在这场隔着屏幕的较量中,发现黑客的踪迹、捕捉其行踪、定位并最终确定其身份,像是一场高科技版的“猫鼠游戏”。全文3693字,阅读约需7分钟新京报记者 李聪 编辑 陈晓舒 校对 刘军270167次。这是今年哈尔滨亚冬会前后,赛事信息系统遭到来自境外网络攻击的次数。与此同时,黑龙江省范围内能源、交通、水利、通信、国防科研院校等关键信息基础设施,也遭到了数量庞大的攻击。在这场“网络暗战”中,哈尔滨公安局组织国家计算机病毒应急处理中心和360等境内网络安全组织技术专家,迅速召开网络攻击溯源调查。经技术团队层层溯源,追查到美国国家安全局(NSA)的3名特工和两所美国高校,参与实施了此次针对亚冬会的网络攻击行动。据分析,实施此次网络攻击行动的组织是美国国家安全局信息情报部(代号S)数据侦察局(代号S3)下属特定入侵行动办公室(Office of Tailored Access Operation,简称“TAO”,代号S32)。4月15日,哈尔滨公安局发布公开悬赏,通缉3名美国国家安全局特工。在这场隔着屏幕的较量中,发现黑客的踪迹、捕捉其行踪、定位并最终确定其身份,像是一场高科技版的“猫鼠游戏”。网络空间中看不见的黑客 图源:IC冰雪盛会背后的“网络暗战”2月3日,是哈尔滨第九届亚冬会首个比赛日。当天男子冰球组比赛正酣,针对赛事系统的网络攻击也在悄然增加。国家计算机病毒应急处理中心高级工程师杜振华此前提到,针对赛事信息系统的网络攻击主要来源于美国,数量超过17万次,占比超过60%。他介绍,从以往的网络攻击案例中获悉,美国的情报组织频繁地使用荷兰或者其他欧洲国家的网络主机作为跳板对目标实施攻击,所以看到的是来自荷兰的攻击数量比较多,但是背后的实际攻击源可能也是来自美国。调查也发现,此次美国国家安全局特定入侵行动办公室为了掩护其攻击来源和保护网络武器安全,依托所属多家掩护组织购买了一批不同国家的IP地址,并匿名租用了一大批位于欧洲、亚洲等国家和地区的网络服务器。攻击行为主要集中在亚冬会注册系统、抵离管理系统、竞赛报名系统等重要信息系统。这些系统关系到赛事的重要信息发布、人员和物资的调配、赛事的组织管理,同时也保存有大量赛事相关人员身份敏感信息。另外,美国国家安全局还掌握着大量不为人知的0Day漏洞。顺利获得这些漏洞可以攻击操作系统后植入特定木马,进行潜伏预埋,类似“定时炸弹”,随时可以顺利获得发送加密字节数据进行唤醒。边亮是360高级威胁实验室副院长,他带领团队100多名成员参与此次溯源调查。这不是他第一次与美国国家安全局交手。团队发现,此次针对亚冬会的网络攻击,出现了AI化趋势,这是此前并未出现过的攻击方式。在传统攻击方式中,攻击前的侦察阶段靠人工筛选目标、侦察目标情况、分析行为偏好,然后召开攻击,整个过程时间成本非常高。此次技术团队对攻击代码研判后发现,在漏洞探寻、流量监测等方面,部分代码明显由AI书写,在攻击过程中自动、快速编写动态代码实施攻击。这意味着攻击者利用AI,可复制出大量数字黑客,在多个目标点进行漏洞探寻、自动设计作战方案和生成攻击工具,实施无差别攻击。更令人担心的是,数字黑客反应速度远超人类,对国家安全防护防御体系构成巨大挑战。窃取、潜伏、破坏,攻击者们利用代码进行身份伪装,或者顺利获得篡改数据来制造混乱,甚至可能会植入恶意软件,为后续的攻击埋下伏笔。哈尔滨公安局公开发布悬赏公告 图源:央视新闻看不见的攻防和博弈在这场隔着屏幕的较量中,发现黑客的踪迹、捕捉其行踪、定位并最终确定其身份,像是一场高科技版的“猫鼠游戏”。在边亮看来,较量的起点常常可能只是一次流量异常——例如,某台电脑在深夜频繁向外发送大量数据,或者试图连接陌生服务器。这些异常流量就像网络世界中的“脚印”,虽然细微,但对于经验丰富的网络安全专家来说,却是重要的线索。网络攻击的蛛丝马迹常常隐藏在海量的数据日志中。发现异常是第一步,接下来要溯源它的路径,找到它最初出发的地方。顺利获得仔细检查每一个数据包的来源、去向和内容,试图拼凑出攻击者的行动轨迹。边亮提到,黑客组织的溯源非常复杂,攻击者往往会顺利获得各种手段隐藏自己的真实身份和地理位置,也可能会故意留下误导性的线索。同时,大数据对比分析也至关重要。顺利获得将捕捉到的信息,与多年沉淀下来的数据库中已知的黑客行为模式进行比对,技术专家们分析“这种攻击手法是不是某个黑客组织的典型风格?