在這場隔著屏幕的較量中，發現黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場高科技版的“貓鼠游戲”。

新京報記者 | 李聰

編輯 | 陳曉舒

校對 | 劉軍

270167次。

這是今年哈爾濱亞冬會前后，賽事信息系統遭到來自境外網絡攻擊的次數。

與此同時，黑龍江省范圍內能源、交通、水利、通信、國防科研院校等關鍵信息基礎設施，也遭到了數量龐大的攻擊。

在這場“網絡暗戰”中，哈爾濱公安局組織國家計算機病毒應急處理中心和360等境內網絡安全機構技術專家，迅速開展網絡攻擊溯源調查。

經技術團隊層層溯源，追查到美國國家安全局（NSA）的3名特工和兩所美國高校，參與實施了此次針對亞冬會的網絡攻擊行動。

據了解，實施此次網絡攻擊行動的組織是美國國家安全局信息情報部（代號S）數據偵察局（代號S3）下屬特定入侵行動辦公室（Office of Tailored Access Operation，簡稱“TAO”，代號 S32）。

4月15日，哈爾濱公安局發布公開懸賞，通緝3名美國國家安全局特工。

在這場隔著屏幕的較量中，發現黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場高科技版的“貓鼠游戲”。

網絡空間中，看不見的黑客。圖源：IC

冰雪盛會背后的“網絡暗戰”

2月3日，是哈爾濱第九屆亞冬會首個比賽日。當天男子冰球組比賽正酣，針對賽事系統的網絡攻擊也在悄然增加。

國家計算機病毒應急處理中心高級工程師杜振華此前提到，針對賽事信息系統的網絡攻擊主要來源于美國，數量超過17萬次，占比超過60%。

他介紹，從以往的網絡攻擊案例中獲悉，美國的情報機構頻繁地使用荷蘭或者其他歐洲國家的網絡主機作為跳板對目標實施攻擊，所以看到的是來自荷蘭的攻擊數量比較多，但是背后的實際攻擊源可能也是來自美國。

調查也發現，此次美國國家安全局特定入侵行動辦公室為了掩護其攻擊來源和保護網絡武器安全，依托所屬多家掩護機構購買了一批不同國家的IP 地址，并匿名租用了一大批位于歐洲、亞洲等國家和地區的網絡服務器。

攻擊行為主要集中在亞冬會注冊系統、抵離管理系統、競賽報名系統等重要信息系統。這些系統關系到賽事的重要信息發布、人員和物資的調配、賽事的組織管理，同時也保存有大量賽事相關人員身份敏感信息。

另外，美國國家安全局還掌握著大量不為人知的0Day漏洞。通過這些漏洞可以攻擊操作系統后植入特定木馬，進行潛伏預埋，類似“定時炸彈”，隨時可以通過發送加密字節數據進行喚醒。

邊亮是360高級威脅研究院副院長，他帶領團隊100多名成員參與此次溯源調查。這不是他第一次與美國國家安全局交手。

團隊發現，此次針對亞冬會的網絡攻擊，出現了AI化趨勢，這是此前并未出現過的攻擊方式。在傳統攻擊方式中，攻擊前的偵察階段靠人工篩選目標、偵察目標情況、分析行為偏好，然后開展攻擊，整個過程時間成本非常高。

此次技術團隊對攻擊代碼研判后發現，在漏洞探尋、流量監測等方面，部分代碼明顯由AI書寫，在攻擊過程中自動、快速編寫動態代碼實施攻擊。

這意味著攻擊者利用AI，可復制出大量數字黑客，在多個目標點進行漏洞探尋、自動設計作戰方案和生成攻擊工具，實施無差別攻擊。更令人擔心的是，數字黑客反應速度遠超人類，對國家安全防護防御體系構成巨大挑戰。

竊取、潛伏、破壞，攻擊者們利用代碼進行身份偽裝，或者通過篡改數據來制造混亂，甚至可能會植入惡意軟件，為后續的攻擊埋下伏筆。

哈爾濱公安局公開發布懸賞公告。圖源：央視新聞

看不見的攻防和博弈

在這場隔著屏幕的較量中，發現黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場高科技版的“貓鼠游戲”。

在邊亮看來，較量的起點常常可能只是一次流量異常——例如，某臺電腦在深夜頻繁向外發送大量數據，或者試圖連接陌生服務器。這些異常流量就像網絡世界中的“腳印”，雖然細微，但對于經驗豐富的網絡安全專家來說，卻是重要的線索。

網絡攻擊的蛛絲馬跡常常隱藏在海量的數據日志中。發現異常是第一步，接下來要溯源它的路徑，找到它最初出發的地方。通過仔細檢查每一個數據包的來源、去向和內容，試圖拼湊出攻擊者的行動軌跡。

