央视新闻报道,记者于 15 日从哈尔滨市公安局获悉,在 2025 年哈尔滨第九届亚冬会期间,赛事信息系统以及黑龙江省内的关键信息基础设施遭到了境外的网络攻击。经过调查发现,美国国家安全局特定入侵行动办公室(简称“TAO”)的凯瑟琳·威尔逊、罗伯特·思内尔、斯蒂芬·约翰逊等 3 名特工参与并实施了上述的网络攻击活动。
哈尔滨市公安局决定对 3 名犯罪嫌疑人进行悬赏通缉,目的是依法严厉打击境外势力对我国的网攻窃密犯罪,切实维护国家网络空间安全以及人民的生命财产安全。如果发现有关人员的线索,可立即向公安机关进行举报,并且公安机关会对举报人的身份信息严格保密。举报人若向公安机关提供了有效线索,还有配合公安机关抓获有关犯罪嫌疑人的有功人员,公安机关将会给予一定金额的奖励。举报电话为 0451-110。
追踪溯源锁定网络攻击幕后黑手
周鸿祎:美方用人工智能做攻击方案、写代码等
本月初,央视新闻对“哈尔滨亚冬会”遭受境外网络攻击这一事件进行了报道,此事件使得全球主流媒体和网民都给予了广泛关注。如今,警方已经掌握了相关网络攻击的确凿证据,并且决定对 3 名美国国家安全局特工进行悬赏通缉。那么,这 3 名美国特工究竟是谁呢?他们到底做了哪些事情呢?
4 月 3 日,国家计算机病毒应急处理中心发布报告。报告披露了 2 组数字,分别为 27 万次和 5000 万次。27 万次对应的是哈尔滨亚冬会的赛事信息系统遭到境外网络攻击的次数,5000 万次对应的是黑龙江省内关键信息基础设施遭到境外网络攻击的次数。这里所说的境外攻击者实际上就是美国及其盟友国家。
我国网络安全技术团队对攻击数据进行了追踪溯源,并且在相关国家的支持下,最终锁定了此次攻击事件的幕后黑手。这个幕后黑手是美国国家安全局(NSA)的 3 名特工,他们分别是:凯瑟琳·威尔逊(Katheryn A. Wilson)、罗伯特·思内尔(Robert J. Snelling)、斯蒂芬·约翰逊(Stephen W. Johnson)。进一步调查后发现,这 3 名特工的前科累累。他们曾多次对我国关键信息基础设施进行网络攻击,并且参与了对华为公司等企业的网络攻击活动。这些前科也陆续被挖出。
360 集团创始人周鸿祎称:几年前我们就多次察觉到,美国对西北工业大学以及我国一系列科研军工关键基础设施进行了攻击。之后,我们大概花费了近 10 年的时间,构建起了其攻击手法以及整个战术知识库。此次溯源到三个个人特工,这在历史上是重大的突破。
国家计算机病毒应急处理中心和亚冬会赛事网络安全保障团队在保障赛事安全进行的同时,第一时间将相关网络攻击的全部数据提交给了哈尔滨警方。哈尔滨市公安局对此次网络攻击事件极为重视,立刻组织技术专家组成技术团队,着手开展网络攻击的溯源调查工作。
奇安信科技集团总裁吴云坤表示:亚冬会网络攻击具有高度定向性。因为一旦这些关键业务系统出现问题,无论是数据被窃取,还是在这个过程中被摧毁,都将对整个赛事产生重大影响。从 IP 地址可以看出,这些攻击大多来自美国以及其相应的盟友组织,这代表了国际上最高的网络攻击水平。
网络安全技术团队介绍称,在此次追踪溯源工作进行期间,他们还发现了一个情况,那就是美国在实施网络攻击时,使用了人工智能技术。
360 集团的创始人是周鸿祎,此次美国国安局的行为与以往不同,呈现出一反常态的态势,并且其攻击所涉及的范围是非常大的。从我们对对方攻击代码的研判来看,其采用了人工智能智能体的技术。利用人工智能进行攻击方案的规划,探寻漏洞,监测流量。有些代码明显是由人工智能书写的攻击代码,这意味着在攻击过程中能够自动且快速地编写一个动态代码来实施攻击行为。
美两所高校参与
操作系统后门疑被激活
我国网络安全技术团队调查得知,美国国家安全局有 3 名特工参与了亚冬会的网络攻击。另外,还有两所美国高校参与了此次攻击活动,一所是加利福尼亚大学,另一所是弗吉尼亚理工大学。并且这两所高校都具备美国国家安全局的背景。那么,美国国家安全局主导的这次网络攻击实施了哪些手段呢?我们又采取了哪些措施进行应对呢?
