一次亚冬会网络攻击,把3名美国特工推到通缉令上。更让人后背发紧的,不只是他们是谁,而是他们怎么动手:绕IP、租服务器、盯系统、探后门。
这样的手段,离普通人真的远吗?
哈尔滨市公安局2025年4月15日发布通告,对凯瑟琳威尔逊、罗伯特思内尔、斯蒂芬约翰逊3名美国国家安全局特工进行悬赏通缉。
公开通报显示,这3人隶属于美国国家安全局特定入侵行动办公室,也就是常被提到的TAO,参与实施了针对2025年哈尔滨第九届亚冬会的网络攻击活动。通报还称,他们曾多次对我国关键信息基础设施实施网络攻击,并参与对华为等企业的攻击活动。
关于这3人的个人成长经历、家庭背景、履历细节,公开权威资料披露不多,不能为了写得热闹去编造。但从通报能看到,他们不是普通网络犯罪分子,而是美国情报体系里执行网络攻防任务的人员。
TAO不是民间黑客组织,而是美国国家安全局信息情报部数据侦察局下属机构,主要承担特定目标入侵、网络侦察、窃密和攻击任务。此次亚冬会攻击被中方追溯到这一机构,说明它不是零散试探,而是有组织的国家级网络行动。
这3名被通缉人员的身份之所以引人关注,是因为他们被放在了一个更大的系统里看。通报提到,美国国家安全局为掩护攻击来源和保护网络武器安全,依托多家掩护机构购买不同国家的IP地址,并匿名租用欧洲、亚洲等地服务器。
也就是说,真正出手的人藏在后面,前面铺了跳板、代理、虚假路径和技术遮挡。普通人看到的可能只是某个境外IP,技术人员追下去才会发现背后是一整套分层掩护。
通报还点名了两所美国高校:加利福尼亚大学和弗吉尼亚理工大学。
加利福尼亚大学自2015年起被美国国家安全局和美国国土安全部指定为网络防御教育领域的学术卓越中心;弗吉尼亚理工大学则被称为美国6所高级军事院校之一,并接受过美国国家安全局资助,用于加强网络攻防队伍建设。
高校本该做教育和科研,一旦与情报机构、网络行动项目深度交织,就容易让“学术外衣”变成攻击体系的一部分。从人物结局看,3名美国特工已经被哈尔滨公安列入悬赏通缉对象。
公安机关呼吁广大群众提供线索,对有效线索举报人和协助抓获嫌疑人的有功人员给予奖励,并对举报人身份信息保密。这个结果说明,中方不再只是被动披露遭攻击情况,而是把具体人员、具体机构、具体攻击链条摆到台前,用法律方式追责。
这次事件真正敲响警钟的地方,是作案手段。
根据国家计算机病毒应急处理中心等机构发布的监测分析,2025年哈尔滨第九届亚冬会期间,赛事信息系统遭到境外网络攻击270167次,其中被识别出的攻击里,来自美国的攻击次数为170864次,占比63.24%。
亚冬会期间还封禁了12602个高危恶意IP地址,这些IP对赛事信息系统进行恶意扫描、漏洞利用,目的包括入侵系统、窃取数据和实施破坏。这些攻击不是随便找个网站试密码。
赛前阶段,攻击重点集中在亚冬会注册系统、抵离管理系统、竞赛报名系统等信息系统。这里面存着大量赛事相关人员的身份数据、行程数据和报名资料。
攻击者一旦拿到这些信息,就可能掌握参赛人员流动规律、工作人员安排和赛事组织细节。到了2月3日第一场冰球比赛开始后,攻击达到高峰,方向转向赛事信息发布系统、API接口、抵离管理系统等运行保障系统,意图破坏赛事正常运行。
通报还披露,美国国家安全局针对黑龙江省内能源、交通、水利、通信、国防科研院校等重要行业开展网络攻击,意图破坏关键信息基础设施、引发社会秩序混乱,并窃取重要机密信息。这里面每一类都不是小事。
能源系统关系生产和供暖,交通系统关系人员流动,通信系统关系应急调度,水利系统关系公共安全,科研院校关系技术资料和人才数据。网络攻击一旦打到这些地方,就不只是几台电脑卡顿,而是可能影响一整片社会运行。
这次最让公众关注的细节,是通报提到技术团队发现,美国国家安全局向黑龙江省内多个基于微软Windows操作系统的特定设备发送未知加密字节,“疑为唤醒、激活微软Windows操作系统提前预留的特定后门”。
这里必须严谨,公开通报用的是“疑为”,不能把它说成已经完成司法定论。可这个细节仍然很重,因为它指向一个基础问题:关键设备长期依赖闭源外国系统,底层到底有多少可见、可查、可控的部分?