这个IP地址之前有没有被报告过?”可以大致判断出攻击者的身份,甚至可能找到其真实身份。“抓住对方的失误”往往是找到攻击者的关键。边亮介绍,黑客在实施攻击时会使用一些特定的工具、组件或者协议规范,这就像他们的“指纹”,可以顺利获得技术手段被识别出来。在开发攻击工具时,常会赋予其独特名字或代号,就像名片,或者是使用的跳板偶尔失灵,这些信息可能在攻击中泄露,进而成为暴露身份的线索。在长期的攻防战中,网络安全专家们也总结出了一些作息规律——大部分实施网络攻击的人往往不会在周末、圣诞节等西方国家的节假日活动。这似乎代表着对方的攻击是某种职务行为,这种作息规律也是暴露攻击者身份的重要痕迹。最终,经过持续的攻坚溯源,成功锁定了参与网络攻击亚冬会的美国国家安全局3名特工。进一步调查发现,该3名特工曾多次对我国关键信息基础设施实施网络攻击,并参与对华为公司等企业的网络攻击活动。技术团队同时发现,具有美国国家安全局背景的美国加利福尼亚大学、弗吉尼亚理工大学也参与了本次网络攻击。关键基础设施单位亟须提高自身防御能力据哈尔滨公安局消息,美国国家安全局主要围绕特定应用系统、特定关键信息基础设施、特定要害部门召开网络渗透攻击,涵盖数百类已知和未知攻击手法,攻击方式超前,包括未知漏洞盲打、文件读取漏洞、短时高频定向检测攻击、备份文件及敏感文件及路径探测攻击、密码穷举攻击等,攻击目标、攻击意图明显。技术团队还发现,美国国家安全局向我国多个基于微软 Windows操作系统的特定设备发送未知加密字节,疑为唤醒、激活微软Windows 操作系统提前预留的特定后门。这不是第一次发现美国国家安全局对我国进行网络攻击。360集团创始人、董事长周鸿祎表示,早在2022年,360就发现了NSA和CIA对我国包括西北工业大学、武汉市地震监测中心等发起的网络攻击,并成功溯源、上报有关部门。截至现在,360已经帮助国家发现56个境外国家级APT(高级持续性威胁)组织。据分析,APT通常是由国家级或准国家级的黑客组织发起,往往针对我国政府、行业龙头企业、大学、医疗组织、科研单位等进行网络攻击,其目标是获取高价值信息或破坏关键基础设施,具有复杂且隐蔽、攻击工具武器化等特点。而360之所以能够成功溯源,得益于近20年来积累的全世界最大规模安全大数据,建立了全面的攻击样本和行为知识库,以及攻击手法的关联基因库。周鸿祎认为,随着大模型的开展,美国情报组织的大规模网络攻击行动已进入AI时代,无论是自动化漏洞挖掘还是智能恶意代码生成,尤其是大模型的开展不仅大幅度提升了网络攻击效率,更突破了传统攻击手段的时空限制,把网络战推向了更加智能化、自动化的阶段。而当前国际形势复杂动荡,伴随着大国博弈的加剧,网络空间的军事化进程也明显加快。网络战被越来越多的国家或力量当作攻击他国的“利器”,网络空间的安全威胁更具杀伤性和破坏力。在国家级黑客组织的威胁下,广大关键基础设施单位亟须提高自身防御能力。对此,周鸿祎建议,第一时间,需要有安全大数据,建立全局视野,顺利获得建立全网动态安全事件档案库,掌握全网安全态势。其次,需要提前布防,快速发现安全线索,并支持威胁就地处置,实现早期止损。第三,需要具备丰富的安全实战对抗经验的专家,能够持续发现、分析、响应和处置威胁。最后,随着大模型的开展,网络战已进入AI时代,防御“战力”也应相应提升,需要“以模制模”,用安全大模型解决大模型安全问题。外交部回应中方公开通缉3名美国特工据@日月谭天 消息,4月15日下午,外交部举行例行记者会。图为外交部发言人林剑记者:哈尔滨公安局今天指出有3名美国特工对今年哈尔滨亚冬会实施网络袭击,同时提到微软公司及美国大学参与其中,中方对此有何评论?外交部发言人林剑:我们注意到了有关报道。此前,我们已经多次阐述了中方的立场。在第九届亚冬会期间,美国政府针对赛事的信息系统和黑龙江省内的关键信息基础设施召开了网络攻击,对中国关键信息的基础设施、国防、金融、社会、生产以及公民的个人信息安全造成了严重危害,性质十分恶劣。中方谴责美国政府的上述恶意网络行为,中方已顺利获得各种方式就美网络攻击中国的关键基础设施向美方表明关切。我们敦促美方在网络安全问题上采取负责任的态度,停止对中方实施网络攻击,停止对中方的无端抹黑和攻击。中方将继续采取一切必要措施,保护自身的网络安全。来源 @日月谭天值班编辑 康嘻嘻