击功能,进而以此实施内网横向渗透,非法窃取关键数据信息。


整个过程中,攻击者在计算机终端上部署的攻击模块总计达42个。这些模块均采用内存加载、解密执行的方式运行,有效规避了常规安全软件的检测与查杀。


其中,前哨控守类武器(eHome_0cx)作为核心加载调度模块,由四个组件共同构成,负责协调并调用其他各类网攻武器,包括隧道搭建类武器(Back_Eleven)以及数据窃取类武器(New-Dsz-Implant),形成一个层次清晰、功能完备的攻击体系。


图片


360通过深入分析发现,尽管同类的以色列NSO集团“飞马”间谍软件等针对苹果手机的窃密活动已多次被曝光,但“三角测量”的APT攻击在复杂性与隐蔽性上均更胜一筹。该类攻击通常采用多阶段、高集成的漏洞利用链,并植入极难检测的持久化后门,从而给防御与检测工作带来显著挑战。


具体体现在以下两方面:一是隐藏的芯片级0day漏洞延长苹果修复周期,导致漏洞长期处于无补丁真空期,且可能因情报差异仅只部分修复,导致攻击者可长期持续利用;


二是攻击后门植入物进入后利用阶段后,取证环境恶劣,常面临恶意代码失效、漏洞利用无法追溯、后门自销毁留存残缺日志等问题,导致有效数据获取困难,难以支撑完整攻击溯源与防御加固。





鉴于iOS设备使用覆盖广度,360安全专家提出以下防护建议:

1

加强移动设备网络流量专项监测

部署针对移动终端的入侵检测系统,对设备产生的应用层、协议层及传输层流量进行精细化监控,缩小监测范围、提升检测精度,从而有效识别异常通信行为与潜在攻击活动。

2

推进移动设备统一安全管理

通过部署移动设备管理(MDM)等解决方案,实现对设备内应用程序行为的持续监控与安全策略的统一执行。应严格审核应用权限申请与实际行为是否匹配,限制对敏感数据与系统功能的不必要访问,并确保应用均来源自可信分发渠道。

3

落实设备安全配置与更新机制

及时落实移动设备系统与应用的补丁更新,修复已知安全漏洞。同时强化设备访问控制策略,例如对无线网络、蓝牙等连接方式的使用进行合理管控,从配置层面降低攻击面。

4

实施网络分段隔离机制

实施隔离员工私有设备(如个人手机或笔记本)和企业设备的网络安全措施。通过使用VLAN、防火墙规则或软件定义网络(SDN)技术,将私有设备置于访客网络或隔离子网中,限制其访问核心企业资源。这不仅能减少横向移动攻击的风险,还能防止恶意软件从私有设备传播到企业系统。


洞察全球APT态势

构筑安全智能体蜂群新防线


事实上,在大国博弈因多极化进程而日趋激烈的当下,经济、科技、军事及国际事务等核心领域的战略博弈日益向网络空间蔓延。在此背景下,具有国家背景的组织在网络空间活动日趋频繁,其攻击行动更具隐蔽性与破坏力。此次披露的“三角测量行动”,仅仅是这场深层战略博弈的一个缩影。


360发布的《2024年全球高级持续性威胁(APT)研究报告》显示,截至2024年底,全球网络安全厂商和机构累计发布APT报告730多篇,报告涉及APT组织124个,其中属于首次披露的APT组织41个。


其中,我国历来是地缘周边APT组织攻击的重点区域。360依托全网安全大数据视野,在2024年累计捕获到1300余起针对我国的APT攻击活动,攻击来源APT组织主要归属南亚、东南亚、东亚以及北美等地区。


从行业分布看,我国受APT攻击影响单位主要涉及14个重点行业领域,政府机构、教育、科研、国防军工和交通运输是遭受APT攻击活动最为集中的5个行业。


这主要是由于APT组织针对特定行业的攻击,通常实施窃取敏感数据,甚至战略性破坏,用以服务于攻击者背后势力的政治、军事或经济等目的。


图片


值得关注的是,AI技术尤其是智能体技术的突破性演进,正持续为APT组织的加速演进提供多维支撑。在深度伪造与诱饵构建、零日漏洞挖掘、自动化攻击工具批量生成、网络作战策略规划等关键环节中,AI已成为其提升攻击效能的核心引擎。


