在這場(chǎng)隔著屏幕的較量中，發(fā)現(xiàn)黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場(chǎng)高科技版的“貓鼠游戲”。

新京報(bào)記者 | 李聰

編輯 | 陳曉舒

校對(duì) | 劉軍

270167次。

這是今年哈爾濱亞冬會(huì)前后，賽事信息系統(tǒng)遭到來(lái)自境外網(wǎng)絡(luò)攻擊的次數(shù)。

與此同時(shí)，黑龍江省范圍內(nèi)能源、交通、水利、通信、國(guó)防科研院校等關(guān)鍵信息基礎(chǔ)設(shè)施，也遭到了數(shù)量龐大的攻擊。

在這場(chǎng)“網(wǎng)絡(luò)暗戰(zhàn)”中，哈爾濱公安局組織國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360等境內(nèi)網(wǎng)絡(luò)安全機(jī)構(gòu)技術(shù)專家，迅速開(kāi)展網(wǎng)絡(luò)攻擊溯源調(diào)查。

經(jīng)技術(shù)團(tuán)隊(duì)層層溯源，追查到美國(guó)國(guó)家安全局（NSA）的3名特工和兩所美國(guó)高校，參與實(shí)施了此次針對(duì)亞冬會(huì)的網(wǎng)絡(luò)攻擊行動(dòng)。

據(jù)了解，實(shí)施此次網(wǎng)絡(luò)攻擊行動(dòng)的組織是美國(guó)國(guó)家安全局信息情報(bào)部（代號(hào)S）數(shù)據(jù)偵察局（代號(hào)S3）下屬特定入侵行動(dòng)辦公室（Office of Tailored Access Operation，簡(jiǎn)稱“TAO”，代號(hào) S32）。

4月15日，哈爾濱公安局發(fā)布公開(kāi)懸賞，通緝3名美國(guó)國(guó)家安全局特工。

在這場(chǎng)隔著屏幕的較量中，發(fā)現(xiàn)黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場(chǎng)高科技版的“貓鼠游戲”。

網(wǎng)絡(luò)空間中，看不見(jiàn)的黑客。圖源：IC

冰雪盛會(huì)背后的“網(wǎng)絡(luò)暗戰(zhàn)”

2月3日，是哈爾濱第九屆亞冬會(huì)首個(gè)比賽日。當(dāng)天男子冰球組比賽正酣，針對(duì)賽事系統(tǒng)的網(wǎng)絡(luò)攻擊也在悄然增加。

國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心高級(jí)工程師杜振華此前提到，針對(duì)賽事信息系統(tǒng)的網(wǎng)絡(luò)攻擊主要來(lái)源于美國(guó)，數(shù)量超過(guò)17萬(wàn)次，占比超過(guò)60%。

他介紹，從以往的網(wǎng)絡(luò)攻擊案例中獲悉，美國(guó)的情報(bào)機(jī)構(gòu)頻繁地使用荷蘭或者其他歐洲國(guó)家的網(wǎng)絡(luò)主機(jī)作為跳板對(duì)目標(biāo)實(shí)施攻擊，所以看到的是來(lái)自荷蘭的攻擊數(shù)量比較多，但是背后的實(shí)際攻擊源可能也是來(lái)自美國(guó)。

調(diào)查也發(fā)現(xiàn)，此次美國(guó)國(guó)家安全局特定入侵行動(dòng)辦公室為了掩護(hù)其攻擊來(lái)源和保護(hù)網(wǎng)絡(luò)武器安全，依托所屬多家掩護(hù)機(jī)構(gòu)購(gòu)買了一批不同國(guó)家的IP 地址，并匿名租用了一大批位于歐洲、亞洲等國(guó)家和地區(qū)的網(wǎng)絡(luò)服務(wù)器。

攻擊行為主要集中在亞冬會(huì)注冊(cè)系統(tǒng)、抵離管理系統(tǒng)、競(jìng)賽報(bào)名系統(tǒng)等重要信息系統(tǒng)。這些系統(tǒng)關(guān)系到賽事的重要信息發(fā)布、人員和物資的調(diào)配、賽事的組織管理，同時(shí)也保存有大量賽事相關(guān)人員身份敏感信息。

另外，美國(guó)國(guó)家安全局還掌握著大量不為人知的0Day漏洞。通過(guò)這些漏洞可以攻擊操作系統(tǒng)后植入特定木馬，進(jìn)行潛伏預(yù)埋，類似“定時(shí)炸彈”，隨時(shí)可以通過(guò)發(fā)送加密字節(jié)數(shù)據(jù)進(jìn)行喚醒。

邊亮是360高級(jí)威脅研究院副院長(zhǎng)，他帶領(lǐng)團(tuán)隊(duì)100多名成員參與此次溯源調(diào)查。這不是他第一次與美國(guó)國(guó)家安全局交手。

團(tuán)隊(duì)發(fā)現(xiàn)，此次針對(duì)亞冬會(huì)的網(wǎng)絡(luò)攻擊，出現(xiàn)了AI化趨勢(shì)，這是此前并未出現(xiàn)過(guò)的攻擊方式。在傳統(tǒng)攻擊方式中，攻擊前的偵察階段靠人工篩選目標(biāo)、偵察目標(biāo)情況、分析行為偏好，然后開(kāi)展攻擊，整個(gè)過(guò)程時(shí)間成本非常高。