微软Windows不是小众软件。StatCounter数据显示,2026年6月,Windows在全球桌面操作系统市场份额为56.61%,仍是桌面端最主要的系统之一。
它广泛存在于办公、企业、学校、医院、交通、金融等场景。越是普及,越不能只看使用方便,还要看底层安全、供应链安全和应急替代能力。
一个系统装在个人电脑上是工具,装在关键岗位和核心系统里,就成了基础设施的一部分。2024年7月的全球蓝屏事件已经给过一次提醒。
微软官方称,CrowdStrike一次更新影响约850万台Windows设备,虽然不到全部Windows设备的1%,但由于这些设备大量用于运行关键服务,造成了广泛经济和社会影响。
路透社报道,航空、医疗、银行、媒体等行业均受到冲击,航班延误和取消、部分服务中断等问题接连出现。这件事和亚冬会攻击性质不同,一个是软件更新事故,一个是被指向的有组织网络攻击。
但两件事放在一起看,道理很清楚:关键系统不能只追求“能用”,还要追求“可控”。一个外部软件更新就能让全球大量设备出问题,一个境外情报机构如果能通过系统、漏洞、跳板和后门疑点进行攻击,风险就更不能低估。
这也是为什么国产化、安全可信和关键信息基础设施保护必须往前推。
《关键信息基础设施安全保护条例》明确,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业领域的信息系统,一旦遭破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生和公共利益,就属于重点保护范围。
所以,这次通缉不是一条普通新闻。它提醒所有人,网络安全已经不是技术部门关起门来的事。
单位要查弱密码、补漏洞、管权限、看日志、做备份、练应急;企业要少一点侥幸,多一点安全投入;普通人也要明白,乱点链接、乱装软件、乱扫二维码、长期不更新系统,都可能变成风险入口。美国特工的手段越隐蔽,我们越不能麻木。
事件披露后,中方处理并没有停在舆论层面。4月15日,哈尔滨市公安局发布悬赏通告,明确3名美国网攻窃密人员姓名、身份和所属机构,呼吁社会公众提供线索。
公安机关还表示,对举报人身份信息严格保密,对提供有效线索或协助抓获嫌疑人的有功人员给予奖励。这说明,网络攻击虽然发生在虚拟空间,但追责不是虚的,违法人员一旦被锁定,就要进入现实法律程序。
外交层面也有回应。中国外交部发言人4月3日就相关监测报告表示,报告再次说明中国是全球网络攻击的主要受害国之一,亚冬会期间美国及其个别盟友是对中国发起网络攻击的主要来源。
中方敦促美方采取负责任态度,少污蔑抹黑,并表示中国将继续采取必要措施保护自身网络安全。从公开报道看,外媒也关注到这次罕见点名。
路透社报道称,哈尔滨方面指控美国国家安全局在亚冬会期间发动高级网络攻击,并点名3名疑似NSA人员;报道还提到,攻击目标包括黑龙江省能源、交通、国防机构等关键基础设施。美方没有给出能推翻中方通报内容的公开技术说明。
这3名特工的“结局”,目前就是被公开悬赏通缉,身份被中方点名,行动链条被披露,背后机构被曝光。这个结局对他们本人是一种法律压力,对美国国家安全局相关网络行动体系也是一次公开揭批。
过去不少网络攻击靠匿名、跳板和服务器隐藏在暗处,这次中方把名字、机构、攻击对象、攻击方式一并公布,意义就在于把暗处的手伸到光下。后续影响更大的是制度层面。
关键信息基础设施保护会继续加强,重要行业会更重视国产软硬件替代、系统审计、供应链安全、应急备份和攻击溯源。
以前有些单位觉得网络安全只是装设备、买服务、做台账,这次事件说明,真正的安全要看平时有没有摸清资产、有没有收紧权限、有没有清理老旧接口、有没有把日志留足、有没有把核心系统和一般办公系统隔开。对普通人来说,结尾也不是一句“国家会处理”就够了。
国家级攻击会从大系统下手,也可能从小入口切入。个人邮箱、办公电脑、手机账号、路由器、云盘、外接U盘,都可能被利用。
别把陌生链接当小事,别把弱密码当方便,别把来路不明的软件当工具。很多大事故一开始不是轰轰烈烈,而是从一个疏忽开始。
这次事件的结局没有改变,3名美国国家安全局特工被中方通缉,美国网络攻击体系被摆到台前,亚冬会相关系统的风险被公开披露。它给所有中国人的警示也很直接:关键技术不能长期靠别人,关键系统不能没有备份,关键数据不能随便暴露。
热门跟贴