邊亮提到，黑客組織的溯源非常復雜，攻擊者往往會通過各種手段隱藏自己的真實身份和地理位置，也可能會故意留下誤導性的線索。

同時，大數據對比分析也至關重要。

通過將捕捉到的信息，與多年沉淀下來的數據庫中已知的黑客行為模式進行比對，技術專家們分析“這種攻擊手法是不是某個黑客組織的典型風格？這個IP地址之前有沒有被報告過？”可以大致判斷出攻擊者的身份，甚至可能找到其真實身份。

“抓住對方的失誤”往往是找到攻擊者的關鍵。

邊亮介紹，黑客在實施攻擊時會使用一些特定的工具、組件或者協議規范，這就像他們的“指紋”，可以通過技術手段被識別出來。在開發攻擊工具時，常會賦予其獨特名字或代號，就像名片，或者是使用的跳板偶爾失靈，這些信息可能在攻擊中泄露，進而成為暴露身份的線索。

在長期的攻防戰中，網絡安全專家們也總結出了一些作息規律——大部分實施網絡攻擊的人往往不會在周末、圣誕節等西方國家的節假日活動。這似乎代表著對方的攻擊是某種職務行為，這種作息規律也是暴露攻擊者身份的重要痕跡。

最終，經過持續的攻堅溯源，成功鎖定了參與網絡攻擊亞冬會的美國國家安全局3名特工。進一步調查發現，該3名特工曾多次對我國關鍵信息基礎設施實施網絡攻擊，并參與對華為公司等企業的網絡攻擊活動。技術團隊同時發現，具有美國國家安全局背景的美國加利福尼亞大學、弗吉尼亞理工大學也參與了本次網絡攻擊。

關鍵基礎設施單位亟須提高自身防御能力

據哈爾濱公安局消息，美國國家安全局主要圍繞特定應用系統、特定關鍵信息基礎設施、特定要害部門開展網絡滲透攻擊，涵蓋數百類已知和未知攻擊手法，攻擊方式超前，包括未知漏洞盲打、文件讀取漏洞、短時高頻定向檢測攻擊、備份文件及敏感文件及路徑探測攻擊、密碼窮舉攻擊等，攻擊目標、攻擊意圖明顯。

技術團隊還發現，美國國家安全局向我國多個基于微軟 Windows操作系統的特定設備發送未知加密字節，疑為喚醒、激活微軟Windows 操作系統提前預留的特定后門。

這不是第一次發現美國國家安全局對我國進行網絡攻擊。

360集團創始人、董事長周鴻祎表示，早在2022年，360就發現了NSA和CIA對我國包括西北工業大學、武漢市地震監測中心等發起的網絡攻擊，并成功溯源、上報有關部門。截至目前，360已經幫助國家發現56個境外國家級APT（高級持續性威脅）組織。

據了解，APT通常是由國家級或準國家級的黑客組織發起，往往針對我國政府、行業龍頭企業、大學、醫療機構、科研單位等進行網絡攻擊，其目標是獲取高價值信息或破壞關鍵基礎設施，具有復雜且隱蔽、攻擊工具武器化等特點。而360之所以能夠成功溯源，得益于近20年來積累的全世界最大規模安全大數據，建立了全面的攻擊樣本和行為知識庫，以及攻擊手法的關聯基因庫。

周鴻祎認為，隨著大模型的發展，美國情報機構的大規模網絡攻擊行動已進入AI時代，無論是自動化漏洞挖掘還是智能惡意代碼生成，尤其是大模型的發展不僅大幅度提升了網絡攻擊效率，更突破了傳統攻擊手段的時空限制，把網絡戰推向了更加智能化、自動化的階段。

而當前國際形勢復雜動蕩，伴隨著大國博弈的加劇，網絡空間的軍事化進程也明顯加快。網絡戰被越來越多的國家或力量當作攻擊他國的“利器”，網絡空間的安全威脅更具殺傷性和破壞力。

在國家級黑客組織的威脅下，廣大關鍵基礎設施單位亟須提高自身防御能力。

對此，周鴻祎建議，首先，需要有安全大數據，建立全局視野，通過建立全網動態安全事件檔案庫，掌握全網安全態勢。其次，需要提前布防，快速發現安全線索，并支持威脅就地處置，實現早期止損。第三，需要具備豐富的安全實戰對抗經驗的專家，能夠持續發現、分析、響應和處置威脅。最后，隨著大模型的發展，網絡戰已進入AI時代，防御“戰力”也應相應提升，需要“以模制模”，用安全大模型解決大模型安全問題。

星標?“探針News”

及時接收最新文章

· 往期推薦 ·