此次技術(shù)團(tuán)隊(duì)對(duì)攻擊代碼研判后發(fā)現(xiàn)，在漏洞探尋、流量監(jiān)測(cè)等方面，部分代碼明顯由AI書寫，在攻擊過(guò)程中自動(dòng)、快速編寫動(dòng)態(tài)代碼實(shí)施攻擊。

這意味著攻擊者利用AI，可復(fù)制出大量數(shù)字黑客，在多個(gè)目標(biāo)點(diǎn)進(jìn)行漏洞探尋、自動(dòng)設(shè)計(jì)作戰(zhàn)方案和生成攻擊工具，實(shí)施無(wú)差別攻擊。更令人擔(dān)心的是，數(shù)字黑客反應(yīng)速度遠(yuǎn)超人類，對(duì)國(guó)家安全防護(hù)防御體系構(gòu)成巨大挑戰(zhàn)。

竊取、潛伏、破壞，攻擊者們利用代碼進(jìn)行身份偽裝，或者通過(guò)篡改數(shù)據(jù)來(lái)制造混亂，甚至可能會(huì)植入惡意軟件，為后續(xù)的攻擊埋下伏筆。

哈爾濱公安局公開(kāi)發(fā)布懸賞公告。圖源：央視新聞

看不見(jiàn)的攻防和博弈

在這場(chǎng)隔著屏幕的較量中，發(fā)現(xiàn)黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場(chǎng)高科技版的“貓鼠游戲”。

在邊亮看來(lái)，較量的起點(diǎn)常常可能只是一次流量異常——例如，某臺(tái)電腦在深夜頻繁向外發(fā)送大量數(shù)據(jù)，或者試圖連接陌生服務(wù)器。這些異常流量就像網(wǎng)絡(luò)世界中的“腳印”，雖然細(xì)微，但對(duì)于經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專家來(lái)說(shuō)，卻是重要的線索。

網(wǎng)絡(luò)攻擊的蛛絲馬跡常常隱藏在海量的數(shù)據(jù)日志中。發(fā)現(xiàn)異常是第一步，接下來(lái)要溯源它的路徑，找到它最初出發(fā)的地方。通過(guò)仔細(xì)檢查每一個(gè)數(shù)據(jù)包的來(lái)源、去向和內(nèi)容，試圖拼湊出攻擊者的行動(dòng)軌跡。

邊亮提到，黑客組織的溯源非常復(fù)雜，攻擊者往往會(huì)通過(guò)各種手段隱藏自己的真實(shí)身份和地理位置，也可能會(huì)故意留下誤導(dǎo)性的線索。

同時(shí)，大數(shù)據(jù)對(duì)比分析也至關(guān)重要。

通過(guò)將捕捉到的信息，與多年沉淀下來(lái)的數(shù)據(jù)庫(kù)中已知的黑客行為模式進(jìn)行比對(duì)，技術(shù)專家們分析“這種攻擊手法是不是某個(gè)黑客組織的典型風(fēng)格？這個(gè)IP地址之前有沒(méi)有被報(bào)告過(guò)？”可以大致判斷出攻擊者的身份，甚至可能找到其真實(shí)身份。

“抓住對(duì)方的失誤”往往是找到攻擊者的關(guān)鍵。

邊亮介紹，黑客在實(shí)施攻擊時(shí)會(huì)使用一些特定的工具、組件或者協(xié)議規(guī)范，這就像他們的“指紋”，可以通過(guò)技術(shù)手段被識(shí)別出來(lái)。在開(kāi)發(fā)攻擊工具時(shí)，常會(huì)賦予其獨(dú)特名字或代號(hào)，就像名片，或者是使用的跳板偶爾失靈，這些信息可能在攻擊中泄露，進(jìn)而成為暴露身份的線索。

在長(zhǎng)期的攻防戰(zhàn)中，網(wǎng)絡(luò)安全專家們也總結(jié)出了一些作息規(guī)律——大部分實(shí)施網(wǎng)絡(luò)攻擊的人往往不會(huì)在周末、圣誕節(jié)等西方國(guó)家的節(jié)假日活動(dòng)。這似乎代表著對(duì)方的攻擊是某種職務(wù)行為，這種作息規(guī)律也是暴露攻擊者身份的重要痕跡。

最終，經(jīng)過(guò)持續(xù)的攻堅(jiān)溯源，成功鎖定了參與網(wǎng)絡(luò)攻擊亞冬會(huì)的美國(guó)國(guó)家安全局3名特工。進(jìn)一步調(diào)查發(fā)現(xiàn)，該3名特工曾多次對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施網(wǎng)絡(luò)攻擊，并參與對(duì)華為公司等企業(yè)的網(wǎng)絡(luò)攻擊活動(dòng)。技術(shù)團(tuán)隊(duì)同時(shí)發(fā)現(xiàn)，具有美國(guó)國(guó)家安全局背景的美國(guó)加利福尼亞大學(xué)、弗吉尼亞理工大學(xué)也參與了本次網(wǎng)絡(luò)攻擊。

