«Война за навигацию»: Китай раскрыл подробности 3-летней атаки АНБ на Центр времени и частоты

leer en español

АНБ CNCERT Национальный центр времени и частоты кибератака вредоносное ПО шифрование разведка Китай США
«Война за навигацию»: Китай раскрыл подробности 3-летней атаки АНБ на Центр времени и частоты
АНБ CNCERT Национальный центр времени и частоты кибератака вредоносное ПО шифрование разведка Китай США

Невидимые нити контроля тянулись к самому сердцу научной инфраструктуры.

image

В последние годы киберпространство стало ареной скрытых конфликтов, где действия одних государств могут напрямую затрагивать научные и технологические институты других. Недавно стало известно о масштабной и продолжительной кибероперации, направленной против одного из ключевых научных учреждений Китая — Национального центра времени и частоты. Согласно техническому анализу, проведённому Национальным центром реагирования на компьютерные инциденты Китая (CNCERT), за этой атакой стоит Агентство национальной безопасности США (АНБ).

С марта 2022 года АНБ начало целенаправленное наблюдение за сотрудниками центра через уязвимости в популярном зарубежном бренде смартфонов. Сначала злоумышленники похищали персональные данные — контакты, сообщения, геолокацию, фотографии. Уже к сентябрю того же года им удалось получить учётные данные сетевого администратора и, воспользовавшись ими, проникнуть в корпоративную сеть.

С апреля 2023 года началась фаза активного разведывательного проникновения: атакующие регулярно подключались к заражённому устройству, изучали архитектуру внутренней инфраструктуры и готовили почву для более глубокого вторжения.

К августу 2023 года операция перешла в новую стадию — на целевые системы стали устанавливать специализированные вредоносные программы. Всего за время атаки было задействовано 42 компонента, объединённых в три функциональные группы: для закрепления в системе, построения зашифрованных каналов связи и кражи данных.

Особое внимание исследователей привлекла модульная конструкция вредоносного фреймворка «New_Dsz_Implant», демонстрирующая явное сходство с ранее известной платформой АНБ «DanderSpritz». При этом злоумышленники значительно усилили механизмы маскировки: использовали легитимные цифровые сертификаты, имитировали системные процессы Windows и внедряли многоуровневое шифрование трафика, включая четырёхслойную вложенную схему.

Особую изощрённость проявили при обеспечении скрытности. Вредоносные модули запускались через DLL Hijacking, удаляли следы своей активности из памяти и реагировали на любые изменения в окружении — от перезагрузки до обновления ПО.

Для управления атаками применялись серверы, расположенные за пределами США, а коммуникация с ними проходила через анонимизированные узлы. Несмотря на высокий уровень технической подготовки, эксперты отметили снижение темпов инноваций в тактике АНБ: многие методы оказались адаптацией старых решений, что может свидетельствовать о нарастающих трудностях в обходе современных систем защиты.

Ключевым этапом стал период с мая по июнь 2024 года, когда атакующие попытались перейти от разведки к прямому воздействию на критически важные системы, включая высокоточную наземную инфраструктуру точного времени и навигации. Хотя полномасштабного прорыва предотвратить не удалось, сам факт нацеленности на такие объекты подчёркивает стратегический характер операции.

Этот инцидент наглядно показал, что даже высокотехнологичные научные институты уязвимы перед скрытыми, хорошо спланированными кибероперациями, а защита критической инфраструктуры требует не только технических решений, но и постоянной бдительности на государственном уровне.