在這場隔著屏幕的較量中，發(fā)現(xiàn)黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場高科技版的“貓鼠游戲”。

新京報(bào)記者 | 李聰

編輯 | 陳曉舒

校對 | 劉軍

270167次。

這是今年哈爾濱亞冬會前后，賽事信息系統(tǒng)遭到來自境外網(wǎng)絡(luò)攻擊的次數(shù)。

與此同時(shí)，黑龍江省范圍內(nèi)能源、交通、水利、通信、國防科研院校等關(guān)鍵信息基礎(chǔ)設(shè)施，也遭到了數(shù)量龐大的攻擊。

在這場“網(wǎng)絡(luò)暗戰(zhàn)”中，哈爾濱公安局組織國家計(jì)算機(jī)病毒應(yīng)急處理中心和360等境內(nèi)網(wǎng)絡(luò)安全機(jī)構(gòu)技術(shù)專家，迅速開展網(wǎng)絡(luò)攻擊溯源調(diào)查。

經(jīng)技術(shù)團(tuán)隊(duì)層層溯源，追查到美國國家安全局（NSA）的3名特工和兩所美國高校，參與實(shí)施了此次針對亞冬會的網(wǎng)絡(luò)攻擊行動。

據(jù)了解，實(shí)施此次網(wǎng)絡(luò)攻擊行動的組織是美國國家安全局信息情報(bào)部（代號S）數(shù)據(jù)偵察局（代號S3）下屬特定入侵行動辦公室（Office of Tailored Access Operation，簡稱“TAO”，代號 S32）。

4月15日，哈爾濱公安局發(fā)布公開懸賞，通緝3名美國國家安全局特工。

在這場隔著屏幕的較量中，發(fā)現(xiàn)黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場高科技版的“貓鼠游戲”。

網(wǎng)絡(luò)空間中，看不見的黑客。圖源：IC

冰雪盛會背后的“網(wǎng)絡(luò)暗戰(zhàn)”

2月3日，是哈爾濱第九屆亞冬會首個(gè)比賽日。當(dāng)天男子冰球組比賽正酣，針對賽事系統(tǒng)的網(wǎng)絡(luò)攻擊也在悄然增加。

國家計(jì)算機(jī)病毒應(yīng)急處理中心高級工程師杜振華此前提到，針對賽事信息系統(tǒng)的網(wǎng)絡(luò)攻擊主要來源于美國，數(shù)量超過17萬次，占比超過60%。

他介紹，從以往的網(wǎng)絡(luò)攻擊案例中獲悉，美國的情報(bào)機(jī)構(gòu)頻繁地使用荷蘭或者其他歐洲國家的網(wǎng)絡(luò)主機(jī)作為跳板對目標(biāo)實(shí)施攻擊，所以看到的是來自荷蘭的攻擊數(shù)量比較多，但是背后的實(shí)際攻擊源可能也是來自美國。

調(diào)查也發(fā)現(xiàn)，此次美國國家安全局特定入侵行動辦公室為了掩護(hù)其攻擊來源和保護(hù)網(wǎng)絡(luò)武器安全，依托所屬多家掩護(hù)機(jī)構(gòu)購買了一批不同國家的IP 地址，并匿名租用了一大批位于歐洲、亞洲等國家和地區(qū)的網(wǎng)絡(luò)服務(wù)器。

攻擊行為主要集中在亞冬會注冊系統(tǒng)、抵離管理系統(tǒng)、競賽報(bào)名系統(tǒng)等重要信息系統(tǒng)。這些系統(tǒng)關(guān)系到賽事的重要信息發(fā)布、人員和物資的調(diào)配、賽事的組織管理，同時(shí)也保存有大量賽事相關(guān)人員身份敏感信息。

另外，美國國家安全局還掌握著大量不為人知的0Day漏洞。通過這些漏洞可以攻擊操作系統(tǒng)后植入特定木馬，進(jìn)行潛伏預(yù)埋，類似“定時(shí)炸彈”，隨時(shí)可以通過發(fā)送加密字節(jié)數(shù)據(jù)進(jìn)行喚醒。

邊亮是360高級威脅研究院副院長，他帶領(lǐng)團(tuán)隊(duì)100多名成員參與此次溯源調(diào)查。這不是他第一次與美國國家安全局交手。

團(tuán)隊(duì)發(fā)現(xiàn)，此次針對亞冬會的網(wǎng)絡(luò)攻擊，出現(xiàn)了AI化趨勢，這是此前并未出現(xiàn)過的攻擊方式。在傳統(tǒng)攻擊方式中，攻擊前的偵察階段靠人工篩選目標(biāo)、偵察目標(biāo)情況、分析行為偏好，然后開展攻擊，整個(gè)過程時(shí)間成本非常高。

