21世紀經濟報道記者白楊 北京報道

據新華社4月15日報道，為依法嚴厲打擊境外勢力對我網絡攻擊竊密犯罪，切實維護國家網絡空間安全和人民生命財產安全，哈爾濱市公安局決定對3名隸屬于美國國家安全局(NSA)的犯罪嫌疑人凱瑟琳·威爾遜(Katheryn A. Wilson)、羅伯特·思內爾(Robert J. Snelling)、斯蒂芬·約翰遜(Stephen W. Johnson)進行通緝。

日前，國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室發布的分析報告顯示，2025年1月26日至2月14日期間，哈爾濱第九屆亞冬會的賽事信息系統遭到來自境外的網絡攻擊270167次。

在被識別出攻擊中，來自美國的攻擊次數為170864次，占比高達63.24%；其次是新加坡（40449次，占比14.97%）、荷蘭（12414次，占比4.95%）、德國（6682次，占比2.47%）等國家和地區。

對此，哈爾濱市公安局組織技術專家組成技術團隊開展了網絡攻擊溯源調查。在相關國家支持下，成功追查到美國國家安全局(NSA)的3名特工和兩所美國高校，參與實施了針對亞冬會的網絡攻擊活動。

溯源鎖定美國國安局

經技術團隊層層溯源，此次針對亞冬會開展網絡攻擊是由美國國家安全局(NSA)精心組織實施的一次網絡攻擊行動，實施此次網絡攻擊行動的組織是美國國家安全局信息情報部(代號S)數據偵察局(代號S3)下屬特定入侵行動辦公室(Office of Tailored Access Operation，簡稱“TAO”，代號S32)。

調查發現，美國國家安全局特定入侵行動辦公室為了掩護其攻擊來源和保護網絡武器安全，依托所屬多家掩護機構購買了一批不同國家的IP地址，并匿名租用了一大批位于歐洲、亞洲等國家和地區的網絡服務器。

在亞冬會賽前，美國國家安全局(NSA)的攻擊行為主要集中在亞冬會注冊系統、抵離管理系統、競賽報名系統等重要信息系統，這些系統用于賽前開展相關工作，保存有大量賽事相關人員身份敏感信息，美國國家安全局(NSA)意圖利用網絡攻擊竊取參賽運動員的個人隱私數據。

從2月3日第一場冰球比賽開始，來自美國國家安全局(NSA)的網絡攻擊達到高峰，此時攻擊重點方向為賽事信息發布系統(包括API接口)、抵離管理系統等，此類系統為賽事過程保障的重要信息系統，美國國家安全局(NSA)妄圖破壞系統，擾亂影響亞冬會賽事的正常運行。

同時，美國國家安全局(NSA)針對黑龍江省內能源、交通、水利、通信、國防科研院校等重要行業開展網絡攻擊，意圖破壞我關鍵信息基礎設施引發社會秩序混亂和竊取相關領域重要機密信息。

調查顯示，美國國家安全局(NSA)主要圍繞特定應用系統、特定關鍵信息基礎設施、特定要害部門開展網絡滲透攻擊，涵蓋數百類已知和未知攻擊手法，攻擊方式超前，包括未知漏洞盲打、文件讀取漏洞、短時高頻定向檢測攻擊、備份文件和敏感文件及路徑探測攻擊、密碼窮舉攻擊等，攻擊目標、攻擊意圖明顯。

技術團隊還發現，亞冬會期間美國國家安全局(NSA)向黑龍江省內多個基于微軟Windows操作系統的特定設備發送未知加密字節，疑為喚醒、激活微軟Windows操作系統提前預留的特定后門。

經過持續溯源，哈爾濱市公安局成功鎖定了參與網絡攻擊亞冬會的美國國家安全局(NSA)3名特工。該3名特工曾多次對我國關鍵信息基礎設施實施網絡攻擊，并參與對華為公司等企業的網絡攻擊活動。

技術團隊同時發現，具有美國國家安全局(NSA)背景的美國加利福尼亞大學、弗吉尼亞理工大學也參與了本次網絡攻擊。

來自AI黑客的“魅影”

在對此次網絡攻擊進行溯源時，360公司的安全專家也參與其中。4月15日，360集團創始人周鴻祎發文稱，這是首次鎖定發起攻擊的個人。

他表示，溯源攻擊者是全世界公認的難題。因為攻擊者會采取多種手段掩蓋身份，例如此次亞冬會攻擊中，美方在中國周邊國家購買大量跳板IP，每個IP只用一次，還會故意留下虛假線索誤導溯源方向。

此外，周鴻祎還認為，這可能是人類首次利用AI智能體發起的網絡攻擊。

他分析稱，以往黑客小隊執行攻擊任務時，需花費較長時間偵察目標對象、搜集情況、制定作戰方案、尋找針對性漏洞并打造黑客工具，攻擊范圍相對較小。而此次攻擊范圍極廣，不僅涉及亞冬會多個參賽報名信息系統，黑龍江省多個基礎設施也遭到大面積攻擊。

從攻擊代碼研判來看，此次攻擊采用了智能體技術進行工具方案規劃、漏洞探尋、流量監測，部分代碼明顯由人工智能書寫，可在攻擊過程中自動、快速編寫動態代碼實施攻擊。

這意味著利用人工智能大模型加上智能體，可復制出大量數字黑客，在多個目標點進行漏洞探尋、自動設計作戰方案和生成攻擊工具，實施無差別攻擊，且數字人反應速度遠超人類。

“這種攻擊方式是歷史上從未有過的，對國家安全防護防御體系構成巨大挑戰。”周鴻祎表示。他建議，面對AI黑客，要用AI對抗AI。