“时间”的战争：起底美国NSA对华关键基础设施的隐秘攻击

就在今天上午（10月19日），国家互联网应急中心（CNCERT）联合国家安全机关正式披露：自2022年起，美国国家安全局（NSA）对我国国家授时中心实施了长达两年多的系统性网络攻击。这场攻击不仅技术手段先进、组织严密，更暴露出美国在关键基础设施领域长期奉行“双重标准”的霸权逻辑——自己是全球最大的网络攻击者，却屡屡污蔑他国“网络威胁”。

这起事件，将一个我们日常生活中习以为常，却关乎国家命脉的领域——授时，推到了风口浪尖。

什么是授时？

授时，简单说就是发布标准时间。我们每天看手机、手表校准时间，背后都依赖于这个全国统一、高度精准的时间源。

但授时的意义远不止于此。它是中国现代科技与社会运行的“隐形基石”。国家授时中心（NTSC）位于陕西西安临潼，是中国唯一法定的国家时间频率基准发布机构。它产生的“北京时间”不仅用于日常钟表校准，更是金融交易、电力调度、通信同步、卫星导航、国防指挥等关键系统的基础。

例如，一笔跨境汇款、一次股票买卖，时间戳差之毫秒，就可能导致巨额损失或法律纠纷。5G/6G基站的协同、数据包的交换，都需要精确同步，否则网络效率将急剧下降。

可以说，掌控了授时，就等于掌控了现代社会的“心跳”。一旦授时系统被干扰或劫持，其后果不堪设想——金融市场可能瞬间崩溃，电网可能陷入瘫痪，高铁可能停运，国防安全将面临严峻挑战。

正因如此，国家授时中心不仅是科研机构，更是国家关键信息基础设施的核心节点，是网络空间中必须死守的“战略要地”。而这次，美国NSA的黑手，恰恰伸向了这里。

NSA的“时间窃密”

根据CNCERT发布的《技术分析报告》，NSA此次攻击代号虽未明示，但却是一场典型的“APT（高级持续性威胁）”行动，具备长期潜伏、多层加密、动态适配、高度隐蔽等特征。整个攻击可分为四个阶段：

阶段一：从手机入手 获取权限（2022.3–2023.4）

NSA并未直接攻击授时中心内网，而是始于对个人设备的精准打击。他们利用某国外品牌智能手机的短信服务漏洞，对10余名授时中心工作人员实施监控，窃取通讯录、短信、相册、位置等敏感数据。2022年9月，一名网络管理员的手机被攻陷，其办公电脑的登录凭证随之泄露。获得权限后，NSA通过匿名网络节点远程登录办公计算机80余次。

阶段二：植入特种网攻武器（2023.4–2023.8）

2023年8月3日至2024年3月24日，攻击者向网管计算机植入了早期版本的“Back_eleven”，窃取网管计算机数据，并在每次攻击结束后清除网络攻击武器内存占用和操作痕迹。该阶段“Back_eleven”功能尚未成熟，攻击者每次启动前需远程控制关闭主机杀毒软件。

第三阶段：武装升级（2023.8 - 2024.3）

NSA针对授时中心的特定环境，定制化升级网络攻击武器，植入多款新型网络攻击武器，实现对计算机的长期驻留和隐蔽控制。攻击者加载“eHome_0cx”“Back_eleven”“New_Dsz_Implant”，配套使用的20余款功能模块，以及10余个网络攻击武器配置文件。

攻击者利用多款网络攻击武器相互配合，搭建起4层加密隧道，形成隐蔽性极强且功能完善的网攻窃密平台。

第四阶段：横向渗透——直指核心系统（2024.5 - 2024.6）

以网管计算机为跳板，NSA利用“Back_eleven”先后攻陷了上网认证服务器和防火墙。2024年6月13日和7月13日，攻击者两次激活主控程序“eHome_0cx”，下发指令，通过“New_Dsz_Implant”等工具大规模窃取敏感数据。

据悉，CNCERT共识别出NSA使用的网攻武器、功能模块、恶意文件等总计42个，构成一个分工明确、协同作战的体系：一是前哨控守类：实现长期驻留、隐蔽控制、加载后续武器；二是隧道搭建类： 建立与境外主控服务器的加密通信隧道，传输指令和数据；三是数据窃取类：此类武器可动态加载各种插件模块来实现具体的窃密功能。

这一整套攻击流程，展现了NSA在隐匿性、加密强度、持久性和灵活性上的“世界领先水准”。若非我国安全机构及时发现并阻断，后果不堪设想。

全球头号网络攻击惯犯

此次授时中心事件并非孤例。过去十余年，美国NSA及其关联机构（如CIA、TAO）已被多次曝光对中国关键基础设施发动攻击：

2013年，斯诺登披露的“棱镜计划”显示，NSA长期对包括中国在内的政府机构、企业及普通网民进行大规模监听。华为、百度、腾讯等企业均在监听名单上。

2020年：360捕获了美国中央情报局CIA攻击组织（APT-C-39）对我国进行的长达十年的网络攻击渗透。在此期间，我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。

2022年：北京奇安盘古实验室披露NSA黑客组织“方程式”利用顶级后门，对中国、俄罗斯等全球45个国家地区开展长达十几年的“电幕行动”（Bvp47）网络攻击。

2022年：CNCERT披露，NSA下属的“特定入侵行动办公室”（TAO）对我国西北工业大学进行网络攻击，窃取大量敏感科研数据。

2024年12月18日，CNCERT揭露两起美国针对我国大型科技企业机构网络攻击事件。2023年5月起，我国某智慧能源和数字信息大型高科技企业遭疑似美国情报机构网络攻击，2024年8月，我国某先进材料设计研究单位遭疑似美国情报机构网络攻击，攻击者窃取两家公司大量商业秘密信息和知识产权。

讽刺的是，就在对中国发动网络攻击的同时，美国政客和媒体却不断炒作“中国威胁论”，无端指责华为、中兴、大疆等企业“危害国家安全”，甚至推动“清洁网络”计划，将中国排除在全球数字生态之外。

美国商务部工业与安全局（BIS）更是屡次将中国高科技企业列入“实体清单”，理由往往是莫须有的“国家安全风险”和“窃取知识产权”。

美国这种“自己纵火，反诬他人放火”的行径，才是国际网络空间秩序最大的破坏者。