關(guān)鍵基礎(chǔ)設(shè)施單位亟須提高自身防御能力

據(jù)哈爾濱公安局消息，美國(guó)國(guó)家安全局主要圍繞特定應(yīng)用系統(tǒng)、特定關(guān)鍵信息基礎(chǔ)設(shè)施、特定要害部門開(kāi)展網(wǎng)絡(luò)滲透攻擊，涵蓋數(shù)百類已知和未知攻擊手法，攻擊方式超前，包括未知漏洞盲打、文件讀取漏洞、短時(shí)高頻定向檢測(cè)攻擊、備份文件及敏感文件及路徑探測(cè)攻擊、密碼窮舉攻擊等，攻擊目標(biāo)、攻擊意圖明顯。

技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn)，美國(guó)國(guó)家安全局向我國(guó)多個(gè)基于微軟 Windows操作系統(tǒng)的特定設(shè)備發(fā)送未知加密字節(jié)，疑為喚醒、激活微軟Windows 操作系統(tǒng)提前預(yù)留的特定后門。

這不是第一次發(fā)現(xiàn)美國(guó)國(guó)家安全局對(duì)我國(guó)進(jìn)行網(wǎng)絡(luò)攻擊。

360集團(tuán)創(chuàng)始人、董事長(zhǎng)周鴻祎表示，早在2022年，360就發(fā)現(xiàn)了NSA和CIA對(duì)我國(guó)包括西北工業(yè)大學(xué)、武漢市地震監(jiān)測(cè)中心等發(fā)起的網(wǎng)絡(luò)攻擊，并成功溯源、上報(bào)有關(guān)部門。截至目前，360已經(jīng)幫助國(guó)家發(fā)現(xiàn)56個(gè)境外國(guó)家級(jí)APT（高級(jí)持續(xù)性威脅）組織。

據(jù)了解，APT通常是由國(guó)家級(jí)或準(zhǔn)國(guó)家級(jí)的黑客組織發(fā)起，往往針對(duì)我國(guó)政府、行業(yè)龍頭企業(yè)、大學(xué)、醫(yī)療機(jī)構(gòu)、科研單位等進(jìn)行網(wǎng)絡(luò)攻擊，其目標(biāo)是獲取高價(jià)值信息或破壞關(guān)鍵基礎(chǔ)設(shè)施，具有復(fù)雜且隱蔽、攻擊工具武器化等特點(diǎn)。而360之所以能夠成功溯源，得益于近20年來(lái)積累的全世界最大規(guī)模安全大數(shù)據(jù)，建立了全面的攻擊樣本和行為知識(shí)庫(kù)，以及攻擊手法的關(guān)聯(lián)基因庫(kù)。

周鴻祎認(rèn)為，隨著大模型的發(fā)展，美國(guó)情報(bào)機(jī)構(gòu)的大規(guī)模網(wǎng)絡(luò)攻擊行動(dòng)已進(jìn)入AI時(shí)代，無(wú)論是自動(dòng)化漏洞挖掘還是智能惡意代碼生成，尤其是大模型的發(fā)展不僅大幅度提升了網(wǎng)絡(luò)攻擊效率，更突破了傳統(tǒng)攻擊手段的時(shí)空限制，把網(wǎng)絡(luò)戰(zhàn)推向了更加智能化、自動(dòng)化的階段。

而當(dāng)前國(guó)際形勢(shì)復(fù)雜動(dòng)蕩，伴隨著大國(guó)博弈的加劇，網(wǎng)絡(luò)空間的軍事化進(jìn)程也明顯加快。網(wǎng)絡(luò)戰(zhàn)被越來(lái)越多的國(guó)家或力量當(dāng)作攻擊他國(guó)的“利器”，網(wǎng)絡(luò)空間的安全威脅更具殺傷性和破壞力。

在國(guó)家級(jí)黑客組織的威脅下，廣大關(guān)鍵基礎(chǔ)設(shè)施單位亟須提高自身防御能力。

對(duì)此，周鴻祎建議，首先，需要有安全大數(shù)據(jù)，建立全局視野，通過(guò)建立全網(wǎng)動(dòng)態(tài)安全事件檔案庫(kù)，掌握全網(wǎng)安全態(tài)勢(shì)。其次，需要提前布防，快速發(fā)現(xiàn)安全線索，并支持威脅就地處置，實(shí)現(xiàn)早期止損。第三，需要具備豐富的安全實(shí)戰(zhàn)對(duì)抗經(jīng)驗(yàn)的專家，能夠持續(xù)發(fā)現(xiàn)、分析、響應(yīng)和處置威脅。最后，隨著大模型的發(fā)展，網(wǎng)絡(luò)戰(zhàn)已進(jìn)入AI時(shí)代，防御“戰(zhàn)力”也應(yīng)相應(yīng)提升，需要“以模制模”，用安全大模型解決大模型安全問(wèn)題。

星標(biāo)?“探針News”

及時(shí)接收最新文章

· 往期推薦 ·