这种技术赋能不仅缩短了漏洞利用周期,更通过智能生成高仿真诱饵和动态调整攻击策略,显著增强了攻击的隐蔽性与破坏力,使APT攻击在数字战场中更具穿透性与持续性。


据360安全智能体监测,2025年上半年已发现APT-C-26(Lazarus)、APT-C-47(旺刺)、APT-C-01(毒云藤)等多个组织在部分网络攻击中开始运用智能体技术。


这表明,智能体正成为黑客能力倍增器——从社会工程到漏洞挖掘、工具生成及作战规划,全方位强化攻击效能。未来,多智能体或形成协同网络,类似军事'蜂群'实现复杂攻击目标,标志AI攻防进入“智能体对抗”时代。


面对这一趋势,广大政企单位应从三个方向发力,高效构建实战化安全防御体系,快速获得安全能力:


其一是以“看见”为核心,构建全局威胁感知能力。传统依赖产品堆砌的防护模式难以应对隐蔽的APT攻击,必须依托安全大数据、威胁情报与专业知识,构建全网动态安全事件档案,实现对行业威胁与全网态势的全局可视。尤其需重视终端数据采集与分析,因为80%的APT攻击始于终端,终端是“看见”攻击的关键节点。面对隐匿攻击,360基于近20年、15亿客户端的攻防对抗经验,通过持续更新迭代,打造出“核晶技术”实现最强终端防护能力,有效避免客户端自身被绞杀或注入退出。


其二是以“运营”为中心,打造智能协同防御体系。应建设具备大数据分析、指挥管控与专家协同能力的安全运营平台,支撑从预警、检测到响应、恢复的全流程闭环管理。通过自动化响应与人工研判相结合,实现对安全事件的快速发现、精准处置与有效止损。同时引入AI技术,提升海量告警的分析效率,增强防御体系的智能化水平。


其三是以“智能体”为支撑,突破人才瓶颈、提升实战能力。面对政企单位高级安全人才短缺的困境,应推动“以模制模”的技术路径,将专家经验转化为可复用的安全智能体。这些数字员工具备7×24小时持续工作、毫秒级响应与跨设备协同能力,可有效应对日益智能化的攻击手段,实现从“人防”到“智防”的升级。


作为国内唯一兼具数字安全和人工智能双重能力的企业,360率先提出用AI重塑安全,依托海量安全数据,以CoE多专家协同安全大模型架构为基础,通过安全场景专项化训练,自主研发首个AI实战应用的安全行业大模型——360安全大模型,解决知识更新滞后问题、提升隐蔽威胁识别精度、降低人员操作门槛。

在此基础上,360创新构建“安全智能体蜂群”体系,将安全专家的能力和经验进行固化,集成数十类垂直安全智能体。用安全智能体解决专家资源稀缺问题,用智能体自动化处置替代安全服务人力不足问题,释放人员精力,并以毫秒级响应与跨设备协同,提速防御行动,形成覆盖安全运营全流程关键场景的智能协作防御体系。


该智能体蜂群围绕IPDRV安全框架,涵盖告警降噪、研判分析、事件运营、钓鱼邮件检测等场景化智能体,实现了安全运营从响应到决策的全面智能化升级。


图片


截至目前,360已累计发现并披露了58个境外APT组织,占国内所有发现APT总数的98%以上,近年依托安全智能体蜂群的全面赋能,已经实现对APT组织的快速看见与自动化处置。


面对数字时代复杂多变的高级威胁挑战,传统防御范式亟待革新。未来,360将持续为政企机构提供智能化、体系化的新一代安全解决方案,全力支撑国家、城市及企业的数字化转型安全,为“网络强国”与“数字中国”的宏伟目标提供可靠保障。