在這場隔著屏幕的較量中，發(fā)現(xiàn)黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場高科技版的“貓鼠游戲”。

全文3693字，閱讀約需7分鐘

新京報記者 李聰 編輯 陳曉舒 校對 劉軍

270167次。

這是今年哈爾濱亞冬會前后，賽事信息系統(tǒng)遭到來自境外網(wǎng)絡攻擊的次數(shù)。

與此同時，黑龍江省范圍內能源、交通、水利、通信、國防科研院校等關鍵信息基礎設施，也遭到了數(shù)量龐大的攻擊。

在這場“網(wǎng)絡暗戰(zhàn)”中，哈爾濱公安局組織國家計算機病毒應急處理中心和360等境內網(wǎng)絡安全機構技術專家，迅速開展網(wǎng)絡攻擊溯源調查。

經(jīng)技術團隊層層溯源，追查到美國國家安全局（NSA）的3名特工和兩所美國高校，參與實施了此次針對亞冬會的網(wǎng)絡攻擊行動。

據(jù)了解，實施此次網(wǎng)絡攻擊行動的組織是美國國家安全局信息情報部（代號S）數(shù)據(jù)偵察局（代號S3）下屬特定入侵行動辦公室（Office of Tailored Access Operation，簡稱“TAO”，代號S32）。

4月15日，哈爾濱公安局發(fā)布公開懸賞，通緝3名美國國家安全局特工。

在這場隔著屏幕的較量中，發(fā)現(xiàn)黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場高科技版的“貓鼠游戲”。

網(wǎng)絡空間中看不見的黑客 圖源：IC

冰雪盛會背后的“網(wǎng)絡暗戰(zhàn)”

2月3日，是哈爾濱第九屆亞冬會首個比賽日。當天男子冰球組比賽正酣，針對賽事系統(tǒng)的網(wǎng)絡攻擊也在悄然增加。

國家計算機病毒應急處理中心高級工程師杜振華此前提到，針對賽事信息系統(tǒng)的網(wǎng)絡攻擊主要來源于美國，數(shù)量超過17萬次，占比超過60%。

他介紹，從以往的網(wǎng)絡攻擊案例中獲悉，美國的情報機構頻繁地使用荷蘭或者其他歐洲國家的網(wǎng)絡主機作為跳板對目標實施攻擊，所以看到的是來自荷蘭的攻擊數(shù)量比較多，但是背后的實際攻擊源可能也是來自美國。

調查也發(fā)現(xiàn)，此次美國國家安全局特定入侵行動辦公室為了掩護其攻擊來源和保護網(wǎng)絡武器安全，依托所屬多家掩護機構購買了一批不同國家的IP地址，并匿名租用了一大批位于歐洲、亞洲等國家和地區(qū)的網(wǎng)絡服務器。

攻擊行為主要集中在亞冬會注冊系統(tǒng)、抵離管理系統(tǒng)、競賽報名系統(tǒng)等重要信息系統(tǒng)。這些系統(tǒng)關系到賽事的重要信息發(fā)布、人員和物資的調配、賽事的組織管理，同時也保存有大量賽事相關人員身份敏感信息。

另外，美國國家安全局還掌握著大量不為人知的0Day漏洞。通過這些漏洞可以攻擊操作系統(tǒng)后植入特定木馬，進行潛伏預埋，類似“定時炸彈”，隨時可以通過發(fā)送加密字節(jié)數(shù)據(jù)進行喚醒。

邊亮是360高級威脅研究院副院長，他帶領團隊100多名成員參與此次溯源調查。這不是他第一次與美國國家安全局交手。

團隊發(fā)現(xiàn)，此次針對亞冬會的網(wǎng)絡攻擊，出現(xiàn)了AI化趨勢，這是此前并未出現(xiàn)過的攻擊方式。在傳統(tǒng)攻擊方式中，攻擊前的偵察階段靠人工篩選目標、偵察目標情況、分析行為偏好，然后開展攻擊，整個過程時間成本非常高。

此次技術團隊對攻擊代碼研判后發(fā)現(xiàn)，在漏洞探尋、流量監(jiān)測等方面，部分代碼明顯由AI書寫，在攻擊過程中自動、快速編寫動態(tài)代碼實施攻擊。