此次技術(shù)團(tuán)隊(duì)對攻擊代碼研判后發(fā)現(xiàn)，在漏洞探尋、流量監(jiān)測等方面，部分代碼明顯由AI書寫，在攻擊過程中自動、快速編寫動態(tài)代碼實(shí)施攻擊。

這意味著攻擊者利用AI，可復(fù)制出大量數(shù)字黑客，在多個(gè)目標(biāo)點(diǎn)進(jìn)行漏洞探尋、自動設(shè)計(jì)作戰(zhàn)方案和生成攻擊工具，實(shí)施無差別攻擊。更令人擔(dān)心的是，數(shù)字黑客反應(yīng)速度遠(yuǎn)超人類，對國家安全防護(hù)防御體系構(gòu)成巨大挑戰(zhàn)。

竊取、潛伏、破壞，攻擊者們利用代碼進(jìn)行身份偽裝，或者通過篡改數(shù)據(jù)來制造混亂，甚至可能會植入惡意軟件，為后續(xù)的攻擊埋下伏筆。

哈爾濱公安局公開發(fā)布懸賞公告。圖源：央視新聞

看不見的攻防和博弈

在這場隔著屏幕的較量中，發(fā)現(xiàn)黑客的蹤跡、捕捉其行蹤、定位并最終確定其身份，像是一場高科技版的“貓鼠游戲”。

在邊亮看來，較量的起點(diǎn)常常可能只是一次流量異常——例如，某臺電腦在深夜頻繁向外發(fā)送大量數(shù)據(jù)，或者試圖連接陌生服務(wù)器。這些異常流量就像網(wǎng)絡(luò)世界中的“腳印”，雖然細(xì)微，但對于經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專家來說，卻是重要的線索。

網(wǎng)絡(luò)攻擊的蛛絲馬跡常常隱藏在海量的數(shù)據(jù)日志中。發(fā)現(xiàn)異常是第一步，接下來要溯源它的路徑，找到它最初出發(fā)的地方。通過仔細(xì)檢查每一個(gè)數(shù)據(jù)包的來源、去向和內(nèi)容，試圖拼湊出攻擊者的行動軌跡。

邊亮提到，黑客組織的溯源非常復(fù)雜，攻擊者往往會通過各種手段隱藏自己的真實(shí)身份和地理位置，也可能會故意留下誤導(dǎo)性的線索。

同時(shí)，大數(shù)據(jù)對比分析也至關(guān)重要。

通過將捕捉到的信息，與多年沉淀下來的數(shù)據(jù)庫中已知的黑客行為模式進(jìn)行比對，技術(shù)專家們分析“這種攻擊手法是不是某個(gè)黑客組織的典型風(fēng)格？這個(gè)IP地址之前有沒有被報(bào)告過？”可以大致判斷出攻擊者的身份，甚至可能找到其真實(shí)身份。

“抓住對方的失誤”往往是找到攻擊者的關(guān)鍵。

邊亮介紹，黑客在實(shí)施攻擊時(shí)會使用一些特定的工具、組件或者協(xié)議規(guī)范，這就像他們的“指紋”，可以通過技術(shù)手段被識別出來。在開發(fā)攻擊工具時(shí)，常會賦予其獨(dú)特名字或代號，就像名片，或者是使用的跳板偶爾失靈，這些信息可能在攻擊中泄露，進(jìn)而成為暴露身份的線索。

在長期的攻防戰(zhàn)中，網(wǎng)絡(luò)安全專家們也總結(jié)出了一些作息規(guī)律——大部分實(shí)施網(wǎng)絡(luò)攻擊的人往往不會在周末、圣誕節(jié)等西方國家的節(jié)假日活動。這似乎代表著對方的攻擊是某種職務(wù)行為，這種作息規(guī)律也是暴露攻擊者身份的重要痕跡。

最終，經(jīng)過持續(xù)的攻堅(jiān)溯源，成功鎖定了參與網(wǎng)絡(luò)攻擊亞冬會的美國國家安全局3名特工。進(jìn)一步調(diào)查發(fā)現(xiàn)，該3名特工曾多次對我國關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施網(wǎng)絡(luò)攻擊，并參與對華為公司等企業(yè)的網(wǎng)絡(luò)攻擊活動。技術(shù)團(tuán)隊(duì)同時(shí)發(fā)現(xiàn)，具有美國國家安全局背景的美國加利福尼亞大學(xué)、弗吉尼亞理工大學(xué)也參與了本次網(wǎng)絡(luò)攻擊。

