周鸿祎:360锁定3名潜伏长达十年的美国特工,并上报国家。时间是:哈尔滨亚冬会期间,我国赛事系统及能源、交通、国防等关键基础设施,遭遇高达27万次境外网络攻击,这一次,美国国安局的黑手被360彻底抓住
时间线要回到2025年1月26日到2月14日,19天,人们热议赛事成绩、赛区保障,谁能想到27万次境外网络攻击呼啸而来。
2月8日,亚冬会进入决赛期,也是流量、数据最密集的时候,各种系统一度收到成千上万条高强度扫描与探测。
不只是赛事本身,涉及哈尔滨甚至整个黑龙江省能源、通信、交通、科研等核心部门,那19天,黑龙江全省关键基础设施同期还累计挨了5000万次各类境外攻击。
赛事系统、交通平台、国防科研、支付平台、运动员住宿管理……每一个节点都藏着黑客的狙击。
“信息发布、抵离管理、电子票证”这三套系统被点名,几乎成了攻击“重灾区”。
360的数据显示,63.24%的攻击直接溯源到了美国,粗算一下,差不多17万次来自同一个敌人。
一个不起眼的数字更让人警觉:通过荷兰IP发起的攻击足有3252万次。
不止一个信息安全专家私下感叹:美国这两年越来越熟练地利用欧洲云主机“跳板”转移攻击源头;
荷兰、新加坡、德国等多国IP混杂,就是想让溯源陷入地理迷局。
一次典型的场景是北京时间晚上11点刚过,中国技术员巡查正准备下班,后台监控服务器突然提示多国IP并发反复尝试侵入赛事调度平台。
更耐人寻味的是攻击背后的“谁在操盘”,很快,360安全团队与公安部、相关国家安全部门对比国内外APT(高级持续性威胁)情报,最终把目标锁定在三个人身上。
官方后来披露,三名美国NSA特工——凯瑟琳·威尔逊、罗伯特·思内尔、斯蒂芬·约翰逊,身份都来自NSA专门的网络攻击部门TAO(特定入侵行动办公室)。
展开数据溯源和情报分析后才发现,他们追踪中国关键基础设施已接近十年。
在中国,欧美高校,一些云服务外包公司甚至社交网站都出现过他们留下的信息碎片,360、安恒、奇安信等企业联合溯源,拼凑出了一条完整的线索轨迹。
TAO被称为美方网络攻防的“尖刀部队”,这些年的攻击组织手法已经发生了翻天覆地的变化。
和以往黑客团伙“踩点投毒”不同,这三名特工依托大学背景,伪装身份,同时参与科研项目和国际合作,掩人耳目。
他们可以假扮普通华尔街工程师,也能客串网络安全顾问。
美国NSA的TAO让攻击链很难一刀切断,先是通过东南亚、欧洲云计算平台批量注册服务器,循环刷IP,之后采取多节点探测。
更高明之处在于,他们会定期擦除操作痕迹,提前伪造证书——目的只有一个,最大程度上“消失”在日志和威胁情报系统里。
亚冬会期间,攻击升级到AI助攻模式,他们不单靠编程、脚本,背后有一整套自动化攻击方案。
AI先预判赛事相关流程,批量扫描可疑入口,利用Windows等系统“后门”,混合运用深夜高并发流量攻击、未知漏洞扫描等,短时间内可制造局部瘫痪。
更新鲜的是,这些AI体还具备语义对抗能力,能随时调整“攻击分布”。
再往下深挖,特工甚至通过AI自主生成攻击脚本,动态调整,远远超过了一般黑客的手工水平。
一次次攻击失败后,AI智能体还会自动回溯复盘,分析原因,继续寻找突破口。
中国网络安全圈没有被打懵,360积累了近二十年安全大数据,下了很大功夫自主研发百余个“数字安全专家”AI。
正是这些数字专家在万亿级日志里“挖”到了异常,结合黑名单、行为画像、服务器地理分布,用大模型一口气拉出了三位美国特工背后的全部端倪。
中美安全高墙的对抗,首次实现了从“缓慢追溯”到“实时锁定”的突破。
以往被动防御往往“堵不胜堵”,此次多方协调、底层算法提升,让AI对AI上了牌桌。
为什么美国那么执着于亚冬会?亚洲区域影响力竞争是一层原因,更深的图谋是借国际赛事海量个人、安保、支付、运动轨迹数据,进而实现对中国关键基础设施的“压力测试”。
拿下赛事,就是拿下数据,全是现实利益,曾经的“棱镜门”把全球监听推到台前,但升级版的“数字窃听风暴”只会变本加厉。
当美国不断指责中国“网络威胁论”,有多少人知道,他们早已在幕后疯狂渗透,想把中国拉回网络空间的弱势地位?
反手一击,360等企业携手国家病毒应急中心和公安系统,一起展开司法溯源与跨国证据留存。
案件上的突破推动了技术标准设立、行业大模型升级,现在,国内累计披露的56个境外APT组织,90%是由本土安全力量率先分辨出来的。
这也是为什么国家出台《关键信息基础设施安全保护条例》的关键背景。
在AI加速演进下,指望全靠技术人员已经不可能,更基础芯片、操作系统本地化,安全大模型国产化,都是必须要补齐的短板。
谁掌握了网络空间的话语权,谁就能在动乱发生时掌握主动权,这一战,不只事关一场赛事,更关乎数字时代的主权尊严。
热门跟贴