這意味著攻擊者利用AI，可復制出大量數(shù)字黑客，在多個目標點進行漏洞探尋、自動設計作戰(zhàn)方案和生成攻擊工具，實施無差別攻擊。更令人擔心的是，數(shù)字黑客反應速度遠超人類，對國家安全防護防御體系構成巨大挑戰(zhàn)。

竊取、潛伏、破壞，攻擊者們利用代碼進行身份偽裝，或者通過篡改數(shù)據(jù)來制造混亂，甚至可能會植入惡意軟件，為后續(xù)的攻擊埋下伏筆。

哈爾濱公安局公開發(fā)布懸賞公告 圖源：央視新聞

看不見的攻防和博弈

在這場隔著屏幕的較量中，發(fā)現(xiàn)黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場高科技版的“貓鼠游戲”。

在邊亮看來，較量的起點常常可能只是一次流量異常——例如，某臺電腦在深夜頻繁向外發(fā)送大量數(shù)據(jù)，或者試圖連接陌生服務器。這些異常流量就像網(wǎng)絡世界中的“腳印”，雖然細微，但對于經(jīng)驗豐富的網(wǎng)絡安全專家來說，卻是重要的線索。

網(wǎng)絡攻擊的蛛絲馬跡常常隱藏在海量的數(shù)據(jù)日志中。發(fā)現(xiàn)異常是第一步，接下來要溯源它的路徑，找到它最初出發(fā)的地方。通過仔細檢查每一個數(shù)據(jù)包的來源、去向和內容，試圖拼湊出攻擊者的行動軌跡。

邊亮提到，黑客組織的溯源非常復雜，攻擊者往往會通過各種手段隱藏自己的真實身份和地理位置，也可能會故意留下誤導性的線索。

同時，大數(shù)據(jù)對比分析也至關重要。

通過將捕捉到的信息，與多年沉淀下來的數(shù)據(jù)庫中已知的黑客行為模式進行比對，技術專家們分析“這種攻擊手法是不是某個黑客組織的典型風格？這個IP地址之前有沒有被報告過？”可以大致判斷出攻擊者的身份，甚至可能找到其真實身份。

“抓住對方的失誤”往往是找到攻擊者的關鍵。

邊亮介紹，黑客在實施攻擊時會使用一些特定的工具、組件或者協(xié)議規(guī)范，這就像他們的“指紋”，可以通過技術手段被識別出來。在開發(fā)攻擊工具時，常會賦予其獨特名字或代號，就像名片，或者是使用的跳板偶爾失靈，這些信息可能在攻擊中泄露，進而成為暴露身份的線索。

在長期的攻防戰(zhàn)中，網(wǎng)絡安全專家們也總結出了一些作息規(guī)律——大部分實施網(wǎng)絡攻擊的人往往不會在周末、圣誕節(jié)等西方國家的節(jié)假日活動。這似乎代表著對方的攻擊是某種職務行為，這種作息規(guī)律也是暴露攻擊者身份的重要痕跡。

最終，經(jīng)過持續(xù)的攻堅溯源，成功鎖定了參與網(wǎng)絡攻擊亞冬會的美國國家安全局3名特工。進一步調查發(fā)現(xiàn)，該3名特工曾多次對我國關鍵信息基礎設施實施網(wǎng)絡攻擊，并參與對華為公司等企業(yè)的網(wǎng)絡攻擊活動。技術團隊同時發(fā)現(xiàn)，具有美國國家安全局背景的美國加利福尼亞大學、弗吉尼亞理工大學也參與了本次網(wǎng)絡攻擊。

關鍵基礎設施單位亟須提高自身防御能力

據(jù)哈爾濱公安局消息，美國國家安全局主要圍繞特定應用系統(tǒng)、特定關鍵信息基礎設施、特定要害部門開展網(wǎng)絡滲透攻擊，涵蓋數(shù)百類已知和未知攻擊手法，攻擊方式超前，包括未知漏洞盲打、文件讀取漏洞、短時高頻定向檢測攻擊、備份文件及敏感文件及路徑探測攻擊、密碼窮舉攻擊等，攻擊目標、攻擊意圖明顯。

技術團隊還發(fā)現(xiàn)，美國國家安全局向我國多個基于微軟 Windows操作系統(tǒng)的特定設備發(fā)送未知加密字節(jié)，疑為喚醒、激活微軟Windows 操作系統(tǒng)提前預留的特定后門。