關(guān)鍵基礎(chǔ)設(shè)施單位亟須提高自身防御能力

據(jù)哈爾濱公安局消息，美國國家安全局主要圍繞特定應(yīng)用系統(tǒng)、特定關(guān)鍵信息基礎(chǔ)設(shè)施、特定要害部門開展網(wǎng)絡(luò)滲透攻擊，涵蓋數(shù)百類已知和未知攻擊手法，攻擊方式超前，包括未知漏洞盲打、文件讀取漏洞、短時(shí)高頻定向檢測攻擊、備份文件及敏感文件及路徑探測攻擊、密碼窮舉攻擊等，攻擊目標(biāo)、攻擊意圖明顯。

技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn)，美國國家安全局向我國多個(gè)基于微軟 Windows操作系統(tǒng)的特定設(shè)備發(fā)送未知加密字節(jié)，疑為喚醒、激活微軟Windows 操作系統(tǒng)提前預(yù)留的特定后門。

這不是第一次發(fā)現(xiàn)美國國家安全局對我國進(jìn)行網(wǎng)絡(luò)攻擊。

360集團(tuán)創(chuàng)始人、董事長周鴻祎表示，早在2022年，360就發(fā)現(xiàn)了NSA和CIA對我國包括西北工業(yè)大學(xué)、武漢市地震監(jiān)測中心等發(fā)起的網(wǎng)絡(luò)攻擊，并成功溯源、上報(bào)有關(guān)部門。截至目前，360已經(jīng)幫助國家發(fā)現(xiàn)56個(gè)境外國家級APT（高級持續(xù)性威脅）組織。

據(jù)了解，APT通常是由國家級或準(zhǔn)國家級的黑客組織發(fā)起，往往針對我國政府、行業(yè)龍頭企業(yè)、大學(xué)、醫(yī)療機(jī)構(gòu)、科研單位等進(jìn)行網(wǎng)絡(luò)攻擊，其目標(biāo)是獲取高價(jià)值信息或破壞關(guān)鍵基礎(chǔ)設(shè)施，具有復(fù)雜且隱蔽、攻擊工具武器化等特點(diǎn)。而360之所以能夠成功溯源，得益于近20年來積累的全世界最大規(guī)模安全大數(shù)據(jù)，建立了全面的攻擊樣本和行為知識庫，以及攻擊手法的關(guān)聯(lián)基因庫。

周鴻祎認(rèn)為，隨著大模型的發(fā)展，美國情報(bào)機(jī)構(gòu)的大規(guī)模網(wǎng)絡(luò)攻擊行動已進(jìn)入AI時(shí)代，無論是自動化漏洞挖掘還是智能惡意代碼生成，尤其是大模型的發(fā)展不僅大幅度提升了網(wǎng)絡(luò)攻擊效率，更突破了傳統(tǒng)攻擊手段的時(shí)空限制，把網(wǎng)絡(luò)戰(zhàn)推向了更加智能化、自動化的階段。

而當(dāng)前國際形勢復(fù)雜動蕩，伴隨著大國博弈的加劇，網(wǎng)絡(luò)空間的軍事化進(jìn)程也明顯加快。網(wǎng)絡(luò)戰(zhàn)被越來越多的國家或力量當(dāng)作攻擊他國的“利器”，網(wǎng)絡(luò)空間的安全威脅更具殺傷性和破壞力。

在國家級黑客組織的威脅下，廣大關(guān)鍵基礎(chǔ)設(shè)施單位亟須提高自身防御能力。

對此，周鴻祎建議，首先，需要有安全大數(shù)據(jù)，建立全局視野，通過建立全網(wǎng)動態(tài)安全事件檔案庫，掌握全網(wǎng)安全態(tài)勢。其次，需要提前布防，快速發(fā)現(xiàn)安全線索，并支持威脅就地處置，實(shí)現(xiàn)早期止損。第三，需要具備豐富的安全實(shí)戰(zhàn)對抗經(jīng)驗(yàn)的專家，能夠持續(xù)發(fā)現(xiàn)、分析、響應(yīng)和處置威脅。最后，隨著大模型的發(fā)展，網(wǎng)絡(luò)戰(zhàn)已進(jìn)入AI時(shí)代，防御“戰(zhàn)力”也應(yīng)相應(yīng)提升，需要“以模制?！保冒踩竽Ｐ徒鉀Q大模型安全問題。

星標(biāo)?“探針News”

及時(shí)接收最新文章

· 往期推薦 ·