公开信息表明:加利福尼亚大学从 2015 年开始被美国国家安全局和国土安全部选定为网络防御教育领域的学术卓越中心;弗吉尼亚理工大学是美国 6 所高级军事院校中的一所,它在 2021 年曾接受美国国家安全局的资助,以用于加强网络攻防的队伍建设。
杭州安恒信息技术股份有限公司的董事长范渊表示:通过溯源分析这件事,我们察觉到美国有多所高校参与到了对亚冬会重要赛事系统的攻击行为当中。弗吉尼亚理工大学是美国一所知名的军事学校。该学校在不同时期接受了美国国家安全局、联邦调查局、国土安全部等情治部门的资助。这些资助被用于加强网络攻防队伍的建设以及网络攻防靶场的建设。同时,弗吉尼亚理工大学也是美国国家安全局认定的“网络安全作战研究中心”。这种将高等教育资源武器化的行为,严重破坏了国际学术共同体的信任基石。
技术团队经过层层溯源后发现,此次针对亚冬会的网络攻击,是美国国家安全局精心组织并实施的,其具体实施部门是下属的特定入侵行动办公室。调查发现,特定入侵行动办公室为了达成掩护其攻击来源以及保护网络武器安全的目的,借助所属的多家掩护机构,购买了一批来自不同国家的 IP 地址,并且还匿名租用了一大批位于欧洲、亚洲等国家和地区的网络服务器。
国家计算机病毒应急处理中心高级工程师杜振华称:遭遇了这种规模较大的网络攻击。从攻击的过程来看,攻击者首先开展了大规模的网络设备资产探测行动,其目的是获取位于网络边缘的服务器或网络设备的访问权限。接着,攻击者试图构建立足点,之后通过这些立足点逐步向内网渗透,以投放更多的网络武器,实施内网的渗透,并达成一种长期潜伏的效果。
网络安全专家介绍,美国国家安全局开展的网络渗透攻击活动涵盖众多类别,有数百类已知和未知的攻击手法。其攻击方式较为超前,包含未知漏洞盲打这种方式,还有文件读取漏洞,以及对备份文件的攻击,同时也有对敏感文件及路径的探测攻击等。并且,该攻击活动的攻击目标和攻击意图都非常明显。
安天集团创始人董事长肖新光称:在这一过程里,我们感知并拦截了源自境外的网络安全攻击,还对其进行了深度的分析与处置,从而发现了相关关键的威胁线索与痕迹。在持续 493 天的整个运行期间,我们提前开展了安全检查评估的支撑工作,提前处理了大量的威胁隐患,并且最终进行了 15 天,每天 7 小时、24 小时不间断,共 23 个点位的全面值守。
我国网络安全技术团队还发现,在亚冬会期间,美国国家安全局向黑龙江省内多个使用微软 Windows 操作系统的特定设备发送了未知加密字节,这些字节疑似是为了唤醒和激活微软 Windows 操作系统提前预留的特定后门。
如何防范和应对
网络攻击和窃密活动?
美国政府情报机构对我国持续进行着网络攻击,面对这一情况,我们应当采取何种应对措施呢?不妨听一听专家的建议。
专家介绍,美国长期凭借其在信息技术产业所具备的优势地位,开展对全球的网络攻击与窃密行动。其中,美国情报机构借助外国情报监视法案(即 702 法案),让美国的信息技术产品生产商提供用户的敏感个人信息与数据,以此对用户进行监听和窃密。
国家计算机病毒应急处理中心高级工程师杜振华指出:美国情报机构能够深入接触信息技术产品和服务的生产环节,从而获得敏感设计资料,还能利用未公开功能实施网络攻击;此外,美国情报机构通过直接投资孵化信息技术创新企业,或是借助政商旋转门机制,安插具有情报机构或军方工作背景的官员进入这些企业,以实现间接的长期影响。如果我国的单位或者个人接触到国家秘密、工作秘密或者商业秘密,在这种情况下应该谨慎使用,或者考虑避免使用非国产、特别是美国的信息技术产品,同时也应该逐步提高信息技术产品的国产化率。
编辑|段炼 盖源源
校对|程鹏
封面图片:视觉中国(图文无关)
每日经济新闻综合自央视新闻