這不是第一次發(fā)現(xiàn)美國國家安全局對我國進行網(wǎng)絡攻擊。

360集團創(chuàng)始人、董事長周鴻祎表示，早在2022年，360就發(fā)現(xiàn)了NSA和CIA對我國包括西北工業(yè)大學、武漢市地震監(jiān)測中心等發(fā)起的網(wǎng)絡攻擊，并成功溯源、上報有關部門。截至目前，360已經(jīng)幫助國家發(fā)現(xiàn)56個境外國家級APT（高級持續(xù)性威脅）組織。

據(jù)了解，APT通常是由國家級或準國家級的黑客組織發(fā)起，往往針對我國政府、行業(yè)龍頭企業(yè)、大學、醫(yī)療機構、科研單位等進行網(wǎng)絡攻擊，其目標是獲取高價值信息或破壞關鍵基礎設施，具有復雜且隱蔽、攻擊工具武器化等特點。而360之所以能夠成功溯源，得益于近20年來積累的全世界最大規(guī)模安全大數(shù)據(jù)，建立了全面的攻擊樣本和行為知識庫，以及攻擊手法的關聯(lián)基因庫。

周鴻祎認為，隨著大模型的發(fā)展，美國情報機構的大規(guī)模網(wǎng)絡攻擊行動已進入AI時代，無論是自動化漏洞挖掘還是智能惡意代碼生成，尤其是大模型的發(fā)展不僅大幅度提升了網(wǎng)絡攻擊效率，更突破了傳統(tǒng)攻擊手段的時空限制，把網(wǎng)絡戰(zhàn)推向了更加智能化、自動化的階段。

而當前國際形勢復雜動蕩，伴隨著大國博弈的加劇，網(wǎng)絡空間的軍事化進程也明顯加快。網(wǎng)絡戰(zhàn)被越來越多的國家或力量當作攻擊他國的“利器”，網(wǎng)絡空間的安全威脅更具殺傷性和破壞力。

在國家級黑客組織的威脅下，廣大關鍵基礎設施單位亟須提高自身防御能力。

對此，周鴻祎建議，首先，需要有安全大數(shù)據(jù)，建立全局視野，通過建立全網(wǎng)動態(tài)安全事件檔案庫，掌握全網(wǎng)安全態(tài)勢。其次，需要提前布防，快速發(fā)現(xiàn)安全線索，并支持威脅就地處置，實現(xiàn)早期止損。第三，需要具備豐富的安全實戰(zhàn)對抗經(jīng)驗的專家，能夠持續(xù)發(fā)現(xiàn)、分析、響應和處置威脅。最后，隨著大模型的發(fā)展，網(wǎng)絡戰(zhàn)已進入AI時代，防御“戰(zhàn)力”也應相應提升，需要“以模制模”，用安全大模型解決大模型安全問題。

外交部回應中方公開通緝3名美國特工

據(jù)@日月譚天 消息，4月15日下午，外交部舉行例行記者會。

圖為外交部發(fā)言人林劍

記者：哈爾濱公安局今天指出有3名美國特工對今年哈爾濱亞冬會實施網(wǎng)絡襲擊，同時提到微軟公司及美國大學參與其中，中方對此有何評論？

外交部發(fā)言人林劍：我們注意到了有關報道。此前，我們已經(jīng)多次闡述了中方的立場。在第九屆亞冬會期間，美國政府針對賽事的信息系統(tǒng)和黑龍江省內的關鍵信息基礎設施開展了網(wǎng)絡攻擊，對中國關鍵信息的基礎設施、國防、金融、社會、生產(chǎn)以及公民的個人信息安全造成了嚴重危害，性質十分惡劣。中方譴責美國政府的上述惡意網(wǎng)絡行為，中方已通過各種方式就美網(wǎng)絡攻擊中國的關鍵基礎設施向美方表明關切。我們敦促美方在網(wǎng)絡安全問題上采取負責任的態(tài)度，停止對中方實施網(wǎng)絡攻擊，停止對中方的無端抹黑和攻擊。中方將繼續(xù)采取一切必要措施，保護自身的網(wǎng)絡安全。

來源 @日月譚天

值班編輯 康嘻嘻